Zusammenfassung
Ich spiele mit einem relativ kleinen Heim-LAN herum und bin ratlos und ideenlos, wie ich das Inter-VLAN-Routing auf GS724Tv4 konfigurieren soll. Ich vermute, es liegt an einem Versehen meinerseits oder einfach an einem Missverständnis, wie das Inter-VLAN-Routing funktionieren soll, daher wäre ich für eine Einsicht dankbar.
Absicht
Ich versuche, das kleine LAN logisch in mehrere VLANs aufzuteilen (Gründe: Selbstdokumentation, Sicherheit, etwas Neues lernen) und ein Inter-VLAN-Routing einzurichten, um so ein Router-on-a-Stick-Szenario zu vermeiden.
Die VLANs entsprechen Bereichen wie „WLAN“, „Speicher“ usw. Die Idee ist also, dass ein ausgewähltes VLAN, in dem sich meine Workstation befindet (angenommen VLAN mit ID 10), praktisch aufalleVLANs, aber ein Client in einem anderen VLAN kann nur sein eigenes Subnetz sehen und auf das Internet zugreifen, sonst nichts.
Für den Internetzugriff gibt es einen Router (pfSense in einer VM), der für dieses Problem jedoch irrelevant ist und aus Gründen der Störgeräusche nicht weiter erwähnt wird.
Aufstellen
Extrem einfach – nur zwei Clients, zwei Ports und zwei VLANs. Das Betriebssystem auf beiden Seiten ist Windows 7. Alle IPs sind statisch zugewiesen. Zwischen den Clients befindet sich ein einziger L3-fähiger Switch. Trunking ist nicht konfiguriert (und wird auch nicht benötigt).
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Client | IP | VLAN | PVID | VLAN Member | VLAN SVI | Switch Port |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Workstation (source) | 192.168.1.40 | 10 | 10 | 10 | 192.168.1.100 | P1 |
| Workstation (destination) | 192.168.2.40 | 20 | 20 | 20 | 192.168.2.100 | P2 |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
Ich gehe davon aus, dass ich von der Quelle zum Ziel pingen kann. Als Bonus wäre das Ziel nicht in der Lage, die Quelle anzupingen.
Zusätzlich:
- Alle Ports sind als ungetaggt konfiguriert
- SVIs stehen nicht im Konflikt mit vorhandenen IPs (wie kann ich das feststellen?)
- IP-Routing ist auf dem Router aktiviert
- Die IP-Router-Erkennung ist deaktiviert (SVIs werden nicht als Gateways angekündigt)
- Der Router-ARP-Cache registriert die IPs der Geräte an ihren Ports sowie SVIs
Ergebnisse
- Ich kann IP-Adressen innerhalb eines bestimmten Subnetzes/VLAN anpingen
- Ich kann auf das Internet zugreifen (FWIW)
- ICHkann nichtPing über Subnetze hinweg (Standard-Gateway nicht explizit auf der Netzwerkkarte der Arbeitsstation konfiguriert)
- ICHkann nichtPing über Subnetze hinweg (Standard-Gateway explizit auf die IP-Adresse des SVI auf der Netzwerkkarte der Arbeitsstation eingestellt)
- ICHkann nichtPing über Subnetze hinweg (einen bestimmten Port mehreren VLANs zugeordnet - z. B.
port P1 -> VLAN member (10, 20)- dies sollte VLAN-Trunking entsprechen... und es hat im Wesentlichen am Käfig gerüttelt und versucht, eine Verhaltensänderung zu provozieren)
Fragen
Ich habe mir zahllose YouTube-Videos (hauptsächlich Cisco) angeschaut, die Dokumentation auf der Netgear-Site und Dutzende Artikel/Links durchgelesen – und ich verstehe es einfach nicht.
Soweit ich gesehen habe, nach dem Einstellen der SVIs auf dem Cisco-Router, SacheNur Werkeund das ist das Rätselhafteste an diesem ganzen Setup: Wo ist die Routing-Tabelle? Wie funktioniert sie?wissenEs soll Verkehr von Subnetz X zu Subnetz Y leiten? Was passiert, wenn Sie zahlreiche VLANs haben? Wer darf entscheiden, was wohin geht und, am wichtigsten -Wie? Wie definieren Sie ACLs für VLANs?
Soll ich statische Routen manuell definieren? Ich glaube nicht, dass ich in diesen Videos jemals Leute gesehen habe, die sie konfigurieren. Wenn ich sie definieren soll – wie soll ich das tun? Wie sage ich, dass Verkehr von SVI X zu SVI Y geleitet werden soll? Netgear bietet nur zwei (relevante) Felder pro SVI-Zeile: IP addressund Next Hop. Wenn ich letzteres z. B. mit der IP von SVI Y fülle, wie kann ich dann erwarten, dass der Internetzugang funktioniert (ich würde mir vorstellen, dass Next Hopes immer die Adresse des Routers wäre).
Ich bin sicher, dass ich noch mehr Fragen habe, aber Sie sehen, dass ich ziemlich verwirrt bin, also werde ich jetzt aufhören. Ich wäre für jeden Rat dankbar, den Sie mir geben können – theoretisch oder praktisch.
Antwort1
Das Einrichten des Routings im gs724tv4 ist ziemlich einfach. Die Menüs sind selbsterklärend.
Aber eine Sache werden Sie übersehen: Sie müssen ein einzelnes Out-of-Band-VLAN zur Verwaltung des Switches konfiguriert haben. Das Verwaltungs-VLAN des Switches kann sich nicht in einem Routing-VLAN befinden. Konfigurieren Sie also einen Port mit VLAN 1 oder was auch immer Sie für die Verwaltung ausgewählt haben (ich verwende dafür nie 1). Fügen Sie dann die VLANs hinzu und fügen Sie dann Routen hinzu. Verwenden Sie nicht den Routing-Assistenten, denn der ist dumm. Ihr Switch benötigt eine IP in jedem Netzwerk, in dem er routet, und Ihre Hosts sollten so konfiguriert sein, dass sie auf Ihren Switch als Standard-Gateway verweisen. Normalerweise würde ich bei diesem Switch die CLI verwenden, aber für das Routing verwende ich einmal den HTML-Eintrag und kopiere diesen dann für alle meine anderen Switches. Dieser Switch ist absolut zuverlässig.
Wenn Sie danach Zugriffsregeln zwischen ihnen wünschen, müssen Sie ACLs hinzufügen. ACLs sind jedoch nicht statusbehaftet. Daher kann es etwas mühsam sein, sie „sicher“ einzurichten.