Cross-VLAN-Sichtbarkeit

Question

VLANs funktionieren wie zwei normale, getrennte Netzwerke: Sienicht„sehen“ sich standardmäßig gegenseitig und können nur über einen Router kommunizieren (der beide VLANs konfiguriert hat, wahrscheinlich als „markierte“ Schnittstellen). Wenn Sie also bestimmte Arten der Kommunikation verhindern möchten, tun Sie dies in den Firewall-Regeln des Routers.

Und im AllgemeinenTunSie benötigen einen Switch, der die VLAN-Konfiguration unterstützt. (Windows selbst kann das nur, wenn es auch als Switch für Hyper-V-VMs fungiert.) Es ist wahrscheinlich keine gute Idee, VLANs direkt auf den Endhosts zu konfigurieren – wenn es nichts gibt, um sie durchzusetzen, ist das nicht sehr sicher.

(Außerdem verfügt Windows selbst, abgesehen vom Hyper-V-Modus „virtueller Switch“, nicht über eine native VLAN-Konfiguration. Einige Treiber bieten sie an, andere nicht, und manche Treiber akzeptierenallePakete, die jedes VLAN-Tag ignorieren ... Linux und BSDs sind in dieser Hinsicht flexibler.)

Zum Beispiel (ich bin nicht sicher, ob das wirklich gut ist, aber technisch funktioniert es):

Schalten:
- Port 1 (getaggte VLANs 10, 20) → Router
- Port 2 (ungetaggtes VLAN 10) → Server
- Port 3 (ungetaggtes VLAN 20) → Desktop-PC
Router (Linux-Beispiel):
- Schnittstelle „eth0“ (ungetaggt) – nichts (vielleicht Verwaltungs-IP? Keine Ahnung)
- Schnittstelle „eth0.10“ (VLAN 10) – Adresse192.168.10.1/24
- Schnittstelle „eth0.20“ (VLAN 20) – Adresse192.168.20.1/24
- Die Firewall ist so konfiguriert, dass sie neue Verbindungen von zulässt 192.168.10.0/24, aber nur Antworten von allen anderen erwartet. (Unter Linux wäre das iptables mit der Kette „FORWARD“ und „-m state“.)
Server:
- Schnittstelle „Ethernet“ – Adresse192.168.10.3/24
Desktop-PC:
- Schnittstelle „Ethernet“ – Adresse192.168.20.7/24

Answer 1

VLANs funktionieren wie zwei normale, getrennte Netzwerke: Sienicht„sehen“ sich standardmäßig gegenseitig und können nur über einen Router kommunizieren (der beide VLANs konfiguriert hat, wahrscheinlich als „markierte“ Schnittstellen). Wenn Sie also bestimmte Arten der Kommunikation verhindern möchten, tun Sie dies in den Firewall-Regeln des Routers.

Und im AllgemeinenTunSie benötigen einen Switch, der die VLAN-Konfiguration unterstützt. (Windows selbst kann das nur, wenn es auch als Switch für Hyper-V-VMs fungiert.) Es ist wahrscheinlich keine gute Idee, VLANs direkt auf den Endhosts zu konfigurieren – wenn es nichts gibt, um sie durchzusetzen, ist das nicht sehr sicher.

(Außerdem verfügt Windows selbst, abgesehen vom Hyper-V-Modus „virtueller Switch“, nicht über eine native VLAN-Konfiguration. Einige Treiber bieten sie an, andere nicht, und manche Treiber akzeptierenallePakete, die jedes VLAN-Tag ignorieren ... Linux und BSDs sind in dieser Hinsicht flexibler.)

Zum Beispiel (ich bin nicht sicher, ob das wirklich gut ist, aber technisch funktioniert es):

Schalten:
- Port 1 (getaggte VLANs 10, 20) → Router
- Port 2 (ungetaggtes VLAN 10) → Server
- Port 3 (ungetaggtes VLAN 20) → Desktop-PC
Router (Linux-Beispiel):
- Schnittstelle „eth0“ (ungetaggt) – nichts (vielleicht Verwaltungs-IP? Keine Ahnung)
- Schnittstelle „eth0.10“ (VLAN 10) – Adresse192.168.10.1/24
- Schnittstelle „eth0.20“ (VLAN 20) – Adresse192.168.20.1/24
- Die Firewall ist so konfiguriert, dass sie neue Verbindungen von zulässt 192.168.10.0/24, aber nur Antworten von allen anderen erwartet. (Unter Linux wäre das iptables mit der Kette „FORWARD“ und „-m state“.)
Server:
- Schnittstelle „Ethernet“ – Adresse192.168.10.3/24
Desktop-PC:
- Schnittstelle „Ethernet“ – Adresse192.168.20.7/24

Cross-VLAN-Sichtbarkeit

Antwort1

verwandte Informationen