He estado siguiendo esta guía:
https://homenetworkguy.com/how-to/set-up-a-fully-functioning-home-network-using-opnsense/
Lo cual ha sido excelente hasta la configuración del conmutador para las VLAN, donde me perdí con los puertos etiquetados y sin etiquetar.
Mi posible configuración de VLAN es la siguiente:
| VLAN | IP | Puerto de tarjeta de red | Puerto del interruptor | Etiquetado | Sin etiquetar | Notas |
|---|---|---|---|---|---|---|
| LAN | 192.168.1.1 | 0 | 1 | norte | Y | Puerto de gestión LAN dedicado |
| USUARIO | 192.168.10.1 | 1 | 2 | Y | norte | Puede acceder a todas las demás VLAN |
| INVITADO | 192.168.20.1 | 3 | 3 | Y | norte | Cualquier dispositivo desconocido debe enrutarse aquí. No tiene acceso a otras VLAN |
| IOT | 192.168.30.1 | 3 | 3 | Y | norte | No tiene acceso a otras VLAN |
| Cámara IP | 192.168.40.1 | 3 | 3 | Y | norte | Sin acceso a Internet. Puede acceder al USUARIO para NAS |
| TRABAJAR | 192.168.50.1 | 2 | 4 | Y | norte | No tiene acceso a otras VLAN |
¿Debo agregar el WAP (mi antiguo enrutador) al puerto 5 del conmutador que se etiquetaría tan bien como esperaría el tráfico VLAN?
Cuando se conecta un dispositivo desconocido al conmutador, ¿el valor predeterminado será LAN? Si se conoce la dirección MAC, ¿se enrutará a su VLAN complementaria?
Respuesta1
Cuando se conecta un dispositivo desconocido al conmutador, ¿el valor predeterminado será LAN?
De forma predeterminada, cualquier VLAN esté asignada como "sin etiquetar".en ese puerto.
(Si su conmutador tiene configuraciones "PVID" separadas, entonces los paquetesenviadopor el dispositivo y recibida por el switch será la VLAN que se configuró como PVID para ese puerto, pero para un funcionamiento adecuado, el PVID de cada puerto debesiemprecoincida con la VLAN sin etiquetar de ese puerto).
Si se conoce la dirección MAC, ¿se enrutará a su VLAN complementaria?
No, no funciona así en absoluto. Su asignación de VLAN esnobasado en la dirección MAC, ni en que los dispositivos sean "conocidos" en general 1 . Normalmente, las VLAN 802.1Q se asignan estáticamente a los puertos del switch ycualquierEl dispositivo conectado a un puerto de conmutador determinado siempre va a las mismas VLAN.
OpnSense no puede influir en la asignación de VLAN; todo lo que puede hacer es negarse por completo a emitir una dirección IP a un dispositivo "desconocido en esta VLAN", por ejemplo, si su punto de acceso Wi-Fi coloca su tostadora en la VLAN "USUARIO" en lugar de la "IOT". " VLAN, puede hacer que OpnSense se niegue a emitir una concesión DHCP, pero no puede hacer que mueva el dispositivo a la VLAN "IOT".
1 Aunque la asignación de VLAN basada en MAC estécnicamenteEs muy posible que sea una característica que sólo encontrará en conmutadores y AP más hacia el lado "empresarial", por ejemplo, en la serie TP-Link JetStream/Omada, generalmente como parte de 802.1X (también conocido como "WPA-Enterprise" para Wi-Fi). Fi). Ciertamente no en el TL-SG108E, que como máximo solo funciona con VLAN estáticas basadas en etiquetas 802.1Q.
Me he perdido con los puertos etiquetados y sin etiquetar.
"Etiquetado" y "Sin etiquetar" no se aplican a los puertos en primer lugar. En cambio se aplica acada VLANen cada puerto: no tendría una sola columna como en su ejemplo; tendrías unmatrizque describe qué puertos tienen qué VLAN etiquetadas. La misma VLAN puede (y normalmentevoluntad) estar "etiquetado" en el puerto de OpnSense, pero "sin etiquetar" en otro puerto.
(Tenga en cuenta que el objetivo del "etiquetado" es permitir que un solo puerto, como el que va a su sistema OpnSense, transporte varias VLAN a la vez. Sin embargo, los dispositivos deben comprender el etiquetado, por lo que generalmente es el del conmutador. trabajo para recibir VLAN etiquetadas de OpnSense y exponerlas comosin etiquetaren los otros puertos.)
Entonces, la mitad de su tabla tiene sentido, pero la otra mitad no. Necesita dos tablas separadas: una que describasololas asignaciones de ID de VLAN a subredes IP (y tal vez a interfaces OpnSense) y una segunda tabla que describe las asignaciones de VLAN a puertos de conmutación. Por ejemplo:
| Interfaz | ID de VLAN | IP | Notas |
|---|---|---|---|
| LAN | 1 | 192.168.1.1/24 | Puerto de gestión LAN dedicado |
| USUARIO | 2 | 192.168.10.1/24 | Puede acceder a todas las demás VLAN |
| INVITADO | 3 | 192.168.20.1/24 | No tiene acceso a otras VLAN |
| IOT | 4 | 192.168.30.1/24 | No tiene acceso a otras VLAN |
| Cámara IP | 5 | 192.168.40.1/24 | Sin acceso a Internet. Puede acceder al USUARIO para NAS |
| TRABAJAR | 6 | 192.168.50.1/24 | No tiene acceso a otras VLAN |
y:
| Puerto del interruptor | VLAN 1 (LAN) |
VLAN 2 (USUARIO) |
VLAN 3 (INVITADO) |
VLAN 4 (IOT) |
VLAN 5 (cámara IP) |
VLAN 6 (TRABAJO) |
|---|---|---|---|---|---|---|
| 1 (OpnSense) | Sin etiquetar | Etiquetado | Etiquetado | Etiquetado | Etiquetado | Etiquetado |
| 2 (PC con Windows) | - | Sin etiquetar | – | – | – | - |
| 4 (cámara IP) | - | - | - | - | Sin etiquetar | - |
| 5 (AP genérico barato) | - | - | Sin etiquetar | - | - | - |
| 6 (AP multi-SSID) | Sin etiquetar | Etiquetado | Etiquetado | Etiquetado | - | - |
En este ejemplo, los únicos puertos que tienen VLAN "etiquetadas" son aquellos que van a dispositivos queentenderVLAN etiquetadas (y se les puede confiar). Todo lo demás sólo obtiene una única VLAN sin etiquetar (también conocida como "puerto de acceso").
Por ejemplo, OpnSense entiende las etiquetas VLAN 802.1Q: cada interfaz "VLAN" corresponde a una etiqueta; Lo mismo con cualquier dispositivo Linux. Por otro lado, las PC con Windows generalmente no pueden manejar bien las VLAN etiquetadas (a menos que ejecuten Hyper-Votener una NIC de "grado de servidor" con sus sofisticados controladores).
Si su conmutador tiene una configuración "PVID", el PVID de cada puerto debe coincidir con el ID de la VLAN sin etiquetar en ese puerto, para lograr simetría entre los paquetes enviados y recibidos. (Cuando el conmutador recibe paquetes sin una etiqueta VLAN, asume que pertenecen a la VLAN 'PVID', exactamente lo opuesto a enviar paquetes desde la VLAN 'sin etiquetar').