VLAN(A로 이름 지정)이 다른 VLAN(B로 지정)을 볼 수 있도록 하는 방법을 찾기 위해 애쓰고 있으며 B VLAN이 A VLAN을 볼 수 없도록 하고 싶습니다.
나는 Windows 서버에 대해 이 구성을 원하기 때문에 언급합니다.
답변1
VLAN은 두 개의 일반적인 개별 네트워크와 동일한 방식으로 작동합니다.하지 마라기본적으로 서로 "참조"하며 라우터(아마도 "태그가 지정된" 인터페이스로 구성된 두 VLAN이 모두 있음)를 통해서만 통신할 수 있습니다. 따라서 특정 유형의 통신을 방지하려면 라우터의 방화벽 규칙에서 그렇게 하면 됩니다.
그리고 일반적으로 당신은하다VLAN 구성을 지원하는 스위치가 필요합니다. (Windows 자체는 Hyper-V VM에 대한 스위치 역할을 하는 경우에만 그렇게 할 수 있습니다.) 최종 호스트에서 VLAN을 직접 구성하는 것은 아마도 좋은 생각이 아닐 것입니다. 이를 시행할 것이 없으면 그다지 안전하지 않습니다.
(게다가 Hyper-V "가상 스위치" 모드를 제외하면 Windows 자체에는 실제로 기본 VLAN 구성이 없습니다. 일부 드라이버는 이를 제공하고 일부 드라이버는 제공하지 않으며 일부 드라이버는 허용합니다.모두VLAN 태그를 무시하는 패킷... 이 점에서는 Linux와 BSD가 더 유연합니다.)
예를 들어(실제로 좋은지는 확실하지 않지만 기술적으로는 작동합니다):
스위치:
- 포트 1(VLAN 10, 20 태그 지정) → 라우터
- 포트 2(태그가 지정되지 않은 VLAN 10) → 서버
- 포트 3(태그가 지정되지 않은 VLAN 20) → 데스크톱 PC
라우터(Linux 예):
- 인터페이스 "eth0"(태그 없음) – 없음(관리 IP일지도 모르겠습니다.)
- 인터페이스 "eth0.10"(VLAN 10) – 주소
192.168.10.1/24 - 인터페이스 "eth0.20"(VLAN 20) – 주소
192.168.20.1/24 - 의 새로운 연결을 허용하도록 구성된 방화벽은
192.168.10.0/24다른 모든 것의 응답만 예상합니다. (Linux에서는 "FORWARD" 체인과 "-m state"를 사용하여 iptables가 가능합니다.)
섬기는 사람:
- 인터페이스 "이더넷" – 주소
192.168.10.3/24
- 인터페이스 "이더넷" – 주소
데스크탑 컴퓨터:
- 인터페이스 "이더넷" – 주소
192.168.20.7/24
- 인터페이스 "이더넷" – 주소