Прежде всего, большое спасибо за то, что нашли время прочитать мой пост, я надеюсь на некоторую помощь!
Я надеялся получить некоторую помощь с правильной настройкой моих сетевых коммутаторов. Я не верю, что моя проблема напрямую связана с vlan в моей настройке pfSense, скорее с моими сетевыми коммутаторами, но, пожалуйста, дайте мне знать ваши мысли.
Для простоты я буду использовать только два переключателя, и как только он заработает, я могу внести те же изменения для третьего переключателя. Я почти уверен, что моя проблема в том, что я неправильно понимаю теги vlan, поэтому я искал некоторые рекомендации. Цель состоит в том, чтобы в конечном итоге сегментировать мою сеть и обеспечить правильную работу виртуальных локальных сетей. У меня есть камеры видеонаблюдения, которые я хотел бы разместить в отдельном сегменте, а также некоторые точки доступа, которые я также хотел бы настроить для своей беспроводной сети. У меня также есть настройка VLAN для устройств IOT.
В настоящее время я просто снимаю теги со всех портов на всех коммутаторах в моем vlan по умолчанию и пропускаю весь трафик для всего, пока я не смогу заставить все работать правильно. Я некоторое время возился с вещами, но, похоже, не могу заставить это работать.
================================================== ====================
Маршрутизатор = pfSense Все сетевые коммутаторы = коммутаторы HP Procurve (модель 2530), один - 24-портовый коммутатор Гбайт, другой - 24-портовый PoE.
У меня всего 5 виртуальных локальных сетей, настроенных на всех коммутаторах, и в маршрутизаторе "default_vlan" не используется (согласно передовой практике).
================================================== ====================
Я использую брандмауэр pfSense, и у меня все vlan правильно настроены на маршрутизаторе, насколько я могу судить, сетевой интерфейс брандмауэра подключен к порту 1 на switch01. Порт 24 на Switch01 настроен как магистральный порт и подключается к порту 23 на Switch02.
Я опубликую конфигурации для обоих коммутаторов ниже, но хотел бы, чтобы вы знали, для чего нужны основные порты. Вы увидите ниже в конфигурациях, но в моем тестировании я просто подключил ноутбук к порту 1 на switch02, чтобы посмотреть, смогу ли я вытащить для него dhcp-адрес (можно получить IP-адрес только из моего vlan по умолчанию). Этот конкретный vlan, с которым я возился, называется WIFI, поэтому я просто хотел указать на это, чтобы не было путаницы, пока вы смотрите на мою конфигурацию.
Вот текущие конфигурации моих коммутаторов после внесения дополнительных изменений. Я понимаю, что мне не нужно указывать IP-адреса для каждого vlan, и я могу удалить их, чтобы еще больше упростить ситуацию, но я хотел поместить их туда, чтобы проверить, и исключить это.
