DD-WRTとVLANでマルチテナント無線LAN

以前、こういうエントリを書きました。このときは実際に通信をさせて確認したわけではなく、設定画面上の確認でとどめていたと記憶しています。

今回実際に設定を調整して、複数の上位回線に対して1つのAPで複数のSSIDを飛ばして、それぞれの認証設定にもとづいて上位回線に接続できるようにしてみました。

  1. WAN設定をDisable、Routing ModeをRouterに設定する。
  2. 上位VLANにbr0を接続するために、VLAN Interfaceを追加し、br0に対して適当なVIDを設定したbr0.Nを作成する。
  3. 無線LANとのブリッジを行うためにbrNを作成して、br0.NをbrNに追加する。STPをOFFにする。
  4. 無線インタフェースの仮想インタフェースathX.Mを作成して認証設定を行う。
  5. 作成したathX.MをbrNに追加する

前回の記事との違いは上位接続用のインタフェースと管理用インタフェースを分けていないことと、STPを無効にしたことです。

前回設定を試行した時点ではVLANとBridgeをうまく共存するやりかたがわからなかったので、管理IFはVLAN無しで、上位接続用はtagged VLANのみでそれぞれ無線VIFにBridgeしていましたが、今回は管理+上位接続を同じBridgeに接続し、br0に対してtaggedなインタフェースbr0.Nを生やして、仮想無線インタフェースと個別にBridgeで接続しました。これによって1本のLANケーブルで管理+サービスを賄うことができます。なお、この状態では、無線の親インタフェースはbr0に接続されているので、親インタフェースに接続したクライアントがtaggedなフレームを送受信できる場合、各VLANにアクセスできることになります。構成によっては脆弱性となるので注意が必要です。

もう1点、STPを無効にした点は、実際の通信を行うために必要な設定です。前回は通信を行わなかったので気づかなかったのですが、このBridgeでSTPが有効になっていると接続した無線クライアントとの通信が即座に開始できず、接続が失敗します。そのためSTPを無効にする必要があります。このBridgeはエッジに存在することとなるので、ループ構成となることは一般的にないと思いますが、一応トポロジに注意しましょう。スクリーンショット 2013-07-15 14.38.02

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です