如何為 Omada 交換器和 AP 設定管理 VLAN（適用於商用大型架構）

Knowledgebase

Configuration Guide

Controller

Vlan

ACL

Bookmarks Feedback

07-17-2024

內容

本文將為交換器和 AP 設定獨立的管理 VLAN，並為管理 VLAN 隔離的用戶端保留預設 VLAN（變更其 VLAN ID 和子網路 IP）。同時還介紹了將設備新增至正在運作中的網路的方法。

需求

Omada 控制器（軟體控制器 / 硬體控制器 / 雲端控制器，V5.9 或以上版本）
Omada 智慧型、L2+ 和 L3 交換器
Omada AP
Omada 路由器

介紹

許多用戶在設定網路時，會修改控制器、路由器、AP 和交換器的管理 VLAN，接著為用戶端設定其他的 VLAN，此方式可以將不同類型的設備放在不同的 VLAN 中管理，因此在連線的用戶將無法存取設備，增加網路中的安全性。

本文內容適用於商務環境的設定，增加新設備整合至運作中網路環境的方法。以小型案場或家用規模的網路環境設定，請參考如何為 Omada 交換器和 AP 設定管理 VLAN（家用/小型環境）。

通常拓撲如下，使用核心交換器來承載所有 L3 的資料轉換，並在核心交換器設定 DHCP 伺服器，路由器將僅負責處理流向核心交換器的網路流量：

如拓撲所示，最終的目的是停用網路中的 VLAN 1，設定 VLAN20 給用戶端（Client）使用，所有的用戶端連線將會取得 192.168.20.x/24 網段的 IP，VLAN 30 為交換器管理使用，交換器所使用的管理 IP 網段為 192.168.30.x/24，VLAN 40 為 AP 管理使用，AP 所使用的管理 IP 網段為 192.168.40.x/24，而路由器、核心交換器和控制器將沿用預設的設定，但 VLAN ID 會變更，同時您也可變更他們的 IP 位址。

以下是依據上述拓撲範例的詳細設定步驟。

設定

步驟 1. 將硬體控制器連接至核心交換器，並在硬體控制器上連接管理 PC，接著納管核心交換器，而目前 DHCP 伺服器尚未設定，因此核心交換器和硬體控制器是使用備援 IP 位址，核心交換器為 192.168.0.1，硬體控制器為 192.168.0.253，並將您的 PC 設定為 192.168.0.x/24 網段的固定 IP，如此才能存取硬體控制器網頁並進行納管動作。

步驟 2. 建立需要的 VLAN。

首先，建立用戶端使用的 VLAN 20、交換器管理 VLAN 30 和 AP 管理 VLAN 40。請至 設定 – 有線網路 – LAN - 網路，點擊 建立新的 LAN。

以下為用戶端的 VLAN 20 範例，目的應設定為 VLAN 並僅應用至 交換器。

接著用相同的方法建立交換器和 AP 的管理 VLAN。

最後結果應如下：

步驟 3. 在核心交換器上啟用 Interface。

前往設備，點擊核心交換器以進入設定頁面，在 設定 – VLAN Interface，啟用所有 Interface，點擊套用後儲存。

如下拓撲所示，我們將使用 MGMT，192.168.50.x/24 網段作為核心交換器的管理 VLAN，控制器和管理 PC 也將位於同個網段中。我們需要將連接至控制器連接埠的設定檔設定為 Core MGMT 設定檔，此為建立 VLAN 後自動建立出來的設定檔，啟用後，該交換器的連接埠將僅包含在 Core MGMT VLAN 中。接著將 Core MGMT 設定為核心交換器的管理 VLAN。

步驟 4. 將連接至控制器的核心交換器的連接埠設定連接埠設定檔（與設定目前已接到控制器的連接埠不同）。

前往設備，點擊交換器來進入設定頁面，在 連接埠，點擊編輯在其他您要連接至控制器的連接埠（與於目前已接到控制器的連接埠不同），在變更核心交換器的管理 VLAN 後，我們會將控制器轉接到這個連接埠，在本範例中，我們將變更連接埠 3 的連接埠設定檔。

