Настройка VLAN между контроллером и UniFi Mesh Pro | Ubiquiti форум UBNT: инструкции, настройка

Настройка VLAN между контроллером и UniFi Mesh Pro

eEye

новичок
11 Мар 2019
16
0
3
34
Добрый день.
Техподдержка продавцов сайта отказалась помочь, т.к. точки покупали у них через другую фирма, а не напрямую, в связи с чем возникла неразрешимая пока проблема.

Во главе стоит ядро сети раздающее 100 и 70 vlan trunk(tag), далее коммутаторы на классические устройства раздают 100 access (untag) и на остальные устройства как захотим.

Сеть состоит из 2 vlan:
100 - рабочий для офиса со своими ограничениями
70 - гостевой для гостей и интернета, без ограничений (только шейпер)

Контроллер соответственно воткнут в порт с access (untag) 100 vlan
все 3 AP Mesh Pro воткнуты в порты с access (untag) 100 vlan и trunk (tag) 70 vlan

На AP Mesh Pro настроено 2 wi-fi:
Office (100 vlan trunk(tag))
Guest (70 vlan access(untag))

Проблема: из чего понятно, что AP Mesh Pro в wifi Office ничего не выдадут, т.к. на них 100 vlan указан trunk(tag), а на коммутаторе этот порт в 100 access (untag).
Если на порту поменять 100 в trunk(tag) то контроллер перестаёт видеть AP Mesh Pro, т.к. им нельзя задать какой vlan слушать для управления, как и контроллеру (или не верно и я что-то пропустил?).
Если оставить как есть и на Ap Mesh Pro wifi Office повесить без vlan (т.е. 100 access(tag)), то теоретически это "дырка" в безопасности, т.к. при отключении Ap Mesh Pro и включении контрабандного ноутбука, он получит доступ в рабочую сеть. По MAC тоже не зажать, т.к. с точки доступа все клиенты wifi летят с разными мак и за день может быть до 1000 разных маков.

Как мне кажется изначально непродуманно, что нельзя указать как vlan слушать контроллеру и управлению Ap Mesh Pro. Как победить эту проблему?

UPDATE: Перечитал и понял что объяснил коряво. В сети используется управляющий и рабочий vlan один и тот же "100", а изолированный интернет от сети "70". Получается что на AP Mesh Pro должен приходить "100" одновременно не тегированный и тегированный, а так же тегированный "70", что по своей природе не имеет смысла.
 
Последнее редактирование: