Я приобрел (60 долларов) "винтажный" коммутатор Dell PowerConnect 5324 для домашнего использования. У меня есть несколько серверов (DHCP, NAT, NAS, VM host), и я хочу разделить их между различными внутренними VLAN.
У меня есть администратор, дети, гостевой WiFi и внутренние сегменты WiFi, которые в настоящее время все видны друг другу, включая все серверы.
Я боролся с тем, как настроить порты и VLAN на коммутаторе. Пример - я хочу, чтобы VLAN для детей имел доступ только к DHCP и NAT, но не к виртуальной и локальной сетям, но я хочу, чтобы VLAN администратора имела доступ ко всем (и т.д.)
Как мне настроить порты для серверов, чтобы разрешить доступ только из некоторых VLAN, но запретить другим? 99% моих устройств НЕ поддерживают VLAN, поэтому порты 5324 должны быть настроены на прием кадров без тегов и их маркировку, но только внутри - теги должны быть удалены перед выходом из портов.
До сих пор я пытался настроить порты как "Общие" и сделать, скажем, DHCPd-порт членом U (без тегов) дочерних и административных VLAN, но что-то всегда ломается.
Чтобы сделать это настоящим испытанием, у меня есть два VLAN-совместимых коммутатора - один в подвале, один наверху, и я хочу соединить все VLAN между ними, так как некоторые из моих "детских" устройств находятся наверху и внизу, а также мой ». admin "ака сегменты для взрослых.
ТЛ; др:
(1) Нужно ли настраивать соответствующие VLAN на обоих коммутаторах, например, нужно ли, чтобы Admin_101, Kids_133 и т.д. Были известны обоим коммутаторам?
(2) В каком режиме я должен установить порт коммутатора, который подключен к устройству "admin": General/GVID 101, и установить для всех остальных портов 101 член / без тегов?
(3) В каком режиме я помещаю порт коммутатора, к которому подключено "детское" устройство: General/GVID 123, и устанавливаю только те порты, к которым я хочу, чтобы они имели доступ к элементу 123 / без тегов?
Извините за скучный вопрос. Я гуглил и экспериментировал в течение нескольких дней с частыми поездками в подвал, чтобы сбросить коммутатор для загрузки предыдущей конфигурации, потому что я отрезал себя от возможности добраться до него через http / ssh ...
Любые подходящие ссылки будут с благодарностью.
ТИА!
3 ответа
Ни один из портов для ваших конечных точек не должен быть помечен. Все порты конечной точки должны быть настроены как порты доступа.
Вам необходимо настроить порт коммутатора, который связывается с другим коммутатором, как транковый порт. Аналогично, порт на другом коммутаторе, который подключается к коммутатору Dell, должен быть настроен как магистральный порт.
Вам понадобится маршрутизатор для маршрутизации трафика между VLAN.
Вам необходимо настроить каждый набор конечных точек с IP-адресами соответственно. Конечные точки в той же VLAN будут нуждаться в IP-адресе в той же IP-сети. Конечные точки в каждой VLAN не должны использовать IP-адреса в той же IP-сети, что и в другой VLAN. Например; все устройства в VLAN 1 могут быть настроены с IP-адресом в IP-сети 192.168.1.0/24. Все устройства в VLAN 2 могут быть настроены с IP-адресом в IP-сети 192.168.2.0/24.
Да, вам нужно настроить "совпадающие" VLAN на обоих коммутаторах. Вам также необходимо убедиться, что магистральные порты настроены для передачи трафика для VLAN, которые вы настраиваете.
Вы можете использовать ACL на маршрутизаторе для контроля (разрешения или ограничения) трафика между VLAN.
Догадаться. Так как я действительно не хотел добавлять роутер.
Я проверил с 4 хостами: 2 "клиентами" и 2 "серверами", ни один из которых не поддерживает VLAN.
Клиенты подключены к портам 3 и 4.
Серверы подключены к портам 19 и 20.
Сделал все четыре порта "General", создал VLAN для каждого порта (так как я имитирую 4 логических сегмента сети, 151 и 152 для портов 3 и 4 соответственно, 153 и 154 для "серверов" портов 19 и 20).
Член порта 3 VLAN 153 и 154 сделан без тегов, член порта 4 VLAN 154 только без тегов.
В результате клиент 1 может видеть оба сервера (в портах 19 и 20 в VLAN 153/154), а клиент 2 может видеть только сервер 2 в порту 20.
Конфиг ниже:
console# show running-config
port jumbo-frame
interface range ethernet g(3-4,19-20)
switchport mode general
exit
vlan database
vlan 151-154
exit
interface ethernet g3
switchport general pvid 151
exit
interface ethernet g4
switchport general pvid 152
exit
interface ethernet g19
switchport general pvid 153
exit
interface ethernet g20
switchport general pvid 154
exit
interface range ethernet g(3,19-20)
switchport general allowed vlan add 151 untagged
exit
interface range ethernet g(4,20)
switchport general allowed vlan add 152 untagged
exit
interface range ethernet g(3-4,19)
switchport general allowed vlan add 153 untagged
exit
interface range ethernet g(3-4,20)
switchport general allowed vlan add 154 untagged
exit
interface vlan 151
name Client151
exit
interface vlan 152
name Client152
exit
interface vlan 153
name Server153
exit
interface vlan 154
name Server154
exit
interface vlan 1
ip address 192.168.1.5 255.255.255.0
exit
ip default-gateway 192.168.1.1
ip name-server 8.8.8.8 8.8.4.4
Думаю, это просто вопрос ограничения моих переменных и использования тестовой среды. Спасибо всем за ответы! Далее тестирование багажника.
Если ваши устройства НЕ поддерживают VLAN (и их интерфейсы подключены в разных VLAN), то связь между ними может быть достигнута только на уровне 3. Настройте маршрутизатор и направьте или заблокируйте трафик в соответствии с вашими потребностями.