У меня проблема с моими VLAN, и я не вижу света:
Для упрощения я буду говорить о 2 VLAN вместо 10+. В коммутаторе L2 у меня есть VLAN 100 и VLAN 200. Используя 802.1Q VLAN:
Порты настроены как:
Результат правильный: у меня есть Интернет на всех портах, и я не могу общаться между VLAN. Пинг с порта 1 на порт 4,6 или 10,12. Нет связи между портами 4,6 - 10-12. И да, у меня пинг между 4,5 и 10-12. Так что сейчас все в порядке.
Моя ПРОБЛЕМА: - Я подключаю компьютер (10.20.30.187) к порту 10 (VLAN 200) и запускаю wirehark в поисках ICMP. - Ноутбук (10.20.30.190) подключен к порту 4 (VLAN 100), и я запускаю эхо-запрос на 8.8.8.8. -> На ПК в VLAN 200 я вижу все пакеты, отправляемые с 8.8.8.8 на портативный компьютер (10.20.30.187). Я не вижу пакетов, отправляемых с ПК, поскольку источник находится в другой VLAN, но можно увидеть ответы из Интернета.
Поскольку все VLAN проходят через VLAN 15, а маршрутизатор не понимает VLAN, могу ли я разделить этот трафик из Интернета на VLAN и избежать этой ситуации? Я думал о ACL, но ничего не приходит в голову. Прошла пара дней ... Я даже попробовал «глупую» вещь вроде создания расширенного ACL, запрещающего трафик с IP-адреса ПК на IP-адрес LAPTOP, но, конечно, IP-адрес ИСТОЧНИКА - 8.8.8.8.
Есть какие-нибудь идеи от вас, ребята?
Я проверял этот форум (несколько примеров: VLANS и публичный / частный трафик VLAN отправляет данные на порты, которые не должны Пакеты с тегами на собственном общем порту VLAN Эхо-ответы 802.1q VLAN не включают идентификатор VLAN) и, конечно же, многие другие, но, похоже, никто не сталкивается с этой ситуацией или уже не знает, как ее решить, поэтому не нужно спрашивать. Надеюсь, вы дадите мне решение.
Большое спасибо. С уважением, Portuguevos.
Прежде всего спасибо за ваш ответ.
Таким образом, единственный способ разделить трафик из Интернета в любую VLAN - это использовать маршрутизатор с VLAN. Но есть ли другая возможность? Может ACL? Я хочу узнать это, потому что мне это нравится, но я искал и не нашел ничего похожего. И не используйте маршрутизатор с VLAN, так как этого у меня дома нет ;-)
На всякий случай позвольте мне объяснить ситуацию: я должен сказать, что описание моих VLAN не соответствует реальному сценарию. До сих пор я использовал VLAN для разделения трафика между отделами. Недавно мой коллега использовал коммутатор L2 для распределения нескольких подключений к Интернету с общедоступными IP-адресами в несколько офисов. Таким образом, в коммутаторе L2 с 24 портами он использует порт 24, подключенный к маршрутизатору (нет конкретной информации об этом устройстве), где он получает около 20 общедоступных IP-адресов от интернет-провайдера. Таким образом, он создает VLAN 20 с портами 2 + 24. Vlan 20 порт 3 + 24 и тд. Когда офису в его здании требуется подключение к Интернету, он подключает кабель Ethernet от порта 2, 3 или 4 и т. Д. К маршрутизатору, установленному в офисе. Так что в каждом офисе есть свой интернет, и, предположительно, никто не видит друг друга. Поэтому он считает, что все разделено. Эта идея была для меня странной и новой, поэтому я построил небольшой сценарий у себя дома. У меня есть коммутатор TP-Link SG3216, один ADSL (порт 15 - 192.168.100.0/24) и один маршрутизатор 4G (порт 16 - 192.168.200.0/24). У меня есть порт 4,6,15,16 VLAN 100 (общий без тегов) и vlan 200 с портами 10,12,15,16 (общий без тегов). Сети VLAN работают правильно. Между VLAN нет трафика, но у всех есть Интернет. (Я проверил использование IP-адресов в одном диапазоне в разных VLAN, и связи нет). Но дело в том, что с помощью Wireshark я могу захватывать весь трафик из Интернета в любую VLAN. Я не могу перехватывать трафик из других VLAN в Интернет.
Если у кого-то есть идея, что использовать, чтобы не видеть ДАННЫЕ из Интернета в VLAN, которая не принадлежит вам, я ценю. Большое спасибо.
Вам нужен маршрутизатор, который может принимать тегированный трафик VLAN и маршрутизировать между сетями VLAN. Затем вы настраиваете порт маршрутизатора в коммутаторе в режим маркированной VLAN и назначаете там нужные VLAN.
Другой вариант - добавить интерфейс Ethernet для каждой сети в вашем маршрутизаторе и подключить их к портам коммутатора, которые затем находятся в их собственных сетях.
Нет другого способа правильно реализовать сети VLAN, кроме этих двух.