異なるタイプのデバイスを互いに分離できるように、複数の VLAN を設定したいと考えています。具体的には、ネットワークを探索するときに Wi-Fi デバイスが表示できるものを制限したいと考えています。たとえば、Wi-Fi デバイスは HTTP 経由でリバース プロキシにアクセスできますが、syslog サーバーにアクセスしたり、SNMP v1/v2 トラフィックをスニッフィングしたりすることはできません。また、そもそも syslog サーバーや SNMP トラフィックが存在することを知ることもできません。
私は Netgear ProSafe スマート スイッチを使用して VLAN を設定しています。次の操作を実行しました。
- テスト目的で VLAN 6 を作成しました。
- 対応するスイッチ ポートを PVID 6 に設定します。
- このポートの VLAN メンバーシップをタグなしとしてマークしました。
- 現時点では、すべてのデバイスに対して「すべてを受け入れる」許容可能なフレーム タイプが設定されていることを確認します。ドキュメントによると、これは「ポートで受信されたタグなしおよび優先タグ付きフレームが受け入れられ、このポートのポート VLAN ID の値が割り当てられる」ことを意味します。
- VLAN 6 ルーティング IP アドレスとマスクを 192.168.252.1/24 に設定します。
- スイッチがルーティング モードで実行されるように設定されていることを確認しました。
/etc/network/interfacesテストマシンを再構成しました。
ネットワークの簡略化されたビューを以下に示します。
test2との間で通信できると思っていましたtest1が、そうではありません。現在:
test2:~ ping 192.168.252.1動作します。test2:~ ping 8.8.8.8も、 も、 もping 192.168.1.5、 もしping 192.168.1.1ませんping 192.168.1.3。test1:~ ping 192.168.252.2動作しません。test2:~ nc -u 192.168.1.5 53動作します(192.168.1.5 が でリスニング モードになっている場合nc -ul 53)。test1:~ nc -u 192.168.252.2動作しません。ncTCP モードではどちらの方向でも機能しません。
スイッチによって表示されるルーティング テーブルには、学習したルートのリストに両方の VLAN がリストされ、各ルートの正しい VLAN が示されます。同じスイッチには、4 台のマシンすべての正しい MAC アドレスを含む ARP キャッシュが表示されます。
VLAN 間通信のために追加で何をする必要がありますか?
答え1
問題は設定ではなく、VLAN 1 (デフォルトで使用される予約済み VLAN) に関する特殊な問題だったようです。
実際、3 台目のマシンを追加してtest3、いくつかテストを行いました。この 3 台目のマシンを 3 台目の VLAN に配置すると、このマシンと (VLAN 6 に配置) の間で UDP パケットを交換できるようです。しかし、以前 との間で発生したのとtest2まったく同じ問題が と の間で発生します。test3test1test2test3
したがって、解決策は、すべてのマシンを VLAN 1 から他の VLAN に移動するだけです。