No he trabajado mucho con VLAN en el pasado y esperaba poder obtener una buena explicación de lo que necesito configurar para que esto funcione.
Actualmente tengo un enrutador Netgear WNR2000v2 y un conmutador inteligente Netgear GS108T en mi red. El cuarto puerto del enrutador se conecta al puerto uno del conmutador. Me gustaría poder aislar el puerto 8 en el conmutador para usarlo como "puerto invitado" cuando llevo a casa PC infestadas de malware para repararlas. Pensé que las capacidades VLAN del GS108T podrían hacer esto por mí, pero creo que no entiendo cómo funciona realmente la VLAN.
El puerto 8 necesita acceso a Internet, pero no debería poder comunicarse con el resto de las PC de la red doméstica. La subred de la red doméstica es 192.168.1.0/24 y me gustaría que la PC invitada tenga A) 192.168.1.64 o B) 192.168.2.2. Estoy leyendo muchas cosas sobre el enlace de puertos y la membresía de VLAN, pero no sé qué configuración se debe implementar para que esto funcione.
¡Cualquier ayuda es muy apreciada! Avíseme si hay más información que necesito proporcionar. Definitivamente estoy buscando aprender algo de este proyecto.
¡Gracias!
Respuesta1
Esto ha sido respondido muchas veces aquí, pero necesito práctica, así que lo intentaré de nuevo.
Las propias VLAN son bastante fáciles de entender. Básicamente, lo que está haciendo es dividir un conmutador en uno o más grupos lógicos de puertos. Como ejemplo, tomemos un conmutador de 8 puertos y asignemos los puertos 1 a 4 a VLAN10 y los puertos 5 a 8 a VLAN20.
Todos los dispositivos conectados a los puertos 1 a 4 pueden comunicarse entre sí utilizando una configuración de red similar. Entonces... 192.168.1.1 que es parte de la red 192.168.1.0/24 puede comunicarse con cualquier IP 192.168.1.1 a 192.168.1.254 siempre que esos dispositivos estén en esos puertos. Si conectó 192.168.1.2/24 al puerto 5, un dispositivo en el puerto 1 no verá ese tráfico porque está en un segmento de red diferente. No sería diferente a si hubiera conectado los dispositivos a dos conmutadores físicos completamente separados.
Entonces, en el futuro, piense en cada VLAN como si fuera un conmutador independiente y con cada VLAN debería venir una configuración de subred diferente. Entonces... VLAN10 podría ser 192.168.1.0/24 y los dispositivos en VLAN20 podrían ser 192.168.2.0/24. Si se superpuso, también podría poner todo en la misma VLAN.
Para comunicarse ENTRE dos VLAN (que pueden y deben estar en subredes diferentes), necesita un enrutador. Los conmutadores con capacidad de Capa 3 permiten que esto se haga directamente en el conmutador.
Sin embargo, tienes un problema. Un enrutador de consumo como Netgear probablemente no admita el enrutamiento de más de 2 redes juntas a menos que use DDWRT en él. Esto se debe a que espera estar conectado a una red WAN, una red LAN y tal vez una red inalámbrica, pero generalmente simplemente conectan esto con el segmento LAN.
Necesita que el enrutador enrute entre dos segmentos LAN separados, así como también realice NAT a la WAN, pero probablemente no lo admita.
Respuesta2
Cree 2 VLAN en el conmutador VLAN 1 Tráfico normal VLAN 2 Tráfico sucio
Configure el puerto 8 en el conmutador para que sea VLAN 2 sin etiquetar (PVID). Configure otros puertos para que estén en la VLAN 1. Configure el puerto conectado al enrutador para que ambas VLAN sean posiblemente VLAN 1 sin etiquetar (PVID) y VLAN 2 etiquetada.
En el enrutador Configure el puerto conectado al conmutador con la misma configuración de VLAN. Asegúrese de que el enrutador no enrute entre VLAN1 y VLAN2.