Назад | Перейти на главную страницу

802.1Q и сетевая безопасность

Недавно я купил несколько управляемых коммутаторов TP-Link (два TL-SG1016DE и один TL-SG105E).

Я купил два первых и настроил их, используя 802.1Q VLAN, чтобы разделить мою DMZ и мою LAN, используя тегированные / транковые порты для подключения коммутаторов.

Затем мне потребовалось добавить еще пару портов в месте с одним проводом, поэтому я купил второй коммутатор. Я намеревался использовать порты 1-3 для DMZ, порт 4 для LAN и порт 5 для магистрали к одному из других коммутаторов.

Я попытался сделать то же, что и на другом коммутаторе, и установить порт 5 как магистральный, но не было возможности для порта 5. Затем я попробовал порт 1, и он сказал: «Вы должны добавить как минимум два порта». Что заставило меня задуматься: а?

Насколько я понимаю, когда коммутатор помечает порт как «магистраль», он будет учитывать теги 802.1Q при входе на этот порт; иначе бы не было. Похоже, что это не так. Это наводит меня на неприятную мысль:

Если какое-либо устройство помечает пакет с помощью 802.1Q, он будет перенаправлен в соответствующую VLAN.

я явно не хочу этого. Я хочу, чтобы определенные порты на входе всегда были помечены определенными VLAN, и хочу, чтобы только эти конкретные порты передавали трафик с одинаковыми тегами, и я хочу, чтобы только определенные порты имели возможность указывать путем тегирования, в какой VLAN они находятся.

Правильно ли я понимаю, что переключатель все позволяет? Или что-то мне не хватает?

Слово «магистраль» используется в коммутаторах Ethernet двумя разными способами, в зависимости от производителя. Большинство устройств используют магистраль для обозначения порта, переносящего фреймы с тегами 802.1q, но некоторые другие устройства - в частности, коммутаторы HP, и, похоже, эти TP-ссылки - используют магистраль для ссылки на связки нескольких физических портов в один логический порт для агрегация полосы пропускания - 802.3ad / LACP / Ether-channel, на жаргоне первого лагеря.

На этом коммутаторе просто игнорируйте раздел, в котором говорится о соединительных линиях, и просто беспокойтесь о том, что ваши межкоммутаторные / восходящие порты являются тегированными членами нескольких VLAN, а остальные - нетегированными членами одной VLAN. Тегированные кадры, поступающие на нетегированные порты, должны быть отброшены, а тегированные кадры, поступающие на тегированный порт для VLAN, членом которой порт не является, также должны быть отброшены.