.png)
図のようにネットワークを変更したいのですが、うまくいくかどうかわかりません。ネットワークを壊す前に専門家に尋ねてみようと思いました...
提供されている LTE モデムには、ブリッジ モードや静的ルートなど、利用できるオプションがほとんどありません。変更できるのは IP とサブネット マスクだけです。
VLAN 10はモデム/インターネットアクセスです
VLAN 20 すべて通常のデバイス (ルータは AP モード)
VLAN 30 IoT および主に IP カメラ (AP モードのルーター)
20 から 10 と 30 へのアクセスを希望します。30 から 10 への発信接続は可能であるはずですが、ほとんどの場合は無効になっており、誰も家にいないときにカメラのリモート アクセス用にのみアクティブになります。可能であれば、smtp.gmail.com のみに開いてください。
VLAN を扱うのは初めてなので、すべてを把握できていない可能性があります。以前はすべてを 1 つのネットワークにまとめ、問題なく動作していましたが、IPC の場合は、必要ない場合はオフラインにしておきたいと思います。また、トラフィックが 1 つの WiFi AP に対して多すぎました。
私が見た問題は、モデム/ルーターコンボに静的ルートを指定できないことです。そのため、VLAN 10 と 20 を 1 つの VLAN に結合しても、VLAN 30 からの要求をどこにルーティングするかを指定するオプションがありません。それとも、動的ルーティングが重要なのでしょうか?... o_O
スイッチの VLAN 30 にマップされた 2 番目のポートをモデムに接続すれば、この問題を解決できますか? どこかでこのようなことを読みましたが、モデムは 1 つの IP しか持てないので、うまくいかないと思います...
ほとんどのソリューションでは、スイッチとモデムの間に別のルーターが必要になりますが、これにより二重 NAT が発生し、これは良くありません。
誰かが私に成功への重要なステップを教えてくれるかもしれません、私が初めて言ったように、だから私が何をしているのか分からないかのように私に話しかけないでください^_^
他に(より良い)解決策があれば、アドバイスをいただければ幸いです。
みなさんありがとう^_^
答え1
ルーター (ZTE など) 自体が VLAN をサポートしている必要があります。具体的には、次のものをサポートする必要があります。
一般的に複数のLAN。ルーターはLAN間でパケットを転送するだけです(ファイアウォールのルールに従います)。問題は、多くのホームゲートウェイがそうしないことです。許可する最初に複数のネットワークを定義する必要があります。
ルーターがこれをサポートしていない場合、できることはあまりなく、2 台目のルーターが必要になります。(二重 NAT を回避する方法については、投稿の最後を参照してください。)
802.1Q タグ付けにより、スイッチへの単一のイーサネット接続を介して複数の VLAN を実行できます (これは Netgear の「タグ付き」または「トランク」オプションです)。
802.1Q のサポートが欠落しているが、ルータが少なくとも「LAN」イーサネット ポートを異なる LAN に分離することを許可している場合は、説明したように、複数の物理接続を使用して回避できます。
私が見た問題は、モデム/ルーターのコンボに静的ルートを指定できないことです。そのため、VLAN 10 と 20 を 1 つの VLAN に結合しても、VLAN 30 からの要求をどこにルーティングするかを指定するオプションはありません。
ルータがVLAN(または個別のポートベースのLAN)をサポートしている場合は、自動的に静的ルートが設定されるため、実際には静的ルートは必要ありません。ローカルサブネット参加している各ネットワークのルート。(「リンク ルート」または「直接ルート」または「接続ルート」とも呼ばれます。)
すべてのデバイス (ルーターかどうかに関係なく) は、自身のサブネットへの直接ルートを自動的に認識します (これが「サブネット マスク」が実際に使用される理由です)。また、複数の LAN に直接接続されているルーターは、それぞれの LAN への直接ルートを持つことになります。
だから、もしあなたが1つルーターの場合、より重要な質問は、静的ルートをサポートするかどうか (静的ルートは必要ありません) ではなく、複数のネットワークを直接管理できるかどうかです。
それとも動的ルーティングというものでしょうか?...o_O
動的ルーティングは確かに存在します。OSPF、Babel、BGP、IS-IS などのプロトコルは、ルーター間のルートを交換するために大規模なネットワーク内でよく使用されます。(OpenWRT と RouterOS は OSPF をサポートできます。Bird2 または FRR を実行する Pi も同様です。非常に小規模なネットワークでは RIP も使用されることがあります。安価なホーム ゲートウェイでも、何らかの理由で RIP がサポートされている場合があります。)
IETF の「Homenet」プロジェクトは、ホームゲートウェイに自動 OSPF サポートを導入し、将来的には「二重 NAT」を解消することを目指しています。
スイッチ上の VLAN 30 にマップされた 2 番目のポートをモデムに接続すれば、この問題を解決できますか?
このトリックは、ルーターが複数のネットワークをサポートしている場合にのみ機能します。一般的に、ただし、802.1Q タグ付き VLAN のサポートが欠けているだけです。そのような家庭用ワイヤレス ルーター/モデムをいくつか見たことがありますが、802.1Q はサポートされていませんが、「ポート ベース VLAN」はサポートされています (個々の LAN ポートをメイン LAN から削除し、別の VLAN に割り当てることができます)。そのため、代わりに複数の物理接続 (VLAN ごとに 1 つ) を使用できます。
しかし、ルーターが 1 つの WAN と 1 つの LAN のみをサポートしている場合は、ここでは何もできません。
Netgearスイッチの前に2つのルータがチェーン接続されている場合(つまり、ZTEルータ→VLANサポート付きの新しいルート→スイッチ)、この状況で二重NATを回避する方法がまだあります。まず、ZTEルータのLANサブネットを、重複するすべての VLAN サブネット (サブネット マスクを調整することによって)。すべての VLAN のすべてのホストがローカルであると認識され、それらに対して直接 ARP クエリが実行されるようになります。そのため、新しいルーターの「プロキシ ARP」機能を使用して、すべてのホストに代わって ARP に応答するようにします (もちろん、その際に新しいルーターの NAT を無効にしてください)。
最終的な効果はとてもZTE でルートを作成するのと似ていますが、1 つの静的ルーティング テーブル エントリの代わりに、多数の動的 ARP キャッシュ エントリが存在します。
(多くの家庭用ルーターもプロキシ ARP をサポートしていませんが、Archer ファームウェアはサポートしているようです。これは、多くのファームウェアが使用している Linux カーネルの一部になっているシンプルな機能ですが、ほとんど必要ないため、通常は GUI には表示されません。)