======================================================================
Switch01:
======================================================================
HP-SW-01# show running-config
Running configuration:
; J9776A Configuration Editor; Created on release #YA.15.17.0007
hostname "HP-SW-01"
ip default-gateway 10.10.1.1
snmp-server community "public" unrestricted
vlan 1
name "DEFAULT_VLAN"
no untagged 1-28
ip address dhcp-bootp
exit
vlan 100
name "100-DEFAULT"
untagged 1-28
ip address dhcp-bootp
exit
vlan 200
name "200-CAMERAS"
tagged 1,24
ip address 10.10.2.1 255.255.255.0
ip helper-address 10.10.1.1
exit
vlan 300
name "300-GUESTWIFI"
tagged 1,24
ip address 10.10.3.1 255.255.255.0
ip helper-address 10.10.1.1
exit
vlan 400
name "400-WIFI"
tagged 1,24
ip address 10.10.4.1 255.255.255.0
ip helper-address 10.10.1.1
exit
vlan 500
name "500-IOT"
tagged 1,24
ip address 10.10.5.1 255.255.255.0
ip helper-address 10.10.1.1
exit
primary-vlan 100
======================================================================
Switch02:
======================================================================
HP-SW-02# show running-config
Running configuration:
; J9773A Configuration Editor; Created on release #YA.15.12.0007
hostname "HP-SW-02"
ip default-gateway 10.10.1.1
snmp-server community "public" unrestricted
vlan 1
name "DEFAULT_VLAN"
no untagged 1-28
no ip address
exit
vlan 100
name "100-DEFAULT"
untagged 2-28
ip address 10.10.1.6 255.255.255.0
exit
vlan 200
name "200-CAMERAS"
tagged 23
ip address 10.10.2.1 255.255.255.0
exit
vlan 300
name "300-GUESTWIFI"
tagged 23
ip address 10.10.3.1 255.255.255.0
exit
vlan 400
name "400-WIFI"
tagged 1,23
ip address 10.10.4.1 255.255.255.0
exit
vlan 500
name "500-IOT"
tagged 23
ip address 10.10.5.1 255.255.255.0
exit
primary-vlan 100
================================================== ==================== На стороне pfSense (маршрутизатор): ====================== ================================================ Все VLans настраиваются в разделе VLAN с использованием того же тега VLAN и даже описания (хотя это не имеет значения). Хотя у меня есть дополнительные порты сетевых адаптеров на моем брандмауэре, я физически не сегментирую их на данный момент, скорее я использую интерфейс LAN-порта для каждого из vlan.
================================================== ====================
Я «предполагаю», что порт, к которому мой маршрутизатор подключается на switch01, должен быть магистральным портом, но все ли vlan должны быть помечены (включая vlan по умолчанию)? В настоящее время я настроил его так, что vlan по умолчанию не помечен, а все другие vlan помечены. Я попытался изменить этот порт, чтобы все vlans были помечены (как я думал, это правильный способ), но затем я теряю подключение к Интернету на моем основном рабочем столе, который подключен к порту на switch01 (не на ноутбуке, на котором я тестирование на порту 1 выше).
Тот же вопрос, что и выше, для всех магистральных портов. Таким образом, порт 24 на switch01, который подключается к порту 23 на switch02, должен быть моим магистральным портом, все ли здесь должны быть помечены vlan, потому что в настоящее время у меня нет тегов vlan по умолчанию (это единственный способ передать трафик на второй switch), а все остальные vlan настроены как только что отмеченные.
Ноутбук, который я использую, чтобы проверить, могу ли я вытащить dhcp-адрес, подключенный к порту 1 на switch02, если для vlan по умолчанию установлено значение «нет» и я должен просто пометить этот порт на WIFI vlan, или должен ли vlan по умолчанию оставаться немаркированным, в то время как vlan WIFI должен быть установлен на Tagged? Насколько я понимаю, вы хотите пометить только порт коммутатора на vlan, с которым хотите, чтобы он взаимодействовал.
Приношу свои извинения за эти глупые вопросы, но мне трудно заставить все работать здесь. Я перепробовал так много сценариев, но, похоже, ничего не работает.
Спасибо за любую помощь в этом вопросе! Я очень ценю любую помощь здесь!
Прежде всего вы должны знать, что HP и Cisco по-разному используют термин «магистраль». То, что HP называет магистралью, Cisco называет Etherchannel (агрегация портов).
Я буду использовать термин в смысле Cisco (магистраль VLAN), поскольку вам это кажется комфортным.
Магистральные порты могут иметь до одной нетегированной VLAN; все остальные должны быть помечены. При желании вы можете пометить все сети VLAN на транке. Конфигурация тегов должна совпадать на обеих сторонах магистрального канала.
Такие устройства, как ПК, камеры, и т.п. не понимают теги VLAN. Таким образом, порт, на котором есть ПК, должен иметь желаемую VLAN. непомеченный в этом порту. Например, если вы хотите, чтобы ваша камера была подключена к VLAN 200, у вас должна быть VLAN 200 без тегов на порте камеры.
Некоторые устройства, например IP-телефоны, понимают теги. Как правило, VLAN для данных не имеет тегов, а VLAN для VoIP - тегированы.