まとめ
私は比較的小規模なホーム LAN をいじっていますが、GS724Tv4 で VLAN 間ルーティングを構成する方法がわからず困惑しています。私の見落としか、VLAN 間ルーティングの動作方法に関する単なる誤解が原因だと思いますので、ご意見をお聞かせいただければ幸いです。
意図
私は、小規模な LAN を論理的に複数の VLAN に分割し (理由: 自己文書化、セキュリティ、新しいことの学習)、VLAN 間ルーティングを確立して、ルータオンアスティックのシナリオを回避しようとしています。
VLANは「Wifi」、「ストレージ」などの領域に対応しており、ワークステーションがある選択されたVLAN(ID 10のVLANを想定)は仮想的にアクセスできるという考え方です。全てVLAN ですが、他の VLAN 内のクライアントは自身のサブネットのみを表示し、インターネットにアクセスでき、それ以外は何もできません。
インターネット アクセスについては、ルーター (VM に配置されている pfSense) がありますが、この問題とは無関係であるため、ノイズを減らすためにこれ以上言及しません。
設定
非常にシンプルです。クライアント 2 台、ポート 2 台、VLAN 2 台だけです。両側のオペレーティング システムは Windows 7 です。すべての IP は静的に割り当てられます。クライアント間には L3 対応スイッチが 1 台あります。トランキングは構成されていません (必要もありません)。
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Client | IP | VLAN | PVID | VLAN Member | VLAN SVI | Switch Port |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Workstation (source) | 192.168.1.40 | 10 | 10 | 10 | 192.168.1.100 | P1 |
| Workstation (destination) | 192.168.2.40 | 20 | 20 | 20 | 192.168.2.100 | P2 |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
私が期待しているのは、ソースから宛先に ping を実行できることです。さらに、宛先はソースに ping を実行できないということになります。
さらに:
- すべてのポートはタグなしとして設定されている
- SVI は既存の IP と競合していません (競合しているかどうかはどうやって判断すればよいですか?)
- ルーターでIPルーティングが有効になっている
- IP ルーター検出が無効になっています (SVI はゲートウェイとしてアドバタイズされません)
- ルータARPキャッシュは、デバイスのIPをポートとSVIに登録します。
結果
- 特定のサブネット/VLAN内のIPアドレスをpingできます
- インターネットにアクセスできます(参考までに)
- 私できないサブネット間で ping を実行する (ワークステーションの NIC にデフォルト ゲートウェイが明示的に設定されていない)
- 私できないサブネット間で ping を実行します (デフォルト ゲートウェイはワークステーション NIC 上の SVI の IP アドレスに明示的に設定されます)
- 私できないサブネット間で ping を実行します (特定のポートを複数の VLAN にマッピングします。たとえば
port P1 -> VLAN member (10, 20)、これは VLAN トランキングと同等のはずです。つまり、動作に何らかの変化を起こそうとすることで、ケージを揺さぶることになります)
質問
私は数多くの YouTube ビデオ (主に Cisco) を視聴し、Netgear サイトのドキュメントや数十の記事/リンクを読みましたが、まったく理解できませんでした。
私が見た限りでは、CiscoルータにSVIを設定した後、ただ 作品そして、このセットアップ全体で最も謎なのは、ルーティングテーブルはどこにあるのか?どうやって知るサブネットXからサブネットYにトラフィックをルーティングする必要がありますか?多数のVLANがある場合、誰がどこに何をルーティングするかを選択できるのでしょうか?そして最も重要なのは、どうやって? VLAN の ACL をどのように定義しますか?
静的ルートを手動で定義する必要がありますか? これらのビデオで静的ルートを設定している人を見たことがないと思います。 静的ルートを定義する必要がある場合、どのように定義すればよいですか? SVI X からのトラフィックを SVI Y にルーティングするにはどうすればよいですか? Netgear は、SVI 行ごとに と の 2 つの (関連する) フィールドのみを提供しますIP address。後者をたとえば SVI Y の IP で埋めた場合、インターネット アクセスが機能すると期待できますか ( は常にルーターのアドレスになるとNext Hop思います)。Next Hop
他にも質問はあると思いますが、私がかなり混乱していることはおわかりでしょうから、今のところはやめておきます。理論的なものでも実践的なものでも、どんなアドバイスでもいただければ幸いです。
答え1
gs724tv4 でルーティングを設定するのは非常に簡単です。メニューはわかりやすいです。
しかし、見落としがちなことが 1 つあります。スイッチを管理するには、単一のアウトオブバンド VLAN を設定する必要があります。スイッチの管理 VLAN は、ルーティング VLAN に含めることはできません。したがって、管理用に選択した VLAN 1 または任意の VLAN でポートを設定します (私はそのために 1 を使用することはありません)。次に、VLAN を追加し、ルートを追加します。ルーティング ウィザードは役に立たないので使用しないでください。スイッチは、ルーティングする各ネットワークに IP を必要とし、ホストはスイッチをデフォルト ゲートウェイとしてポイントするように設定する必要があります。私は通常、このスイッチで CLI を使用しますが、ルーティングには 1 回 HTML エントリを使用し、それを他のすべてのスイッチにコピーします。このスイッチは堅牢です。
その後、それらの間のアクセス ルールが必要な場合は、ACL を追加する必要があります。ただし、ACL はステートフルではありません。そのため、「セキュア」を設定するのは少し面倒かもしれません。