將 設定檔 項目內容指定為 Core MGMT ，接著點擊套用。

步驟 5. 變更核心交換器的管理 VLAN。

前往設備，點擊核心交換器以進入設定頁面，在 設定 - VLAN Interface，在我們要設定的管理 VLAN 點擊編輯。

勾選啟用選取框來將 VLAN 設定為管理 VLAN。設定完成後，設定 IP 位址模式 為固定，接著設定一個固定 IP 位址，在此範例中設定為 192.168.50.1，而 DHCP 模式 則設定為無。點擊套用來儲存設定。

步驟 6. 變更控制器和管理 PC 的 IP 位址。

現在，核心交換器的 IP 位址將會切換至 192.168.50.x/24 網段，因此我們需要將控制器和管理 PC 設定為相同子網路的固定 IP，以利後續還能繼續管理設備。

在硬體控制器上設定固定 IP 的方法如下：

在 全域觀看 - 設定 - 控制器設定，將 網路設定 設定為固定，接著設定 IP 位址，在此範例中設定為 192.168.50.100。

設定完硬體控制器的 IP 位址後，管理 PC 的 IP 位址也同樣使用設定 192.168.50.x/24 網段固定 IP 進行變更。設定完成後請輸入硬體控制器的 IP 位址以再次進入控制器的管理介面。

步驟 7. 將控制器插入設定了正確連接埠設定檔的連接埠。

在前一步驟中，我們已將新交換器連接埠的設定檔修改為 "Core MGMT", 在修改控制器和管理 PC 的 IP 位址後，我們需要將控制器插入該連接埠來確認控制器和核心交換器的連線狀態。此步驟完成後，核心交換器在控制器上應會重新納管成功。

步驟 8. 設定 Default VLAN Interface。

在 設定 - 有線網路 - LAN - 網路，在 Default VLAN 上點擊編輯。

修改其 VLAN ID 和子網路 IP 來 Bypass 掉使用 VLAN 1，本範例調整為 VLAN 10，對於 閘道/網段，將其設定為 192.168.10.x/24 網段，在本例中將其設定為 192.168.10.2，此為路由器的 IP 位址，此將有助於日後將 Omada 路由器納管至控制器當中，如您沒有 Omada 路由器，也可在此輸入路由器的 IP 位址。最後，關閉 DHCP 伺服器。

最後結果應如下：

步驟 9. 在核心交換器上設定 Interfaces 和 DHCP 伺服器。

接下來，我們需要為其他 4 個 VLAN 設定 Interface 和 DHCP 伺服器。前往設備，點擊交換器來進入設定頁面，在 設定 - VLAN Interface，點擊每個 VLAN 的編輯按鈕來進入設定頁面。

對於每個 VLAN Interface，我們需要先為它們在核心交換器上設定固定 IP 位址。設定 IP 位址模式 為固定並為 Interface 設定固定 IP 位址。設定 DHCP 模式 為 DHCP 伺服器 並設定位址範圍，請注意，預設閘道應設定為核心交換器，因為 Layer 3 轉發是由核心交換器來完成的。

舉例，在 SW MGMT VLAN 30，會將核心交換器的 IP 位址 Interface 設為 192.168.30.1，範圍為 192.168.30.1/24，DNS 和 預設閘道 皆為 192.168.30.1。DHCP Option 138 主要用於在 DHCP Procedure 中通知設備控制器的 IP 位址，需要這樣設定的原因是因為網路中所有設備皆不在同一 VLAN 當中，他們需要 DHCP Option 138 來尋找控制器和以及被控制器納管。此範例中，控制器的 IP 位址為 192.168.50.100。點擊套用來儲存設定。

如說明內容所示，完成設定 Default、Client、SW MGMT 和 AP MGMT 的 VLAN Interface 設定，請特別注意要將 DHCP 伺服器功能開啟。

步驟 10. 將 Aggregation Switch 以及 AP 完成接線後，從控制器中納管交換器和 AP。

在納管交換器和 AP 後，他們應該會先從 Default VLAN 取得 IP 位址，子網路為 192.168.10.x/24，如下圖。

步驟 11. 設定交換器的管理 VLAN。

前往設備，點擊交換器進入設定介面，在 設定 - VLAN Interface，啟用 SW MGMT 的管理 VLAN Interface，點擊套用。

現在交換器的管理 VLAN Interface 已在交換器上啟用，接著設定交換器的管理 VLAN。點擊交換器 SW MGMT VLAN 的編輯按鈕。

勾選啟用方塊來將此 VLAN 設定為管理 VLAN。

設定為管理 VLAN 後，可以設定備援 IP，也就是當設備透過 DHCP 取得 IP 位址失敗時，會使用指定的 IP 位址作為備援 IP 位址，確保該設備的管理，這裡我設定為 192.168.30.10。點選套用儲存設定。

關閉 Default VLAN 介面完成管理 VLAN 的切換，點選套用儲存設定。

稍等片刻後，讓設定套用至設備上。在這個過程中，交換器可能會進行重新納管動作。完成管理 VLAN 切換後，您會發現交換器的 IP 位址已變更為新的 VLAN。

步驟 12. 設定 AP 的管理 VLAN。

前往 設備，點選 EAP 進入其設定頁面。前往 設定 – 服務 並將 管理 VLAN 設定為 自訂，然後選擇對應的 VLAN，點選套用儲存設定。

稍等片刻後，設定完成後，你會發現 AP 的 IP 位址已經改變了。

步驟 13. 在交換器上設定連接埠設定檔，來用於可以使用 Client VLAN。

為確保所有有線用戶端從 Client VLAN 取得 IP 位址，我們需要將交換器上所有直接連接終端裝置的 Downlink 埠的連接埠設定檔修改為 Client VLAN 設定檔。

前往 設備，點擊交換器進入其設定頁面，點擊 連接埠，選擇直接連接終端裝置的 Downlink 連接埠，然後點擊 編輯選取 批次修改其連接埠設定檔。

將這些連接埠的設定檔變更為建立 Client VLAN 後自動建立出來的設定檔，並且取消勾選取代設定檔，接著點擊套用儲存設定。

步驟 14. 為無線用戶端設定 SSID VLAN。

前往 設定 – 無線網路 – WLAN，點擊 建立新的無線網路，為無線用戶端建立一個 SSID。

為該 SSID 設定名稱和密碼，然後點擊開啟進階設定，將 VLAN 設定為自訂，然後在新增 VLAN 中選擇我們建立的 Client VLAN，點擊套用來儲存設定。

步驟 15. 建立 IP 群組和 ACL 規則來封鎖 Client VLAN 存取控制器和網路設備（Default、SW MGMT 、AP MGMT、Core MGMT）。

目前在控制器上，這些 VLAN 被建立為 Layer 2 VLAN，然後在核心交換器上啟用 VLAN Interface，因此這些 VLAN 未被納入網路中，我們需要先建立 IP 群組，才能依據這些群組來建立 ACL 規則。

前往 設定 – 設定檔 – 群組，點擊 建立新群組。

我們需要為每個子網路建立一個 IP 群組。在這個範例中，有四個子網路：Default、Clients、SW MGMT 和 AP MGMT。輸入名稱，將類型選擇為 IP 群組，在 IP 子網路 欄位中，輸入每個子網路的網路位址。

例如，Default 群組的 IP 子網路 是 192.168.10.1/24。點擊套用來儲存設定。

最終結果應該如下：

前往 設定 – 網路安全性 – ACL – 交換器 ACL，點擊 建立新規則 建立新的 ACL 規則。

輸入一個名稱作為此規則的說明，在規則中選擇 拒絕（Deny），然後選擇所有 協議（Protocols）。在來源和 目的地 的設定中，將類型設為 IP 群組（IP Group），並選擇 用戶端群組（Clients Group）作為來源，所有其他 管理群組 作為目的地。將此規則應用於所有連接埠，

並點擊套用。

按一下建立來建立此規則，拒絕用戶端（Client）存取控制器和其他網路設備。

透過設定此 ACL 規則，當 Client 裝置連線並從 192.168.20.x/24 取得 IP 位址時，將無法存取控制器或核心交換器、交換器、AP 的管理頁面，增加了網路安全性。

