-1

Я изо всех сил пытаюсь выяснить, как я могу заставить VLAN (назовем это A) видеть другую VLAN (пусть это будет B), и я хочу, чтобы B VLAN не могла видеть A VLAN.

Я упоминаю, потому что я хочу эту конфигурацию для сервера Windows.

|источник

1 ответ1

2

VLAN работают так же, как две обычные отдельные сети: по умолчанию они не "видят" друг друга и могут обмениваться данными только через маршрутизатор (в котором настроены обе VLAN, вероятно, как "помеченные" интерфейсы). Поэтому, если вы хотите предотвратить определенные типы связи, вы должны сделать это в правилах брандмауэра маршрутизатора.

И, как правило, вам нужен переключатель , который поддерживает конфигурацию VLAN. (Сама Windows может делать это только в том случае, если она действует как коммутатор для виртуальных машин Hyper-V.) Вероятно, не очень хорошая идея настраивать VLAN непосредственно на конечных хостах - если их нечего применять, то это не очень безопасно.

(Кроме того, если не считать режим "виртуального коммутатора" Hyper-V, сама Windows фактически не имеет собственной конфигурации VLAN. Некоторые драйверы предоставляют это; некоторые водители этого не делают; некоторые драйверы принимают все пакеты, игнорируя любой тег VLAN ... Linux и BSD более гибки в этом отношении.)

Например (не уверен, что это действительно хорошо, но технически это работает):

  • Переключатель:

    • Порт 1 (помеченные VLAN 10, 20) → маршрутизатор
    • Порт 2 (без тегов VLAN 10) → сервер
    • Порт 3 (без тегов VLAN 20) → настольный ПК

  • Маршрутизатор (пример Linux):

    • Интерфейс "eth0" (без тегов) - ничего (может быть, управление IP? Не знаю)
    • Интерфейс "eth0.10" (VLAN 10) - адрес 192.168.10.1/24
    • Интерфейс "eth0.20" (VLAN 20) - адрес 192.168.20.1/24
    • Брандмауэр настроен на разрешение новых подключений с 192.168.10.0/24 , но только от всех остальных ожидаются ожидаемые ответы. (В Linux это были бы iptables с цепочкой "FORWARD" и «-m state».)

  • Сервер:

    • Интерфейс "Ethernet" - адрес 192.168.10.3/24

  • Настольный ПК:

    • Интерфейс "Ethernet" - адрес 192.168.20.7/24
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .