Главная мысль: несколько SSID с разными ограничениями позволяют развести трафик под задачи — отделить IoT, гостей, детей, работу — и при этом гарантировать каждому сегменту нужную скорость, безопасность и приоритет. Для гостевой сети хватит Speed Limit + Isolation; для IoT добавляем VLAN + Client Rate Limit; для арендаторов — SSID Rate Limit + VLAN. Итог: робот-пылесос не забьёт канал, выгружая карту квартиры. Так вы оставляете себе полный канал на работу, а гости довольствуются остатком.
Главная мысль: несколько SSID с разными ограничениями позволяют развести трафик под задачи — отделить IoT, гостей, детей, работу — и при этом гарантировать каждому сегменту нужную скорость, безопасность и приоритет.
1 Что такое «ограничения» на уровне SSID
Для гостевой сети хватит Speed Limit + Isolation; для IoT добавляем VLAN + Client Rate Limit; для арендаторов — SSID Rate Limit + VLAN.
2 Подготовка оборудования
- Модель и прошивка. Archer AX55 v1.2 или выше, Deco XE75 v1, EAP EAP-650/660 HD.
- Контроллер. Omada SDN v5.9+ (аппаратный OC200 / OC300, ПО или Cloud-Based).
- Коммутатор. Для VLAN — любой TP-Link TL-SG2008P c режимом 802.1Q.
- Тариф. Узнайте канал провайдера (100 / 500 / 1000 Мбит/с) — от него будет отниматься доля SSID.
3 Создание SSID с ограничением скорости в Omada
3.1 Шаг 1. Cоздаём беспроводную сеть
- Settings → Wireless Networks → + Create.
- Имя: Guest_5G, пароль WPA2/WPA3.
- VLAN ID: 20 (изолирует на уровне L2).
- «Guest Network» = On (запрет LAN).
3.2 Шаг 2. Настраиваем SSID Rate Limit
- Вкладка Rate Limit.
- Download = 50 000 Kbit/s, Upload = 20 000 Kbit/s.
- Profile Scope = SSID (лимит на всю сеть, а не на клиента).
- Save — контроллер пропишет правило в каждый EAP.
3.3 Шаг 3. Client Rate Limit для IoT
- Settings → Profiles → Client Rate Limit → + Add.
- DL/UL = 2048 Kbit/s.
- Assign profile к SSID IoT_24.
Итог: робот-пылесос не забьёт канал, выгружая карту квартиры.
4 Настройка на Archer AX-серии (без контроллера)
4.1 Отдельный SSID 2.4 ГГц
- Basic → Wireless → Guest Network.
- Имя Kids_24, пароль.
- «Access to Local Network» = Off.
- «Rate Limit» = On, DL/UL 10 Mbps.
- Schedule 08:00–21:00 — ночью сеть спит.
4.2 Второй SSID 5 ГГц с приоритетом
- Guest Network 5 GHz: Work_5G.
- Rate Limit = 100 Mbps DL / 50 Mbps UL.
- QoS → Device Priority → ноутбук в High Priority.
Так вы оставляете себе полный канал на работу, а гости довольствуются остатком.
5 VLAN-изоляция и маршрутизация
5.1 Коммутатор
- Switch → 802.1Q VLAN → Create VLAN 20 (Guest), 30 (IoT).
- Тегируем порты к EAP и роутеру Trunk; нетегированные — к LAN-устройствам.
5.2 Маршрутизатор
- LAN Interface → Add Sub-Interface VLAN 20, IP 192.168.20.1/24.
- DHCP Pool → VLAN 20 – 192.168.20.100-199.
- ACL → Deny VLAN 20 → LAN.
Гости выходят в Интернет, но не видят NAS.
6 Расширенные сценарии
6.1 Дом с арендаторами
- 4 SSID: Flat A/B/C/D, VLAN 40-70.
- SSID Rate Limit = 25 Мбит/с.
- Контроллер генерирует ежемесячный отчёт по трафику каждого VLAN.
6.2 Школа танцев
- SSID Staff — без лимита, VLAN 10.
- SSID Students — 30 Мбит/с, VLAN 50.
- SSID Guests — 10 Мбит/с, VLAN 60, Captive Portal с паролем-по-дню.
6.3 Коворкинг
- Четыре диапазона QoS: VoIP > Work > Streaming > Guests.
- Rate Limit + WLAN Schedule (ночью только VoIP).
7 Проверьем безопасность безопасность
- WPA3-Personal там, где устройства поддерживают.
- Меняйте пароль гостевого SSID каждые 30 дней.
- Captive Portal + SMS/временные токены — знаете, кто сидит в сети.
- Откажитесь от WPS, если активны несколько SSID.
- Включите HomeShield Pro: фильтр вредоносных доменов на все VLAN.
8 Диагностика и обслуживание
Чек-лист проверка:
- Контроллер v5.9+, прошивка EAP свежая.
- Каждый SSID имеет уникальный VLAN ID.
- Профиль Rate Limit привязан к SSID.
- ACL блокирует меж-VLAN-трафик, кроме нужных правил.
- Speedtest внутри SSID показывает значение ≤ лимит + 10 %.