Resumen
Estoy jugando con una LAN doméstica relativamente pequeña y estoy desconcertado y sin ideas sobre cómo configurar el enrutamiento entre VLAN en GS724Tv4. Sospecho que se debe a algún descuido de mi parte o simplemente a un malentendido sobre cómo se supone que funciona el enrutamiento entre VLAN, por lo que agradecería alguna idea.
Intención
Estoy tratando de separar lógicamente la LAN pequeña en varias VLAN (motivos: autodocumentación, seguridad, aprender algo nuevo) y establecer enrutamiento entre VLAN evitando así el escenario de enrutador en un dispositivo.
Las VLAN corresponden a áreas como “Wifi”, “Almacenamiento”, etc. entonces la idea es que una VLAN elegida donde está mi estación de trabajo (supongamos VLAN con ID 10) pueda acceder virtualmentetodoVLAN, pero un cliente dentro de cualquier otra VLAN solo podría ver su propia subred y obtener acceso a Internet, nada más.
Para la accesibilidad a Internet, hay un enrutador (pfSense ubicado en una máquina virtual), pero es irrelevante para este problema y no lo mencionaremos más para reducir el ruido.
Configuración
Extremadamente simple: sólo dos clientes, dos puertos y dos VLAN. El sistema operativo en ambos lados es Windows 7. Todas las IP están asignadas estáticamente. Hay un único conmutador con capacidad L3 entre los clientes. No hay ningún enlace troncal configurado (ni necesario).
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Client | IP | VLAN | PVID | VLAN Member | VLAN SVI | Switch Port |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Workstation (source) | 192.168.1.40 | 10 | 10 | 10 | 192.168.1.100 | P1 |
| Workstation (destination) | 192.168.2.40 | 20 | 20 | 20 | 192.168.2.100 | P2 |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
Mi expectativa es poder hacer ping desde el origen al destino. Como beneficio adicional, el Destino sería incapaz de hacer ping a la Fuente.
Además:
- Todos los puertos están configurados como sin etiquetar
- Los SVI no entran en conflicto con las IP existentes (¿cómo puedo determinar si lo hicieran?)
- El enrutamiento IP está habilitado en el enrutador
- La detección de enrutadores IP está deshabilitada (los SVI no se anuncian como puertas de enlace)
- La caché ARP del enrutador registra las IP del dispositivo en sus puertos, así como los SVI
Resultados
- Puedo hacer ping a direcciones IP dentro de una subred/VLAN particular
- Puedo acceder a internet (FWIW)
- Ino puedohacer ping a través de subredes (la puerta de enlace predeterminada no está configurada explícitamente en la NIC de la estación de trabajo)
- Ino puedohacer ping a través de subredes (la puerta de enlace predeterminada se establece explícitamente en la dirección IP de SVI en la NIC de la estación de trabajo)
- Ino puedohacer ping a través de subredes (asignar un puerto particular a múltiples VLAN; por ejemplo
port P1 -> VLAN member (10, 20), esto debería ser equivalente a un enlace troncal de VLAN... y esencialmente estaba haciendo vibrar la jaula, tratando de provocar algún cambio en el comportamiento)
Preguntas
He visto decenas de videos de YouTube (principalmente de Cisco), leí documentación en el sitio de Netgear y decenas de artículos/enlaces, y simplemente no lo asimilo.
Por lo que he visto, después de configurar los SVI en el enrutador Cisco, lo que pasajusto obrasy es lo más enigmático de toda esta configuración: ¿dónde está la tabla de enrutamiento? Cómo lo hacesaber¿Debería enrutar el tráfico de la subred X a la subred Y? ¿Qué sucede cuando tienes numerosas VLAN? ¿Quién puede elegir qué va a dónde y, lo más importante?cómo? ¿Cómo se definen las ACL para VLAN?
¿Debo definir manualmente rutas estáticas? Creo que nunca he visto gente configurándolos en estos videos. Si debería definirlos, ¿cómo debería hacerlo? ¿Cómo digo que el tráfico del SVI X debe enrutarse al SVI Y? Netgear proporciona sólo dos campos (relevantes) por fila SVI: IP addressy Next Hop. Si completo este último con, por ejemplo, la IP de SVI Y, ¿cómo puedo esperar que funcione el acceso a Internet (me imagino que Next Hopsiempre será la dirección del enrutador)?
Estoy seguro de que tengo más preguntas, pero como pueden ver, estoy bastante confundido, así que me detendré por ahora. Le agradecería cualquier consejo que pueda darme, ya sea teórico o práctico.
Respuesta1
Es bastante fácil configurar el enrutamiento en el gs724tv4. Los menús se explican por sí mismos.
Pero lo único que pasará por alto: necesita tener una única VLAN fuera de banda configurada para administrar el conmutador. La VLAN de administración del conmutador no puede estar en una VLAN de enrutamiento. Así que configure un puerto con vlan 1 o lo que haya elegido para administrar (nunca uso 1 para eso). Luego agregue las VLAN y luego agregue rutas. No utilices el asistente de enrutamiento, porque es estúpido. Su conmutador necesita una IP en cada red a la que se enrutará, y sus hosts deben estar configurados para apuntar a su conmutador como puerta de enlace predeterminada. Generalmente usaría la CLI en este conmutador, pero para el enrutamiento una vez uso la entrada html y luego la copio para todos mis demás conmutadores. Este interruptor es sólido como una roca.
Después de eso, si desea reglas de acceso entre ellos, debe agregar ACL. Sin embargo, las ACL no tienen estado. Por lo tanto, configurarlo como "seguro" podría ser un dolor de cabeza.