Tengo un enrutador Mikrotik hEX + conmutador PoE tp-link. El conmutador alimenta una cámara de seguridad y un AP. Creé dos VLAN (id 10 y 20). Las dos VLAN tienen direcciones IP 192.168.10.0/24 y 192.168.20.0/24 respectivamente. Asigné todos los dispositivos inalámbricos a las VLAN apropiadas, sin embargo, tengo problemas para descubrir cómo asegurarme de que la cámara con cable esté conectada a la VLAN10. Actualmente recoge una IP del servidor dhcp predeterminado de mikrotik (192.168.88.0/24). Si configuro el puerto ether2 del mikrotik (donde está conectado el conmutador PoE), configurará todos los dispositivos en ese conmutador en VLAN10 (afiak), pero solo quiero uno de esos dispositivos. El conmutador no está gestionado.
Entonces, ¿cómo puedo configurar solo ese dispositivo para que esté en VLAN10?
Respuesta1
El enrutador no puede controlar lo que sucede con los paquetes después de que se envían desde el puerto Ethernet; si van a un conmutador, entoncesese interruptortoma la siguiente decisión. No importa qué tipo de etiquetas VLAN adjunte el enrutador, no tienen sentido si los paquetes van a un conmutador que simplemente no los entiende.
En resumen, si utiliza conmutadores no administrados que no admiten VLAN, entoncespor definición,no puede separar los dispositivos conectados a ese conmutador en diferentes VLAN.
De manera similar, para el tráfico entre dispositivos en ese conmutador: no puede imponer nada a través de su enrutador cuando el tráfico no lo hace.ira través del enrutador. Si el conmutador no tiene una función para evitar que dos puertos se comuniquen, entonces no podrá evitarlo.
La única opción que le queda es tener varias subredes en la misma VLAN (por ejemplo, 192.168.88.0/24 y 192.168.30.0/24 en la misma interfaz) y utilizar concesiones de DHCP estáticas para definir a qué dispositivo se le asigna qué dirección y desde qué subred.
Esto no proporcionará un buen aislamiento, pero proporcionaráalgunoaislamiento (para IPv4), ya que sus dispositivos no sabrán que ambas subredes están en el mismo enlace, por lo que todo el tráfico entre ellas seguirá pasando por el enrutador (puerta de enlace predeterminada), siempre que el enrutador esté configurado paranoenviar paquetes ICMP "Redirect".Este método no funcionará con IPv6debido a su configuración sin estado, el enrutador no puede enviar una transmisión de configuración automática a "todos los dispositivos excepto aquel en una esquina" y tampoco puede evitar que los dispositivos tengan direcciones de enlace local.