1

У меня есть типичная домашняя сеть, состоящая из маршрутизатора ASUS RT-N16 с DD-WRT и нескольких проводных и беспроводных клиентов. Новым в сети является Raspberry Pi, который будет использоваться командой для школьного проекта, над которым я работаю.

Pi настроен на запуск обратного туннеля SSH к серверу, обращенному к Интернету, чтобы любой человек в более широком Интернете мог подключиться к SSH к устройству в моей домашней сети.

Поскольку Pi доступен в Интернете, а также в моей домашней сети, я хочу отделить его от всех других моих устройств в сети. По сути, я хочу, чтобы Пи был на одной стороне забора, а все остальное - на другой. Все устройства должны иметь доступ к Интернету.

Сначала я безуспешно пытался настроить две виртуальные локальные сети на своем маршрутизаторе DD-WRT, но после дня бездействия и серфинга на форумах многие люди испытывали проблемы с ошибками прошивки. Чтобы облегчить себе жизнь, или, как мне показалось, я купил TP-Link TL-SG108E "Easy Smart Switch", который рекламирует поддержку VLAN. Хотя я не могу заставить его работать так, как я ожидал!

На коммутаторе TP-Link:

  • Порт 1 - идет к встроенному коммутатору маршрутизатора
  • Порты 2-7 - мои разные клиенты
  • Порт 8 - Raspberry Pi будет отделен

Сначала я попытался настроить VLAN на основе портов. Кажется, я не мог назначить порт 1 (маршрутизатор) двум VLAN одновременно.

Настройка VLAN на основе портов:

Если бы я выбрал VLAN 2 для включения порта 1, он был бы удален из VLAN 1.

Я перешел к попытке настроить VLAN на основе тегов 802.1Q.

VLAN 802.1Q

i.stack.imgur.com/79fQP.png

С PVID

идентификатора PVID

i.stack.imgur.com/5ItpX.png

Эта настройка, казалось, работала, когда порт 8 имел PVID, отличный от 1 до 7, Pi был недоступен из моей локальной сети, но он также был недоступен и из Интернета! Если бы я сделал маршрутизатор PVID 1, мои клиенты PVID 2 и Pi PVID 3, ничто не могло бы общаться с маршрутизатором вообще.

На данный момент, я смущен и готов признать свое невежество. Что я делаю неправильно?

|источник

2 ответа2

3

Требуемая сегрегация - это то, для чего подходит VLAN с несколькими арендаторами . Цитирование текста справки в конфигурации коммутатора:

MTU VLAN (Multi-Tenant Unit VLAN) определяет порт восходящей линии связи, который будет создавать несколько VLAN с каждым из других портов. Каждая VLAN содержит два порта: порт восходящей линии связи и один из других портов коммутатора, поэтому порт восходящей линии связи может связываться с любым другим портом, но другие порты не могут связываться друг с другом.

Таким образом, вы можете использовать это и настроить порт 1 в качестве порта восходящей линии связи. К сожалению, это также означает, что порты со 2 по 7 не могут взаимодействовать друг с другом.

Если вам нужны порты со 2 по 7 для связи, вам нужно взглянуть на другие варианты, потому что функция VLAN для мультитенантного блока не является достаточно гибкой, чтобы это позволить.

VLAN на основе портов, как вы заметили, также не может делать то, что вы хотите.

Это оставляет помеченные VLAN как ваш последний вариант. Но наличие порта, который должен быть членом без тегов более чем одной VLAN, проблематично, потому что кадры без тегов, отправленные на коммутатор, могут быть предназначены для любой из этих VLAN, и коммутатор не может знать.

Вместо этого вам следует сделать так, чтобы порт восходящей линии связи с маршрутизатором был участником без тегов, состоящим не более чем из одной виртуальной локальной сети, а остальным - с тегами.

На самом маршрутизаторе вам также необходимо настроить те же теги VLAN, чтобы маршрутизатор знал, из какой VLAN был получен пакет, и маршрутизатор может указать коммутатору, для какой VLAN предназначен пакет.

На маршрутизаторе это будет выглядеть как два виртуальных сетевых интерфейса, подключенных к двум различным VLAN. И рекомендуемая конфигурация состоит в том, чтобы маршрутизатор использовал разные префиксы IP для двух VLAN.

|источник
0

Ваша желаемая настройка определенно возможна на этом устройстве. "VLAN на основе портов" недостаточна, поскольку она не позволяет одному порту быть членом нескольких VLAN. С "802.1Q" это возможно. Мои настройки, которые я выполнял именно на этом устройстве, были более или менее идентичны тому, чего вы хотели бы достичь.

Моя настройка:

Portnum   Device     Member of VLAN   VLAN-ID INCOMING FRAMES GET ASSIGNED (PVID)
--------|----------|----------------|-----------------------------------------
Port 1     Router        1,2,3                        1                 
Port 6    Device A        1,2                         2
Port 7    Device B        1,3                         3

При такой конфигурации порты 6 и 7 отделены друг от друга. Оба могут общаться с портом 1, но не друг с другом.

Объяснение: Кадры Ethernet, входящие в порт 6, помещаются в VLAN 2. Поскольку порт 1 является членом VLAN 2, они могут выходить через этот порт и таким образом достигать устройства позади него (маршрутизатора). Они не могут выйти через порт 7, так как он не является членом VLAN 2. Когда маршрутизатор хочет ответить, его фреймы Ethernet, которые входят через порт 1, помещаются в VLAN 1. Порт 6 является частью VLAN 1, поэтому они могут выходить через этот порт. Они могут выходить через порт 7, но поскольку кадры не несут MAC-адрес устройства позади него, у коммутатора нет причин заставлять их делать это.

Пожалуйста, найдите скриншоты моей рабочей настройки ниже.

Страница 802.1Q VLAN

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .