Wie können Geräte, die zu zwei unterschiedlichen VLANs gehören, miteinander kommunizieren?

tag-icon tag-icon vlan netgear
Wie können Geräte, die zu zwei unterschiedlichen VLANs gehören, miteinander kommunizieren?

Ich möchte mehrere VLANs einrichten, um verschiedene Gerätetypen voneinander isolieren zu können. Genauer gesagt möchte ich einschränken, was Wi-Fi-Geräte beim Erkunden des Netzwerks sehen können: Sie können beispielsweise über HTTP auf den Reverse-Proxy zugreifen, aber sie sollten nicht auf den Syslog-Server zugreifen oder SNMP v1/v2-Verkehr abhören können, noch sollten sie überhaupt wissen, dass es einen Syslog-Server oder SNMP-Verkehr gibt.

Ich verwende Netgear ProSafe Smart Switches, um die VLANs einzurichten. Ich habe:

  1. VLAN 6 wurde zu Testzwecken erstellt.
  2. Stellen Sie den entsprechenden Switch-Port auf PVID 6 ein.
  3. Die VLAN-Mitgliedschaft für diesen Port wurde als unmarkiert markiert.
  4. Es wurde sichergestellt, dass für alle Geräte jetzt die zulässigen Frame-Typen „Alle zulassen“ eingestellt sind. Laut Dokumentation bedeutet dies, dass „auf dem Port empfangene Frames ohne Tags und mit Prioritäts-Tags akzeptiert und mit dem Wert der Port-VLAN-ID für diesen Port versehen werden.“
  5. Stellen Sie die VLAN 6-Routing-IP-Adresse und -Maske auf 192.168.252.1/24 ein.
  6. Stellen Sie sicher, dass der Switch auf den Routing-Modus eingestellt ist.
  7. Neukonfiguration /etc/network/interfacesder Testmaschinen.

Hier ist eine vereinfachte Ansicht des Netzwerks:

Ein Netzwerkdiagramm, das zwei Maschinen in zwei VLANs zeigt.

test2Ich hatte erwartet, zwischen und kommunizieren zu können test1, aber das ist nicht der Fall. Derzeit:

  • test2:~ ping 192.168.252.1funktioniert.
  • test2:~ ping 8.8.8.8nicht, und auch nicht ping 192.168.1.5oder ping 192.168.1.1oder ping 192.168.1.3.
  • test1:~ ping 192.168.252.2funktioniert nicht.
  • test2:~ nc -u 192.168.1.5 53funktioniert (wenn 192.168.1.5 mit im Abhörmodus ist nc -ul 53).
  • test1:~ nc -u 192.168.252.2funktioniert nicht.
  • ncim TCP-Modus funktioniert in keine Richtung.

Die vom Switch angezeigte Routing-Tabelle listet beide VLANs in der Liste der gelernten Routen auf und gibt für jede Route das richtige VLAN an. Derselbe Switch zeigt den ARP-Cache an, der die richtigen MAC-Adressen aller vier Maschinen enthält.

Was muss ich zusätzlich für die Inter-VLAN-Kommunikation tun?

Antwort1

Es scheint, dass das Problem nicht an der Konfiguration lag, sondern an einer Besonderheit von VLAN 1 (das ist das reservierte VLAN, das standardmäßig verwendet wird).

Tatsächlich habe ich eine dritte Maschine hinzugefügt test3und einige Tests durchgeführt. Es scheint, dass ich, wenn ich diese dritte Maschine in ein drittes VLAN setze, UDP-Pakete zwischen ihr und (auf VLAN 6) austauschen kann , aber zwischen und test2habe ich genau dieselben Probleme wie zuvor zwischen und .test3test1test2test3

Diagramm, das zeigt, dass die Kommunikation zwischen VLAN 6 und VLAN 7 funktioniert, VLAN 1 jedoch nicht

Die Lösung besteht daher einfach darin, alle Maschinen von VLAN 1 in ein anderes VLAN zu verschieben.

verwandte Informationen