Я пытаюсь настроить VLAN на моем коммутаторе Netgear (GS105E). Я хочу создать две отдельные сети и хочу, чтобы у них обоих был доступ в интернет. 

My setup is 

    modem
    connected to
    router  WRT54G (with dd-wrt)
    connected to
    Netgear switch

Я настроил порт 1 и порт 5 как vlan1 и порт 2 для порта 4 как vlan2. Я подключил кабель от маршрутизатора к порту 5, и компьютер на порту 1 имеет доступ к Интернету. Однако компьютеры от порта 2 до порта 4 не имеют доступа к Интернету. Я сделал что-то не так?

PS: Я пытался создать VLAN с маршрутизатором, но безуспешно, поэтому я решил использовать коммутатор для выполнения этой работы.

|источник

3 ответа3

1

Звучит правильно для меня. У вас есть порты 2 и 4 в их собственной виртуальной локальной сети, так что да, они будут действовать как подключенные к отдельному коммутатору (тот, который не подключен ни к одному из других портов, это то, что делают виртуальные локальные сети).

Если вы хотите, чтобы все имели доступ к Интернету, то все они должны быть подключены к маршрутизатору. Это должно иметь смысл. Таким образом, вам нужны обе виртуальные локальные сети, подключенные к маршрутизатору. Вы можете сделать это двумя способами:

  1. Два физических подключения от маршрутизатора, по одному на каждую vLAN.
  2. Используйте один порт, в котором обе виртуальные локальные сети подключены в тегированной конфигурации, а не без тегов (это то, что вы используете для "обычных" портов, но порт может иметь не более одного "немаркированного" vlan). Если вы сделаете это, маршрутизатор должен быть запрограммирован, чтобы понимать помеченные пакеты vLAN, которые он получает, это не длинные "нормальные" пакеты.

Кроме того, вы упоминаете, что уже пытались что-то разделить локальные сети, но не смогли. Я предполагаю, что вы сделали что-то, чтобы разделить их, но маршрутизатор не был запрограммирован каким-либо контролем доступа, чтобы две сети не могли общаться друг с другом. Если вы выполните вышеизложенное, и у маршрутизатора по-прежнему нет контроля доступа, то, вероятно, вы окажетесь в той же ситуации.

Кроме того, вам нужно использовать две разные IP-подсети, по одной для каждой из виртуальных локальных сетей. Вы не можете использовать одну и ту же подсеть на обоих. Например, вы можете использовать 192.168.1.0/24 для одного и 192.168.2.0/24 для другого.

|источник
1

В комментарии к другому ответу на этот вопрос вы сказали: «Кроме того, когда я пытался настроить vlan на моем маршрутизаторе, все работало отлично, за исключением того, что компьютер vlan2 мог открывать только определенные веб-сайты».

Это подсказка, что ваш маршрутизатор мог делать VLAN программно, а не аппаратно.

Аппаратное обеспечение Ethernet, которое не знает о VLAN (до 802.3ac и 802.1Q), ожидает, что максимальный размер кадра составляет 1518 байт (полезная нагрузка 1500 байт, плюс 14 байтов заголовка и 4 байта трейлера контрольной суммы CRC). Но заголовок VLAN составляет 4 байта, поэтому, чтобы сохранить максимальную полезную нагрузку 1500 байт, которую ожидают большинство протоколов верхнего уровня, максимальный размер кадра Ethernet был увеличен до 1522 байт в 802.3ac (теперь часть 802.3-2008). , Но многие ОС понимали, что вы можете создавать виртуальные локальные сети в программном обеспечении на хосте, даже если у вас нет аппаратного обеспечения, поддерживающего VLAN, но вам пришлось сократить размер полезной нагрузки (IP MTU) до 1496 вместо 1500, чтобы освободить место для 4-байтовых байт Заголовок VLAN при использовании старого оборудования, которое может обрабатывать только 1518-байтовые кадры.

Так! Обходной путь для решения проблемы, которая сводила вас с ума в течение двух дней, возможно, заключалась в том, чтобы настроить MTU на всех ваших машинах в VLAN 2 (включая маршрутизатор) для использования 1496 вместо 1500, поскольку похоже, что ваш маршрутизатор выполнял VLAN в программном обеспечении ,

При загрузке некоторых веб-сайтов происходило то, что либо веб-браузер, либо веб-сервер пытались отправить IP-дейтаграмму с максимальным размером Ethernet 1500 байт, но это должно было стать 1522-байтовым кадром Ethernet, с которым аппаратное обеспечение вашего роутера не могло справиться, так что оно упало. Сайты, которые можно загружать, не требуя отправки или получения IP-дейтаграмм размером более 1500 байт (включая сайты, использующие более низкие значения MTU или сайты, где обнаружение Path MTU работало хорошо), все равно будут нормально загружаться.

|источник
1

Вам нужно запустить DHCP и DNS на vlan2 , и, очевидно, разрешить пересылку и NAT для этого vlan2 .

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .