Airport Extreme Guest无线网络可以与几乎任何其他品牌的路由器一起作为您的主路由器使用,只要它支持VLAN,但苹果已经尽力确保您不知道这一点。在这种情况下,苹果的霸主们已经走得太远了,我将向你们展示它到底是如何工作的!
使用带有第三方路由器的机场极端客户网络
但是,苹果公司只做了苹果所做的事情。他们要求要求将您的房屋连接到互联网的主要路由器也是一个极端的机场,否则客户网根本不起作用。所以在去年我一直没有客座网络,一个我真正想要的功能,因为我拒绝使用机场作为我的主要路由器。老实说,我不能。我的网络太复杂了,即使不是我有FIOS互联网,这意味着我必须打电话,并让我的ONT重新配置以使用以太网插孔而不是MOCA(同轴电缆),这将是一个主要的麻烦。
调查Apple的访客网
我所有的机场设备都插入Netgear ProSafe交换机。我的ActionTech MI424WR也插在同一个开关上。我脑子里嗡嗡作响的问题是“这真的那么简单吗?如果在这些端口上启用VLAN标记并在MI424WR上打开VLAN接口,它会工作吗?”当然我必须找到答案!
启用机场极端客户网络
您需要做的第一件事是在Airport Extreme上启用来宾网络。在Finder–>Go–>Utilities–>Airport Utility下打开Airport Utility,然后选择机场极端基站的名称。在弹出窗口中,单击编辑并输入设备密码。单击无线选项卡。在底部勾选“启用来宾网络”框,然后输入要呼叫网络的名称。同样,大多数人使用他们正常的SSID并在其中添加“-Guest”。通常,您会将“来宾网络安全”设置为“无”。否则,您仍然必须为所有客人提供密码,这对某些人可能有用。就我而言,我把它完全打开了。
在交换机上启用VLAN 1003
如果您的Airport Extreme未直接连接到路由器,则需要在交换机端口上启用VLAN标记,以便将VLAN 1003 802.1q标记传递到路由器。如果您的机场是直接连接的,请继续下一步。
如果这是您交换机上的第一个新VLAN,您将需要确保所有现有端口设置为PVID 1.这意味着它们将作为正常网络的一部分。他们会正常通过交通。然后创建了一个新的VLAN ID为1003.这个单独的事情没有任何作用,但是让交换机知道我们想在我们的网络上某处使用此ID。
要让神奇发生,请选择该VLAN,然后选择所有已插入Airport Extreme的端口,并将该端口插入路由器。在我的例子中,我在路由器上为这个VLAN指定了第二个端口,但这不是必需的。
您将得到如下图所示的VLAN配置。忽略VLAN 2,这是我的网络独有的,你不会拥有它。你会看到端口14在VLAN 1上是没有标记的,这是正常的网络,在VLAN 1003上有标记,允许它也通过该网络的流量,如果它收到了该ID的802.1q标记。
配置路由器以模拟机场极端客户网络
此时,流量应该一直传递到您的路由器,但您的路由器不知道如何处理它,并且由于此VLAN上没有DHCP服务器,连接的设备无法获得IP地址。
这将是您的类型的路由器,而不是所有路由器支持VLAN。这个例子来自我的actiontech。Linksys,Netgear,Pfsense,SonicWALL或其他人都应该支持VLAN。
在“我的网络”下,在ActionTech Mi424WR上创建一个新的VLAN-> Connections->添加。这将是一个标记的网络。将其命名为Home / Office Guest Wireless(VLAN 1003)并输入1003作为VLAN ID,单击“应用”。编辑新的网络连接并更改Internet协议以“使用以下IP地址”,然后选择适合您花哨的子网。我决定使用192.168.200.0/24。输入您使用的DNS服务器的名称,我更喜欢Google DNS,尤其是客户网。最后,在IP地址分发下,启用DHCP服务器并选择一系列IP,以便提供。我刚刚给了它一切,但是.1,因为没有别的东西应该在这个网络上。
在我的情况下,我想将端口3专门用于这个VLAN,因为我计划将这个网络的速率限制为15 Mb/s,以防止人们使用我的所有带宽。在“我的网络- >连接- >以太网/同轴”下单击“设置”,然后单击“硬件交换机端口”。我将端口3专用于VLAN 1003。然后,我把另一条电缆从MI424WR的3号端口插入我的NetGear ProSafe的8号端口。如果你决定走这条路,不要插入那根电缆,直到你已经从那个端口移除了PVID 1,否则你会造成一个环路,并使你的网络down。然后我登录到ProSafe,将端口8的QoS速率限制设置为15mb /s。
确保机场极端客户网络的安全
此时你所做的只是创建了另一个网络,但他们都可以互相交谈。我们不希望机场极限访客网络能够与我们的家庭网络交谈。创建一个防火墙规则,将所有数据包从主子网丢弃到访客网络。在ActionTech Mi424WR上,这是通过进入防火墙设置 - >高级过滤 - >您创建的新VLAN-->添加。
我刚刚输入了两个已有vlan的IP地址范围,并将动作设置为Drop。
就是这样。您的新的机场极端客网络功能已被黑客攻击,以工作在您的第三方路由器!用户应该能够连接到客户网络,从新的IP范围DHCP一个地址并访问Internet,但不是您的本地专用网络!
所以答案是肯定的!您可以将Apple的来宾无线网络与第三方路由器配合使用!!
这是超级棒极了,就像让我的一天很酷一样!谢谢
迈克,这是一个很棒的导游。写得很好。我在带有Netgear智能交换机的SonicWALL网络上实现了相同。谢谢你的内部信息。
你有没有可能用机场快线测试过VLAN1003客户网络的暴露?看起来固件是相同的(相似的)。
再次感谢!
你真是个天才!它工作得很好!
我不是天才,但是谢谢你的称赞!
先生,做得好。我很少离开kudos,但在这里,您可以为我和客户的网络提供完美的解决方案。谢谢你花时间这样做。非常感激。通过它和瞧。好的。我不得不跳过2个独立的开关 - 通过光纤耦合等。击中SonicWALL并创造了乐趣。需要在SonicWALL上进行一些虚拟网络,并在这里使用客户服务,让每个人都在访客无线网络上看到彼此相互了解,但这一切都相当简单。再次感谢。
因此,我的路由器通过以太网端口和Airport Extreme连接到我的ONT,然后插入ActionTec路由器的端口4。我按照说明,它适用,但包含的一切,常规WiFi和LAN端口,连接到极端获得192.168.200.x的IP地址。不应该在连接到访客网时获得IP范围。
是的。你做错了什么。只有您的客人才能获得.200地址。
恭维一篇良好的帖子和详细的建议。我的房子里的两个机场极端在桥梁模式下,同时使用Synology Router和托管交换机之间。我想知道为什么苹果极端的访客网没有工作,这回答了这个问题。一个雨天的周末我会尝试实施你的解决方法。干杯!
您可能不需要托管交换机;非托管交换机通常透明地通过VLAN标记的流量。只要您在防火墙上行链路上有一个匹配的VLAN接口,您应该很好。使用Netgear Unmanaged Switch进行测试只是为了验证。
许多NETGEAR设备都是非托管的“智能”开关,最肯定会通过VLAN帧。良好的呼唤!感谢您的反馈!
正如所描述的那样工作!非常感谢!!!和f ***苹果的胡说八道!
你好,我想用一个mikrotik路由器来设置这个,我不知道u在哪里,如果它直接插入到路由器上,那么进入下一步,这只是在路由器上配置另一个vlan吗?同样,现在我有一根以太网电缆从机场连接到mikrotik路由器上的lan端口。
通过谷歌搜索找到了这篇文章,帮助我解决了一个相关的问题。我的设备是一个核心路由器Apple Extreme,另外两个Apple Extreme处于“桥接模式”,可以作为通过以太网连接到局域网的wi-fi扩展。在三层楼的房子里,每层一层都有很棒的无线网络。在过去,我永远无法让“访客网络”功能发挥作用。然而,在阅读了这篇文章之后,我有了一个顿悟,也许核心交换机并没有通过VLAN流量。我试着将第二个Airport Extreme直接连接到苹果的核心路由器,瞧,客户网络就活过来了!因此,即使有一个完整的Apple设置,您也必须适当地处理通过VLAN流量。我确信我可以改变核心开关的设置来处理它,但直接插入它是一个简单的修复。
非常好的指示不幸的是,我的CenturyLink调制解调器没有提供这种灵活性。有8个机场极端我没有其他选择,而不是使用iPoe透明桥接的Centurylink调制解调器,然后在PPPoe中的主机场极端,然后是我的网络和机场的其余部分DHCP。令人失望,我真的想控制客人带宽。我的现有设备是否有其他任何选项?
非常好的信息。我的网络上有一个用于WiFi的机场终端,一旦我在APE和调制解调器之间安装了ER-X,来宾网络就停止工作。使用这里的信息,我能够为专用于WiFi的以太网端口创建一个vlan,并将来宾流量分离到它自己的子网。Vlan ID为1003,一切在来宾和主WiFi网络上运行良好!
谢谢!
谢谢你!自从我开始使用pfSense后,我的来宾网络就停止了对AP Express的操作。这几分钟就解决了我的问题。
非常感谢您的乐于帮助的文章!像我的Sophos UTM 9上的冠军一样工作。只需创建VLAN,然后将其分配给DNS,DHCP和Web过滤配置文件,就像它是另一个真实接口一样。你的说明只需3分钟即可!
我也要用Sophos Utm尝试这个问题。您是否体验了Sophos社区描述的DHCP问题?https://community.sophos.com/products/unified-threat-management/f/management-networking-logging-and-reporting/15694/vlan-use-on-home-utm.你不能在本机vlan(物理接口)上运行DHCP。你需要使用所有带标签的vlan。迈克,非访客流量有VLAN ID吗?好文章!
真棒的洞察力。我所需要的只是那个VLAN号码,然后我就去参加比赛了。我现在有了gig internet和来宾网络!
时间胶囊能起作用吗?当我打开网桥模式时,来宾网络选项被禁用
我正在使用最新的时间胶囊,我无法在桥接模式下看到访客网络选项。你知道Apple是否在时间胶囊中插上桥梁模式错误?
我正在尝试从我的Ubiquity路由器设置一个到TC的vlan。
迈克我刚刚遇到了你的写作。我很欣赏这个。是否有替代方案可以通过似乎没有VLAN设置的路由器来实现这一目标?我正在使用RAC2V1K路由器。
黄金!几年来,我一直在管理一些机场极限单元。希望使用Guest功能(同时使用我的思科交换机)创建一个独立的物联网网络。启用VLAN,给端口打上标签,就可以运行了。再次感谢!
亲爱的迈克,我想把我的家庭情况如上所述。有一件事我不明白的是,机场极限只有一个广域网端口。所以我只有一个端口连接到我的交换机或路由器。这意味着我必须为这个端口启用两个LAN / DHCP设置,其中一个带有1003的VLAN标签。这不会在我的网络上造成冲突吗?还是我错过了什么?
提前感谢您的时间和努力。
VLAN在同一端口上运行。这就是他们的全部观点。
谢谢你的回复。我不是使用VLAN的专家。因此,如果我用两个LAN/VLAN设置路由器,一个用于我的内部LAN,另一个用于我的来宾网络(不同的范围,当然带有VLAN标记1003),我将它们都设置在路由器的端口1上。接下来,我将路由器上的端口1连接到机场上的WAN端口。
这是否意味着,不带VLAN标签的LAN/VLAN 1将用于机场的LAN端口,主Wifi网络已设置,VLAN标签为1003的LAN/VLAN 2将自动用于机场的来宾网络i设置。
谢谢!
完全正确的。
你是男人! !谢谢你的支持
谢谢你的帮助,在我用IPFire替换了一个Airport Extreme路由器后,总算保住了我的皮肤。正如有人在我之前提到的,简单的非托管交换机通过VLAN帧似乎没有问题,我的来宾网络工作得非常好。
令人惊叹的至于开关,这要看情况而定。新的“哑”开关似乎可以工作。较旧的“哑”交换机将丢弃该帧,因为它认为该帧已损坏。
但是,请注意,这可能会让客户第2层网络访问您的家庭网络,这取决于交换机实际如何处理它。如果发生这种情况,黑客可以很容易地嗅探到你的私人网络流量。
嗨,迈克,我在寻找第二个网络需求的解决方案时偶然发现了你的博客。我使用第四代和第五代机场极端无线网络,这看起来正是我需要的。但看起来苹果又一次对我这么做了。
我正在使用Airport Utility 5.6.1和Airport Extreme固件7.6.4,并且我能够显示来宾网络选项卡的唯一方法是将连接共享切换到机场上的“共享公共IP地址”。然后我可以切换到共享模式并启用来宾网络。但是,当我切换回网桥模式时,该实用程序会弹出一个连接共享错误,上面说“来宾网络要求将Airport Extreme设置为使用NAT/DHCP共享公共IP地址。”
你知道有什么办法可以解决这个问题吗?
请不要理会。我放弃了,很快就把问题贴出来了。
我通常使用安装在域控制器上的Windows版本的Airport Utility。切换到iPad版本可以在网桥模式下使用来宾网络。
我的路由器不支持VLAN,我的交换机是可管理的。我可以让我的访客WiFi网络上班吗?
你好迈克,一个非常好的写作。我想知道是否有可能根据默认的VLAN网络分配TC的地址,并为主网络传递2个VLAN的一个(除默认值1以外的任何VLAN ID),一个用于访客(这将是1003)。任何反馈都非常感谢。谢谢。
我不确定我是否理解你的问题。但TC不允许对VLAN ID进行任何配置。
我的问题是,我可以选择哪个网络子网作为TC上的“主”网络吗
Default/Management with VLAN id 1(从这个范围的网络地址分配一个IP作为TC的IP) Untagged
VLAN ID为10的专用/主网络(与默认/管理VLAN ID不同的子网)–标记,我希望TC将其发送给与其连接的设备。
VLAN ID为1003的来宾网络-标记为来宾网络。
谢谢
巴拉特
从来没听说过。您无法在这些家伙上配置VLAN。如果它有那个功能,你可以用VLAN映射在你的交换机上做到这一点。
我用几个机场快线设备实现了这一点,并且它起了作用。
迈克,谢谢你的伟大文章。它适用于我的家庭网络,在桥梁模式,NETGEAR开关和FIOS路由器中使用几个机场快递设备。有趣的是,似乎路由器不会VLAN 1003设备来查看VLAN 1设备。我没有安装您推荐的过滤规则。不确定为什么。
嘿伟大的文章 - 老实说,机场极端的机场极端不允许标记或设置VLID的任何一个以太网端口。它能够拥有带有VLAN标签1003的无线网络,但如果它们扩展了标签了单独以太网端口或至少设置每个PROM的默认VLAN,则这也是很好的
时间胶囊完全相同的问题,我相信这个解决方案应该做到这一点
非常感谢这篇文章。我设法用我的思科交换机和forti路由器设置了我的客人wifi。
从你那里得到了很好的信息,并且成功了。
嗨,我真的很感谢这个信息。我正在尝试将时间胶囊放到您拥有的同一actiontec路由器上并制作访客网络。我正试图将我所有的孩子设备放在防火墙网络上。我一直通过您的教程,但当您说转到ActionTec防火墙设置/高级过滤/选择新VLAN /“添加”时,我有不同的两个选项。有网络列表,以及包含网络列表。我的高级过滤器选项(对于IN和OUT两者而言)包括“源地址,目标地址,协议”下拉菜单。然后有三个项目带框单击:DSCP,优先级,长度。我没有看到关于IP地址范围的任何东西。我明白你做了什么,但我的菜单看起来不同。对不起,我迟到了我在几年前设置了访客网络的游戏,我们从未使用过,因为孩子们不够多。
很有用。作为我在寻找的第一个搜索结果来。谢谢。
迈克,只是一个简短的票据说这仍然是一个非常有用的帖子。
我使用Verizon Fios千兆互联网和Ubiquiti Dream Machine作为我的路由器,连接到8个Apple Airport extreme。[是的,这是一座有很多砖墙的大房子]
我在易趣网上买了大部分机场的二手货,因为我不想在WiFi 6E普及之前进行全面升级。机场根据不同的地点提供400mbps到590mbps之间的服务。速度可能会受到连接设备的限制,但这已经足够满足我的需求了。
能够设置客户网是一个真正的好处,特别是因为我可以将所有我的IoT设备放在客户网上,并将[和他们毫无疑问的许多不安全感]远离我的主要网络。
非常感谢