Visibilidad entre VLAN

Question

Las VLAN funcionan de la misma manera que dos redes separadas ordinarias:no"se ven" entre sí de forma predeterminada y sólo pueden comunicarse a través de un enrutador (que tiene ambas VLAN configuradas, probablemente como interfaces "etiquetadas"). Entonces, si desea evitar ciertos tipos de comunicación, debe hacerlo en las reglas de firewall del enrutador.

Y, en general, ustedhacerNecesita un conmutador que admita la configuración de VLAN. (El propio Windows puede hacer eso solo cuando también actúa como un conmutador para máquinas virtuales Hyper-V). Probablemente no sea una buena idea configurar las VLAN directamente en los hosts finales; si no hay nada que las imponga, entonces no es muy seguro.

(Además, sin contar el modo de "conmutador virtual" de Hyper-V, Windows en realidad no tiene una configuración de VLAN nativa. Algunos controladores la proporcionan; otros no; algunos controladores aceptantodopaquetes ignorando cualquier etiqueta VLAN... Linux y BSD son más flexibles en este sentido).

Por ejemplo (no estoy seguro si esto es realmente bueno, pero técnicamente funciona):

Cambiar:
- Puerto 1 (VLAN etiquetadas 10, 20) → enrutador
- Puerto 2 (VLAN 10 sin etiquetar) → servidor
- Puerto 3 (VLAN 20 sin etiquetar) → PC de escritorio
Enrutador (ejemplo de Linux):
- Interfaz "eth0" (sin etiquetar): nada (¿tal vez IP de administración? No sé)
- Interfaz "eth0.10" (VLAN 10) – dirección192.168.10.1/24
- Interfaz "eth0.20" (VLAN 20) – dirección192.168.20.1/24
- Firewall configurado para permitir nuevas conexiones 192.168.10.0/24, pero solo se esperan respuestas de todo lo demás. (En Linux eso sería iptables con la cadena "FORWARD" y "-m state".)
Servidor:
- Interfaz "Ethernet" – dirección192.168.10.3/24
Computadora de escritorio:
- Interfaz "Ethernet" – dirección192.168.20.7/24

Answer 1

Las VLAN funcionan de la misma manera que dos redes separadas ordinarias:no"se ven" entre sí de forma predeterminada y sólo pueden comunicarse a través de un enrutador (que tiene ambas VLAN configuradas, probablemente como interfaces "etiquetadas"). Entonces, si desea evitar ciertos tipos de comunicación, debe hacerlo en las reglas de firewall del enrutador.

Y, en general, ustedhacerNecesita un conmutador que admita la configuración de VLAN. (El propio Windows puede hacer eso solo cuando también actúa como un conmutador para máquinas virtuales Hyper-V). Probablemente no sea una buena idea configurar las VLAN directamente en los hosts finales; si no hay nada que las imponga, entonces no es muy seguro.

(Además, sin contar el modo de "conmutador virtual" de Hyper-V, Windows en realidad no tiene una configuración de VLAN nativa. Algunos controladores la proporcionan; otros no; algunos controladores aceptantodopaquetes ignorando cualquier etiqueta VLAN... Linux y BSD son más flexibles en este sentido).

Por ejemplo (no estoy seguro si esto es realmente bueno, pero técnicamente funciona):

Cambiar:
- Puerto 1 (VLAN etiquetadas 10, 20) → enrutador
- Puerto 2 (VLAN 10 sin etiquetar) → servidor
- Puerto 3 (VLAN 20 sin etiquetar) → PC de escritorio
Enrutador (ejemplo de Linux):
- Interfaz "eth0" (sin etiquetar): nada (¿tal vez IP de administración? No sé)
- Interfaz "eth0.10" (VLAN 10) – dirección192.168.10.1/24
- Interfaz "eth0.20" (VLAN 20) – dirección192.168.20.1/24
- Firewall configurado para permitir nuevas conexiones 192.168.10.0/24, pero solo se esperan respuestas de todo lo demás. (En Linux eso sería iptables con la cadena "FORWARD" y "-m state".)
Servidor:
- Interfaz "Ethernet" – dirección192.168.10.3/24
Computadora de escritorio:
- Interfaz "Ethernet" – dirección192.168.20.7/24

Visibilidad entre VLAN

Respuesta1

información relacionada