VLAN (A と名付けます) が別の VLAN (B と名付けます) を認識できるようにし、B VLAN が A VLAN を認識できないようにする方法を見つけようと苦労しています。
Windows サーバーにこの構成が必要なので、言及します。
答え1
VLANは、通常の2つの独立したネットワークと同じように機能します。しないでくださいデフォルトでは、相互に「認識」し、ルーター (両方の VLAN が設定されている、おそらく「タグ付き」インターフェース) を介してのみ通信できます。したがって、特定の種類の通信を防止したい場合は、ルーターのファイアウォール ルールでそれを行います。
そして、一般的に、あなたはするVLAN 構成をサポートするスイッチが必要です。(Windows 自体も、Hyper-V VM のスイッチとして動作している場合にのみ、これを実行できます。) エンド ホストで直接 VLAN を構成することはおそらく良い考えではありません。VLAN を強制するものが何もない場合は、あまり安全ではありません。
(さらに、Hyper-Vの「仮想スイッチ」モードを除けば、Windows自体にはネイティブVLAN構成がありません。一部のドライバーはそれを提供しますが、一部のドライバーは提供しません。一部のドライバーは受け入れます。全てパケットは VLAN タグを無視します (Linux と BSD はこの点でより柔軟です)。
たとえば (これが実際に良いかどうかはわかりませんが、技術的には機能します):
スイッチ:
- ポート1(タグVLAN 10、20)→ルータ
- ポート2(タグなしVLAN 10)→サーバー
- ポート3(タグなしVLAN 20)→デスクトップPC
ルーター(Linux の例):
- インターフェース「eth0」(タグなし) – なし(管理 IP でしょうか? わかりません)
- インターフェース「eth0.10」(VLAN 10) – アドレス
192.168.10.1/24 - インターフェース「eth0.20」(VLAN 20) – アドレス
192.168.20.1/24 - ファイアウォールは、からの新しい接続を許可するように設定されています
192.168.10.0/24が、その他すべてからの応答のみを期待します。(Linux では、これは「FORWARD」チェーンと「-m state」を持つ iptables になります。)
サーバ:
- インターフェース「イーサネット」 – アドレス
192.168.10.3/24
- インターフェース「イーサネット」 – アドレス
デスクトップPC:
- インターフェース「イーサネット」 – アドレス
192.168.20.7/24
- インターフェース「イーサネット」 – アドレス