У меня есть сеть с несколькими VLAN, каждая из которых содержит ресурсы или клиентов с разными правами доступа.
Для простоты предположим, что у меня есть 3 VLAN:
В этой настройке я хотел бы, чтобы автоматическое обнаружение и управление правами доступа работали так, чтобы клиенты в VLAN 10 могли обнаруживать и получать доступ к ресурсам в VLAN 10 и 30, а клиенты в VLAN 20 могли обнаруживать и получать доступ к ресурсам в VLAN 20 и 30. Ресурсы, которые мне нужно автоматически обнаруживать, относятся к разным типам (сетевые ресурсы Windows, принтеры, камеры видеонаблюдения, устройства Apple и т. Д.), Поэтому работает несколько различных механизмов, о большинстве из которых я не знаю.
Можно ли сделать такую настройку общей, чтобы устройства в VLAN 10 видели одну сеть, состоящую из VLAN 10 и 30, и вели себя так же, как если бы все были подключены к одному и тому же коммутатору, а устройства в VLAN 20 видели сеть что состоит из всех устройств в VLAN 20 и 30?
Нужно ли мне создавать мост между VLAN 10 и 30 и второй мост между VLAN 20 и 30? Будет ли это также неявно соединять VLAN 10 и 20 (неприемлемо)? Если да, могу ли я просто запретить этот неявный мост с помощью правил брандмауэра (например, отбрасывать все пакеты из VLAN 10 в VLAN 20 и наоборот)?
Каким будет лучший способ подсети такой схемы и как мне настроить DHCP для этого? Мои текущие мысли примерно следующие:
Можно ли заставить такую настройку работать на маршрутизаторе на базе Vyatta-Linux, особенно в части DHCP? Кажется, он определяет, какие интерфейсы следует прослушивать, на основе предоставляемой мной подсети. Итак, чтобы он слушал eth0.10 (VLAN 10), мне нужно было бы дать ему подсеть 192.168.10.0/24, но я бы хотел, чтобы DHCP-клиентам было сказано, что это подсеть 255.255.0.0, а не 255.255.255. 255.0.
Какие еще службы / пересылки мне нужно настроить (например, проксирование ARP), чтобы быть разумно уверенным в том, что все распространенные механизмы автоматического обнаружения должны работать?
Любая помощь приветствуется.
Вы и @joeqwerty активно обсуждали этот вопрос в комментариях, и я собираюсь повторить некоторые из них.
Давайте начнем с простой основы: существует множество стандартных и огромное количество проприетарных протоколов «автоматического обнаружения», то есть протоколов, по которым хосты или программы клиента и сервера определяют местонахождение друг друга. Говорить об "автоматическом обнаружении" как о монолитной сущности - значит обойти всю проблему. Имейте это в виду.
Вы разделили свою сеть на несколько виртуальных локальных сетей. Между этими виртуальными локальными сетями не будут передаваться широковещательные сообщения. Многие (большинство?) Протоколов автоматического обнаружения основаны на широковещательной передаче, поэтому им не удастся найти хосты в других VLAN.
Простое соединение сетей вместе не поможет вам, потому что, по сути, вы просто снова превратите все сети в одну большую LAN. Все другие причины, по которым у вас есть сегментирование на несколько VLAN, не имеют значения.
Выборочная пересылка протоколов между виртуальными локальными сетями - вот где все станет интересно.
Стандартные протоколы автоматического обнаружения на основе IP, такие как NetBIOS "просмотр", mDNS (известный как "ZeroConf" или "Bonjour" и другие, могут быть перенаправлены между IP-подсетями (которые обычно сопоставляются 1 к 1 с VLAN логическими подсетями). -интерфейсы на маршрутизаторах) с надлежащим программным обеспечением шлюза на уровне приложений. Существуют различные продукты от нескольких поставщиков, которые могут это сделать (используйте свою любимую поисковую систему и ищите «прямую связь между подсетями», и вы найдете много чего, например .)
Собственные протоколы автоматического обнаружения будут более проблематичными. Вам придется надеяться, что кто-то написал программное обеспечение для пересылки их через VLAN или подсети. Протоколы, которые работают только на уровне 2, будут еще более проблематичными, потому что для того, чтобы справиться с таблицами смежности, ваши коммутаторы ведут учет VLAN, с которой связан MAC-адрес, любое программное обеспечение межсетевого шлюза VLAN должно иметь какой-то прокси-MAC.
То, что вы ищете, возможно, но с этим придется обращаться в соответствии с индивидуальным протоколом. Не существует «волшебной палочки», которую можно применить для достижения желаемого результата.