¿Cómo hacer que los dispositivos que pertenecen a dos VLAN separadas se comuniquen entre sí?

tag-icon tag-icon vlan netgear
¿Cómo hacer que los dispositivos que pertenecen a dos VLAN separadas se comuniquen entre sí?

Quiero configurar varias VLAN para poder aislar diferentes tipos de dispositivos entre sí. Más específicamente, quiero restringir lo que los dispositivos Wi-Fi pueden ver cuando exploran la red: por ejemplo, pueden acceder al proxy inverso a través de HTTP, pero no deberían poder acceder al servidor syslog ni detectar el tráfico SNMP v1/v2. ni deberían saber que hay un servidor syslog o tráfico SNMP en primer lugar.

Estoy usando conmutadores inteligentes Netgear ProSafe para configurar las VLAN. He:

  1. Creó la VLAN 6 con fines de prueba.
  2. Configure el puerto del conmutador correspondiente al PVID 6.
  3. Marcó la membresía de VLAN para este puerto como sin etiquetar.
  4. Se aseguró que los tipos de fotogramas aceptables "Admitir todos" estén configurados para todos los dispositivos por ahora. Según la documentación, esto significa que "las tramas no etiquetadas y etiquetadas con prioridad recibidas en el puerto se aceptan y se les asigna el valor de ID de VLAN del puerto para este puerto".
  5. Configure la dirección IP y la máscara de enrutamiento VLAN 6 en 192.168.252.1/24.
  6. Se aseguró de que el conmutador esté configurado para ejecutarse en modo de enrutamiento.
  7. Reconfiguración /etc/network/interfacesde las máquinas de prueba.

Aquí hay una vista simplificada de la red:

Un diagrama de red que muestra dos máquinas en dos VLAN.

Esperaba poder comunicarme entre test2y test1, pero este no es el caso. Actualmente:

  • test2:~ ping 192.168.252.1obras.
  • test2:~ ping 8.8.8.8no lo hace, ni lo hace ping 192.168.1.5o ping 192.168.1.1o ping 192.168.1.3.
  • test1:~ ping 192.168.252.2no funciona.
  • test2:~ nc -u 192.168.1.5 53funciona (si 192.168.1.5 está en modo de escucha con nc -ul 53).
  • test1:~ nc -u 192.168.252.2no funciona.
  • ncen modo TCP no funciona en ninguna dirección.

La tabla de enrutamiento que muestra el conmutador enumera ambas VLAN en la lista de rutas aprendidas, indicando la VLAN correcta para cada ruta. El mismo conmutador muestra el caché ARP que contiene las direcciones MAC correctas de las cuatro máquinas.

¿Qué cosas adicionales debo hacer para la comunicación entre VLAN?

Respuesta1

Parece que el problema no fue la configuración, sino algo especial de la VLAN 1 (que es la VLAN reservada, utilizada por defecto).

De hecho, agregué una tercera máquina test3e hice algunas pruebas. Parece que cuando coloco esta tercera máquina en una tercera VLAN, puedo intercambiar paquetes UDP entre ella y test2(situada en la VLAN 6), pero tengo exactamente los mismos problemas entre test3y test1que tenía antes entre test2y test3.

Diagrama que muestra que la comunicación VLAN 6 - VLAN 7 funciona, pero la VLAN 1 no

Por lo tanto, la solución es simplemente mover todas las máquinas de la VLAN 1 a alguna otra VLAN.

información relacionada