私は Mikrotik hEX ルーター + tp-link PoE スイッチを持っています。スイッチはセキュリティ カメラと AP に電力を供給しています。2 つの VLAN (ID 10 と 20) を作成しました。2 つの VLAN の IP アドレスはそれぞれ 192.168.10.0/24 と 192.168.20.0/24 です。すべてのワイヤレス デバイスを適切な VLAN に割り当てましたが、有線カメラを VLAN10 に配置する方法がわかりません。現在、カメラは mikrotik のデフォルトの DHCP サーバー (192.168.88.0/24) から IP を取得しています。mikrotik の ether2 ポート (PoE スイッチが接続されているポート) を設定すると、そのスイッチ上のすべてのデバイスが VLAN10 に設定されますが (afiak)、必要なのはそのうちの 1 つのデバイスだけです。スイッチは管理されていません。
では、その 1 つのデバイスだけを VLAN10 に設定するにはどうすればよいでしょうか?
答え1
ルータは、イーサネットポートから送信されたパケットがスイッチに送られた後に何が起こるかを制御することはできません。そのスイッチ次の決定を下します。ルータがどのような種類の VLAN タグを付加しても、パケットがそれを理解できないスイッチに送信された場合、そのタグは意味を持ちません。
つまり、VLANをサポートしていない非管理型スイッチを使用する場合、定義により、そのスイッチに接続されているデバイスを異なる VLAN に分離することはできません。
同様に、そのスイッチ上のデバイス間のトラフィックについても、トラフィックが行くルーターを経由します。スイッチに 2 つのポートの通信を阻止する機能がない場合、それを防ぐことはできません。
残された唯一の選択肢は、同じ VLAN 上に複数のサブネット (たとえば、同じインターフェイス上の 192.168.88.0/24 と 192.168.30.0/24) を設定し、静的 DHCP リースを使用して、どのデバイスにどのサブネットのどのアドレスが割り当てられるかを定義することです。
これは良い隔離効果は得られませんが、いくつかの分離 – IPv4の場合 – デバイスは両方のサブネットが同じリンク上にあることを認識しないため、ルータが設定されている限り、それらの間のすべてのトラフィックはルータ(デフォルトゲートウェイ)を通過します。ないICMP「リダイレクト」パケットを送信します。この方法はIPv6では機能しませんステートレス構成のため、ルータは「隅にあるデバイスを除くすべてのデバイス」に自動構成ブロードキャストを送信できず、デバイスがリンクローカル アドレスを持つことを防ぐこともできません。