Как настроить 2 отдельные VLAN на одном коммутаторе (коммутатор HP v1910-48G)

НОВЫЙ ОТВЕТ:

ПЕРВЫЕ ПОНИМАЙТЕ ЭТИ УСЛОВИЯ:

• Рамка: Когда пакеты работают на уровне 2 уровня модели OSI, они разбиты на фрейм / фрейм Ethernet.
• 802.1q VLANS: мы будем устанавливать VLANS, помещая тег VLAN на пакеты / кадры - теги могут быть удалены и добавлены к пакету / кадру (это введено Tagging / Untagging / PVID). Существует еще одна концепция VLANS на основе портов, которая в основном разделяет пакеты / кадры в зависимости от того, на какой порт они поступают, при этом нет никаких манипуляций с пакетами / кадрами для добавления или удаления тегов с помощью VLANS на основе портов. VLAN на основе портов очень ограничены и больше не используются. Мы можем достичь типа поведения VLANS «на основе портов» с помощью 802.1q, что я покажу здесь. ПК на определенных портах будут привязаны к определенной VLAN в зависимости от того, какой PVID мы им дадим.
• Теги: Порты, для которых установлено значение Tag VLAN #x, позволят пакетам / кадрам не выходить из этого порта, если на них есть тег VLAN #x. При выходе из переключателя бирка останется включенной. Это предпочтительнее, если вы хотите отправить пакет другому устройству с поддержкой VLAN (например, коммутатору, телефону VOIP или маршрутизатору, который понимает VLAN). Тег = Выход с тегом.
• Разметка: Порты, для которых установлено значение UnTag VLAN #x, позволят пакетам / кадрам не выходить из этого порта, если на них есть тег VLAN #x. При выходе из выключателя бирка будет снята. Компьютеры и устройства, не поддерживающие VLAN, должны получать немаркированные пакеты, поскольку они не понимают теги VLAN (если у них нет специальных интерфейсов с этой функцией). Untag = выход без тега.
• PVID: Пакеты / кадры, поступающие в коммутатор без какого-либо идентификатора VLAN (без тега), будут помечены PVID. Конечным результатом является то, что каждый пакет / кадр внутри коммутатора чем-то помечен. Порты не могут иметь пустой PVID, я имею в виду, что технически они могут, но коммутаторы Netgear / HP имеют PVID по умолчанию, равный 1. Это означает, что внутри заводского переключателя по умолчанию все пакеты / кадры имеют тег 1, но это не имеет значения, как на выход они все немаркированы 1 (так что удаляется) - это как если бы кадры никогда не менялись.
• Пустой порт: Что делать, если порт не имеет TAG или UNTAG для определенного номера VLAN? Тогда пакеты, к которым прикреплен определенный номер VLAN (с тегами), не будут выходить из этого порта. Пустой порт = нет выхода.
• Примечание: Здесь я называю следующий переход от ПК МАРШРУТИЗАТОРОМ. Этот МАРШРУТИЗАТОР также является вашим шлюзом в Интернет (ну, в данном случае, в реальной жизни у вас может быть маршрутизатор, подключенный к другой сети, но не к Интернету). Итак, этот наш МАРШРУТИЗАТОР выполняет МАРШРУТИЗАЦИЮ, NAT (так что это хороший ШЛЮЗ ПО УМОЛЧАНИЮ, а также он действует как ГОСУДАРСТВЕННЫЙ ФЕЙЕРВАЛ для соединений)

КАК НАСТРОИТЬ 2 ВЛАНА:

Я предполагаю, что здесь переключатель строго уровня 2. Это означает, что вы не можете установить IP-адреса в его VLAN, поэтому у вас не может быть маршрутизации VLAN на нем. Если у вас есть коммутатор уровня 3, который поддерживает IP-адреса на своих VLANS, вы можете отказаться от этой функции, не включив «IP-маршрутизацию».