步驟 16. 在 Omada 控制器上納管路由器（如果您有 Omada 路由器）。

如果您有 Omada 路由器，那麼您也可以在 Omada 控制器上納管它來實現更好的管理。但這裡我們已經將 Default 的 VLAN ID 切換為 10，而路由器會預設會開啟 DHCP 伺服器，並且自己的預設 IP 為 192.168.0.1，這會導致路由器無法被納管，因此，我們需要先對路由器進行一些預先設定，再將其納管到 Omada 控制器上。

電腦存取 192.168.0.1 進入路由器的獨立管理模式網頁介面，為其設定使用者名稱和密碼，然後前往 Network – LAN – LAN，在 Default Network 上點擊 Edit。

將此網路變更為VLAN 10，位址變更為192.168.10.x/24，例如這裡我將其變更為192.168.10.2。另外，我們已經在核心交換器上啟用了 DHCP 伺服器，因此在網關上，我們透過取消 Status 的 Enable 方塊來關閉 DHCP 伺服器。點擊 OK 儲存設定。

修改 IP 位址後，您還需要將 PC 的 IP 位址修改為 192.168.10.x/24 子網路才能再次存取路由器的網頁介面。

前往 System Tools – Controller Settings，在 Controller Inform URL，輸入控制器的 IP 位址：192.168.50.100，點選 Save。

在設定完控制器的 IP 位址後，還需要在路由器上設定一條靜態路由（Staic Route），讓路由器能找到控制器。前往 Transmission – Routing – Static Route，點擊 Add 建立新的靜態路由。

將 Destination IP 填入控制器的 IP 位址，本範例中為 192.168.50.100，並將 Next Hop 設定為核心交換器的 Default VLAN Interface IP 位址，也就是 192.168.10.1，在 Interface 欄位中選擇 LAN。點擊 OK 完成建立。

在路由器的預先設定完成後，將路由器連接到核心交換器上的 LAN 連接埠，接著回到控制器當中，確認與路由器連接的該連接埠設定檔設要為「All」，然後您將在控制器的設備列表中看到路由器為閒置中，IP 位址為 192.168.10.2，請使用您設定的使用者名稱和密碼進行來納管。

步驟 17. 在核心交換器上設定靜態路由。

不論您是否使用 Omada 路由器，都需要在核心交換器上設定靜態路由，並將所有網際網路流量轉發到路由器上，因為所有 Layer 3 的轉發都是由核心交換器處理，而且每個 VLAN 網路的預設閘道都設定為核心交換器。

前往設備，點選交換器進入其設定頁面。在設定 > 靜態路由，點擊新增來新增新的靜態路由。

勾選將狀態變更為啟用。由於我們正在處理所有網際網路流量，因此您可以將 目的地 IP/子網路 設定為 0.0.0.0，並將 Next Hop 設為路由器 192.168.10.2。對於其他流量，會先匹配到更精確的預設路由，因此只需將 Distance 設定為 1，然後點選套用來儲存設定。

結果應該如下：

在核心交換器上設定靜態路由後，我們還需要在路由器上設定反向的靜態路由，來確保所有來自網際網路的流量都會轉發到核心交換器上，我們將目的地設定為 0.0.0.0/ 0 ，Next Hop 是 192.168.10.2，所以在路由器上，我們需要設定一個反向的。由於這個網路中的子網路分別是 192.168.10.x/24、192.168.20.x/24、192.168.30.x/24、192.168.40.x/24 和 192.168.50.x/24，我們需要設定 5 條靜態路由，並將 Next Hop 設定為 192.168.10.1，這是核心交換器的 Default VLAN 介面。

如果您不使用 Omada 路由器，只需在路由器上設定這些靜態路由；如果您有 Omada 路由器並已將其進行納管，請依照步驟 15 在路由器上設定靜態路由。

步驟 18. 在路由器上設定靜態路由（如果您有 Omada 路由器）。

前往設定 > 傳輸 > 路由 > 靜態路由，點擊建立新路由。

這裡已在路由器的預設設定中設定了 192.168.50.0/24 的靜態路由，因此我們只需要在這裡再設定四條靜態路由。對於四條靜態路由，目的地 IP/網段應設定為 192.168.10.0/24、192.168.20.0/24、192.168.30.0/24和 192.168.40.0/24，將 路由類型 設定為 Next Hop，Next Hop 設定為 192.168.10.1。點擊建立，建立靜態路由。