Подключение точки доступа к управляему свичу с вланами

AP без поддержки vlan это какая-то странная штука. Обычно на них можно как минимум управляющий интерфейс расположить в отдельном от wifi-сети vlan.
Но в целом, из описания оригинальной темы, тебе достаточно запретить передачу пакетов между гостевой и основной сетью на firewall роутера.

Мне объяснили, что это не работает. Я и сам из знакомства с вланами понял, что общение между клиентами одной подсети происходит на уровне л2, и маршрутизацией/правилами фаерволла на роутере этому не воспрепятствуешь. А отдельную подсеть под на интерфейсе выделить не могу, потому что от этого же интерфейса другие домашние клиенты получают доступ и к инетренту, и к лану.

AP без поддержки vlan это какая-то странная штука. Обычно на них можно как минимум управляющий интерфейс расположить в отдельном от wifi-сети vlan.

Меня больше про тегированный интересует. Работать будет? И мне нужно именно на Wi-Fi интерфейс вешать, АР скорее всего возьму с 1 физ. портом для подключения к свичу.

Ситуация, когда роутер позволяет добавить еще одну, гостевую wifi сеть, но при этом добавляет её в тот же широковещательный домен, что и основную, просто не имеет смысла. Если в основной и гостевой сетях назначаются ip-адреса из разных сетей, то это уже говорит о том, что данные сети в разных vlan. DHCP работает на широковещательных пакетах, и будь все в одном широковещательном домене и адреса были бы одинаковыми.

Я допускаю, однако, что TP-Link может не поддерживать настройку нужных правил. На старых устройствах все было грустно, даже NAT на WAN-порту нельзя было отключить.

Ну вот для примера имеющийся у меня арчер c24 в режиме точки доступа. Опцию гостевая сеть я включил. Арчер подключен напрямую к порту микротика. Этот порт микротика в бридже со включенным фильтром вланов, то есть должен вроде понимать влан трафик. Тем не менее любые клиенты арчера видят всю сеть.

Опция «Гостевая сеть» должна создать отдельный загончик со своим SSID и паролем wifi. Но как это работает у TP-Link в режиме моста я не уверен. Настройка vlan, скорее всего не очевидная. Если я правильно помню их веб-интерфейс, то необходимо созать их в одном месте, а потом назначить порты роутера (wifi точка доступа - тоже виртуальный порт) в эти vlan в совершенно другом месте. Хотя возможно путаю с D-Link

когда роутер позволяет добавить еще одну, гостевую wifi сеть

TP-Link в режиме роутера может быть и умеет разделить. А вот как точка доступа там всего пара кнопок. https://emulator.tp-link.com/ap-c24v2-ru/index.html#guestNetworkAdv

В теории можно настроить без VLANов. На статике для основной сети и на DHCP для гостевой. Но что помешает гостю прописать статику и попасть в основную сеть?

Не знал, что у ТПлинка есть такой ресурс. Но у того их маршрутизатора, что я последним держал в руках, был совершенно другой интерфейс.

Я изначально думал, что речь шла о точке доступа, как об отдельном устройстве с одним Ethernet портом.

Видимо, стоит попробовать вернуть режим маршрутизатора и настроить точку доступа в рукопашную.

То есть для такой схемы, чтобы на AP изолировать влан от основного нетегированного влана, нужно чтобы АР поддерживала тегированные вланы?

Не понял задачу.

Если на самой Wi-Fi AP только одна гостевая сеть и её делить не надо, а Switch поддерживает работу со вланами, то просто вешаешь на порт с AP «access» vlan по вкусу. Если же не только гостевая, то делить по вланам должна сама AP.

Опция «Гостевая сеть» должна создать отдельный загончик со своим SSID и паролем wifi.

Так и есть. Отдельный SSID, при этом остальные интерфейсы остаются неизменными. Появляется после включения опции «Гостевая сеть». Больше настроек нет. На существующих интерфейсах нет возможности прицепить гостевую или что-то поменять, вроде вланид и т. д.

Вот оно самое. То есть если АП не умеет во вланы, но прицеплено к аксес порту свича с тэгированным вланом, то весь трафик через этот порт свича, который идет до этого через АП от клиентов АП, будет тоже тэгирован. Дальше уже разбираться с маршрутизацией на роутере. Спасибо.

А порт свича в сторону роутера и порт роутера на свич оба должны быть в транке, так? При условии, что на свиче от других портов может идти или нетэгированный трафик, или даже трафик с другими тэгами, но строго 1 порт = 1 тэг.

То есть если АП не умеет во вланы, но прицеплено к аксес порту свича с тэгированным вланом, то весь трафик через этот порт свича, который идет до этого через АП от клиентов АП, будет тоже тэгирован.

Нетегированный трафик на «access» порту получит заданный там влан (native). Если ты хочешь получить потом эти пакеты на роутере с тэгом, то в его сторону должен уходить «trunk» (с этим вланом, другими нужными, или со всеми). На роутере тоже «trunk», но надо понимать, что access/trunk/native - терминология, которая на разных железках может отличаться. Поэтому не стоит на неё завязываться, а надо понимать, что на каждом порту ты хочешь делать в плане тэгирования и передачи трафика. Схожесть названий может только запутать, особенно на косящих под циску cli. Может быть и вот так (кинетик):

interface GigabitEthernet0/6
    rename 6
    switchport mode access
    switchport mode trunk
    switchport access vlan 1
    switchport trunk vlan 30
    switchport trunk vlan 2
    up
!

Ты б тогда и в заголовке написал бы «AP» или «точки доступа», а то у меня это «АП» с каким-то 5.3 ассоциируется.

Может эта железка сможет решить все твои проблемы?

https://github.com/geerlingguy/raspberry-pi-pcie-devices/issues/715

Если проблема заключается в большом количестве свободного времени 😁

Ну раньше, когда трава была зеленой, динозавры высокими и свободными, доллар за 30 рублей, мы делали проще.

Доставали книгу Wendel Odom - CCNA Routing and Switching v3, обычно на работе печатали книгу, там же была машинка для сшивания бумам.

Затем на ebay покупали набор для лабораторных работ - там обычно штуки 3-5 различных коммутаторов и роутеров. Стоило рубль, а доставка червонец.

Приходилось толпой брать, составлять расписание сдачи экзаменов, затем по рукам ходила эта лаба.

Ну и самый must have способ сдать экзамен - зарегистрироваться на экзамен, указать дату сдачи и сразу заплатить на месте эти 150 долларов США.

Ну все «часики тикают» - суровая бразильская система.

А сейчас все по другому - людям даже лень GNS3 скачать себе на компьютере и развернуть там лабораторку.

чтоб на Wifi AP использовать vlan они должны быть в твоем switch и транк должен быть в порту свитча к которому ты подключаешь wifi ap.

Если на свитче несколько vlan то соответственно он должен быть подключен в транк порт роутера.

ты написал «нужен транк?» на роутере, он там нужен только если у тебя на свитче будет несколько vlan (и свитч в них умеет), тогда ты роутер и свитч соединяешь транк портами. точно так же и дальше если тебе нужно иметь несколько vlan на wifi ap, то ты соединяешь ap с транк портом.

короче если щас порт на роутере не транк то дальше просто нет никаких vlan’ов