• Сначала выясните, поддерживает ли ваш маршрутизатор VLANS.
• Если это так, вам не нужно будет создавать дополнительную VLAN на вашем SWITCH.
• ЗА: Каждый локальный и интернет-трафик VLANS разделен. Меньше работы.
• МИНУСЫ: Каждая VLAN должна находиться в другой подсети L3 (например, VLAN 10 находится в 10.10.0.x / 24, а VLAN 20 - в 10.20.0.x / 24). На самом деле это не большой ПРО. Но это означает, что нам также нужно иметь 2 пула DHCP, если мы хотим DHCP. Это означает, что наш маршрутизатор лучше поддерживает DHCP. Что ж, если он поддерживает VLANS, скорее всего, он также поддерживает DHCP для этих VLANS.
• Вам нужно будет убедиться, что оба ваших VLANS созданы на вашем маршрутизаторе.
• На маршрутизаторе убедитесь, что у вас созданы оба VLANS, и вы даете VLAN IP и SUBNET, а также НОМЕР VLAN (мы будем использовать 10 и 20). Таким образом, хорошим IP-адресом будет 10.10.0.1/24 для VLAN 10 и 10.20.0.1/24 для VLAN 20. (/ 24 означает, что маска подсети 255.255.255.0)
• Компьютеры в каждой VLAN будут указывать на эти IPS как на свой адрес GATEWAY. Пример: ПК в VLAN10 будет иметь IP-адрес шлюза 10.10.0.1 и МАСКУ ПОДСЕТИ 255.255.255.0. Его фактический IP-адрес должен быть просто 10.10.0.100.
• Маршрутизатор будет разрешать межвлановую связь (иногда это включено по умолчанию, а иногда вам нужно будет это настроить). На маршрутизаторах Netgear это так же просто, как проверка "Intervlan Communication" на обеих ваших VLAN.
• Если это не так, вам нужно будет создать дополнительную VLAN на вашем SWITCH.
• МИНУСЫ: Ваш интернет-трафик в каждой VLAN не разделен (хорошо, что все компьютеры возвращают трафик интернета / маршрутизатора, который может быть получен через порт, который не принадлежит vlan ПК). Но локальный трафик разделяется в широковещательном домене (по запросу). Больше работы, так как вам нужно создать еще одну VLAN.
• ЗА: Обе ваши VLAN могут находиться в одной подсети уровня 3, но они будут в разных подсетях уровня 2, поэтому они не будут обмениваться данными по локальному трафику. Маршрутизатор, если у него есть DHCP-сервер, может передавать IP-адреса для обоих ваших VLAN (так как трафик от маршрутизатора может идти в обе VLAN)
• На вашем маршрутизаторе вам нужно будет создать дополнительную VLAN под названием "INTERNET" vlan и присвоить ей номер, например 9
• Untag 99 на всех портах (особенно на портах, идущих к ОНО и КАЖДОМУ ПК).
• Пометьте его на портах, идущих к другим коммутаторам, которые должны иметь Интернет-локальную сеть.
• На порту, ведущем к вашему маршрутизатору, установите его PVID на 99
• Итак, вам нужно 2 влана. Создайте их на переключателе. Назовите их и пронумеруйте. например: 10 - ЭТО, 20 - Все
  • Избегайте использования номера 1. Фактически избегайте использования 1–10. Они могут быть зарезервированы на разных коммутаторах для разных целей. 1 обычно зарезервирован для управления на некоторых коммутаторах, и его может быть сложно настроить. Так что, как правило, никогда не используйте VLAN номер 1. Мое собственное практическое правило никогда не используйте от 1 до 10 (Netgear и другие поставщики коммутаторов иногда используют 1,2,3 для собственных нужд).
• На портах, идущих к ПК в IT vlan, установите это: PVID: 10, UNTAG: 10 (у них также будет UNTAG 99, если ваш маршрутизатор не поддерживает VLANS)
• На портах, идущих на ПК во ВСЕХ vlan, установите это: PVID: 20, UNTAG: 20 (они также будут иметь UNTAG 99, если ваш Rotuer не понимает VLANS)
• На портах, идущих к другим коммутаторам или устройствам с поддержкой vlan, теги 10, 20 (и 99, если он существует), это сохранит поведение вашей VLAN для этих устройств.
• На порте, идущем на МАРШРУТИЗАТОР / ШЛЮЗ (если ваш МАРШРУТИЗАТОР поддерживает VLAN): тег 10 и тег 20. Оставьте PVID равным 1. Поскольку этот порт более или менее является магистральным портом, его PVID не имеет значения, как и весь трафик. полученный на нем теоретически должен быть помечен, поэтому PVID ничего не будет делать, поэтому предпочтительнее оставить его по умолчанию 1. Также лучше оставить магистральные порты с PVID равным 1, на случай, если устройство на другом конце отправит некоторый необходимый трафик управления.
• На порте, идущем на МАРШРУТИЗАТОР / ШЛЮЗ (если ваш МАРШРУТИЗАТОР не поддерживает VLAN): Untag 10,20,99. PVID 99. Это означает, что трафик VLAN 10,20 (который запущен на ПК, может выходить в Интернет / маршрутизатор). Трафик, исходящий от маршрутизатора (и, кроме того, из Интернета), сможет войти обратно, и он войдет в коммутатор с тегом 99 (благодаря PVID 99).
• БОНУС: На портах, идущих в Телефон:
  • Если у вас есть дополнительная VOIP VLAN: представьте, что у вас есть 3-я VLAN с именем VOIP с номером 30. Затем вы должны пометить vlan 30. PVID здесь не имеет значения, но установите его на 30, на случай, если телефон отправит немаркированный трафик. Если телефону нужен доступ в Интернет, UNTAG 99.
  • Если вы используете свой IT-vlan для VOIP: тогда вы бы отметили 10. PVID не имеет значения (так что вы можете оставить его по умолчанию), но просто в случае, если вы можете установить его на 10, просто на случай, если телефон отправит некоторый нетегированный трафик. Снимите тег 99, если телефону нужен доступ в Интернет.
• БОНУС: На портах, идущих на телефон, гирляндно подключенный к ПК:
  • Если у вас есть дополнительная VOIP VLAN: представьте, что у вас есть 3-я VLAN с именем VOIP с номером 30. Затем вы должны пометить vlan 30. PVID здесь не имеет значения, но установите его на 30, на случай, если телефон отправит немаркированный трафик. Если телефону нужен доступ в Интернет UNTAG 99.
    • Если компьютер, подключенный к телефону, принадлежит IT: UNTAG 10, PVID 10, убедитесь, что установлен UNTAG 99. ПРИМЕЧАНИЕ: у вас может быть только PVID, установленный на 1 элемент, поэтому, если вы выбираете между PVID 30 или 10, оставьте его на 10
    • Если ПК, подключенный к телефону, принадлежит ВСЕМ: UNTAG 20, PVID 20, убедитесь, что UNTAG 99 установлен. ПРИМЕЧАНИЕ: у вас может быть только PVID, установленный на 1 элемент, поэтому, если вы выбираете между PVID 30 или 10, оставьте его на 20
  • Если вы используете свой IT-vlan для VOIP: тогда вы бы отметили 10. PVID не имеет значения (так что вы можете оставить его по умолчанию), но просто в случае, если вы можете установить его на 10, просто на случай, если телефон отправит некоторый нетегированный трафик. Снимите тег 99, если телефону нужен доступ в Интернет.
    • Если компьютер, подключенный к телефону, принадлежит ИТ-отделу: вы не можете разместить здесь ИТ-ПК, поскольку телефон уже находится в ИТ-VLAN. Это означает, что нам потребуется UNTAG 10 (для ПК) и TAG 10 (для телефона). Вы не можете UNTAG и пометить одну и ту же VLAN на одном и том же порте. Потому что мы можем либо снимать, либо не снимать бирку на выходе.
    • Если компьютер, подключенный к телефону, принадлежит ВСЕМ: UNTAG 20, PVID 20, убедитесь, что UNTAG 99 установлен. ПРИМЕЧАНИЕ: у вас может быть только PVID, установленный на 1 элемент, поэтому, если вы выбираете между PVID 20 или 10, оставьте его на 20

НОТА: без этой дополнительной VLAN 99 интернет-соединение будет невозможно с маршрутизатором, который не поддерживает виртуальные локальные сети. Это связано с тем, что трафик на обратном пути должен быть направлен на vlan 10 или 20, так что это означает, что половина вашего обратного трафика не пойдет в правильном направлении. Vlan 99 позволяет распределять обратный трафик по всем портам.

Для получения дополнительной информации перейдите по ссылке ниже.

СТАРЫЙ ОТВЕТ:

У меня есть для вас точная статья. Эта настройка, которую вы хотите, возможна с коммутатором и маршрутизатором / шлюзом, который понимает VLANS и тот, который не (вам просто нужно создать дополнительный интернет-vlan. К сожалению, интернет-трафик будет разделен). Вот ссылка: http://ram.kossboss.com/netgear-vlans/

Netgear и HP обрабатывают vlan одинаково, используя их нотации tag, untag, blank и pvid. Cisco не использует эти слова, но, тем не менее, конечный результат тот же. (Например, магистральный порт с Cisco идентичен коммутатору HP или NETGEAR, маркирующему каждый vlan на порту. Pvid на магистральных портах Не имеет значения, как вы узнаете из статьи). Эта статья все объясняет. И вы поймете, как это вообще настроить. Единственное, что не описано, - это пошаговые инструкции пользовательского интерфейса, но как технология, которая должна быть простой, если вы поймете свою цель и как ее достичь. Сначала прочтите все обновления, затем перечитайте статью, чтобы убедиться, что вы все поняли.

Я полагаю, ваша главная ошибка в том, что вы пытаетесь заставить устройства в разных VLAN взаимодействовать напрямую. Это невозможно.

Вы писали, что настроили порт 1 как помеченный для vlan 10 2 и vlan 20 3. Это правильно, но недостаточно.

Во-первых, порт маршрутизатора должен поддерживать сети VLAN. Вам необходимо настроить подынтерфейсы на физическом порте маршрутизатора и «поместить» его в соответствующие VLAN. Затем назначьте IP-адреса из подсетей VLAN соответственно субинтерфейсам и используйте их в качестве шлюзов по умолчанию.

Во-вторых, (но не критично) похоже, что вы работаете с частными подсетями, но 20.0.0.0 не является частной подсетью, вам не следует использовать его таким образом. Рассмотрим, например, вместо этого используйте 10.0.10.0/24 и 10.0.20.0/24 для VLAN 10 и 20.

UPD

Конфигурация выглядит правильной, за исключением «Linksys X1000, 192.168.0.53"- опечатка в вопросе, наверное, так и должно быть 253.

Я думаю, что X1000 предварительно настроен для выполнения NAT только для 192.168.0.0/24. Таким образом, другие подсети не могут получить доступ в Интернет.