나는 이 가이드를 따라왔습니다:
https://homenetworkguy.com/how-to/set-up-a-full-functioning-home-network-using-opnsense/
태그가 지정된 포트와 태그가 지정되지 않은 포트로 인해 손실된 VLAN에 대한 스위치 구성까지는 훌륭했습니다.
내 잠재적 VLAN 구성은 다음과 같습니다.
| VLAN | IP | NIC 포트 | 스위치 포트 | 태그됨 | 태그가 지정되지 않음 | 노트 |
|---|---|---|---|---|---|---|
| 랜 | 192.168.1.1 | 0 | 1 | N | 와이 | 전용 LAN 관리 포트 |
| 사용자 | 192.168.10.1 | 1 | 2 | 와이 | N | 다른 모든 VLAN에 액세스할 수 있습니다. |
| 손님 | 192.168.20.1 | 삼 | 삼 | 와이 | N | 알 수 없는 장치는 여기로 라우팅되어야 합니다. 다른 VLAN에 액세스할 수 없습니다. |
| IoT | 192.168.30.1 | 삼 | 삼 | 와이 | N | 다른 VLAN에 액세스할 수 없습니다. |
| IPCAM | 192.168.40.1 | 삼 | 삼 | 와이 | N | 인터넷에 접속할 수 없습니다. NAS용 USER에 액세스할 수 있습니다. |
| 일하다 | 192.168.50.1 | 2 | 4 | 와이 | N | 다른 VLAN에 액세스할 수 없습니다. |
태그가 지정되고 VLAN 트래픽이 예상되는 스위치의 포트 5에 WAP(기존 라우터)를 추가해야 합니까?
알 수 없는 장치가 스위치에 연결되면 기본적으로 LAN으로 설정됩니까? MAC 주소가 알려진 경우 해당 주소는 동반 VLAN으로 라우팅됩니까?
답변1
알 수 없는 장치가 스위치에 연결되면 기본적으로 LAN으로 설정됩니까?
"태그 없음"으로 할당된 VLAN이 기본값으로 설정됩니다.그 항구에.
(스위치에 별도의 "PVID" 설정이 있는 경우 패킷은전송된장치에 의해 수신되고 스위치에 의해 수신되는 것은 해당 포트에 대해 PVID로 설정된 VLAN으로 기본 설정됩니다. 그러나 올바른 작동을 위해서는 각 포트의 PVID가언제나해당 포트의 태그가 지정되지 않은 VLAN과 일치합니다.)
MAC 주소가 알려진 경우 해당 주소는 동반 VLAN으로 라우팅됩니까?
아니요, 전혀 그런 식으로 작동하지 않습니다. 귀하의 VLAN 할당은~ 아니다MAC 주소를 기반으로 하거나 일반적으로 "알려진" 장치를 기반으로 하지 않습니다 1 . 일반적으로 802.1Q VLAN은 스위치 포트에 정적으로 할당되며어느특정 스위치 포트에 연결된 장치는 항상 동일한 VLAN으로 이동합니다.
OpnSense는 VLAN 할당에 영향을 미칠 수 없습니다. 할 수 있는 일은 "이 VLAN에서 알 수 없는" 장치에 대한 IP 주소 발급을 완전히 거부하는 것뿐입니다. 예를 들어 Wi-Fi 액세스 포인트가 토스터를 "IOT" 대신 "사용자" VLAN에 배치하는 경우 " VLAN의 경우 OpnSense가 DHCP 임대 발급을 거부하도록 할 수 있지만 장치를 "IOT" VLAN으로 이동하도록 할 수는 없습니다.
1 MAC 기반 VLAN 할당이기술적으로가능성이 높습니다. 이는 "엔터프라이즈" 측면에 더 가까운 스위치와 AP에서만 찾을 수 있는 기능입니다. 예를 들어 TP-Link JetStream/Omada 시리즈에서는 일반적으로 802.1X(Wi-Fi용 "WPA-Enterprise"라고도 함)의 일부입니다. Fi). 확실히 정적 802.1Q 태그 기반 VLAN만 수행하는 TL-SG108E에는 없습니다.
태그가 지정된 포트와 태그가 지정되지 않은 포트로 인해 길을 잃었습니다.
"Tagged" 및 "Untagged"는 애초에 포트에 적용되지 않습니다. 대신에 적용됩니다각 VLAN각 포트에 – 귀하의 예와 같이 단일 열만 있는 것은 아닙니다. 당신은행렬어떤 포트에 어떤 VLAN에 태그가 지정되었는지 설명합니다. 동일한 VLAN은 (그리고 일반적으로~ 할 것이다) OpnSense 포트에서는 "태그가 지정"되지만 다른 포트에서는 "태그가 지정되지" 않습니다.
("태그 지정"의 전체 요점은 OpnSense 시스템으로 가는 포트와 같은 단일 포트가 한 번에 여러 VLAN을 전달할 수 있도록 허용하는 것입니다. 그러나 장치는 태그 지정을 이해해야 하므로 일반적으로 스위치의 포트입니다. OpnSense에서 태그가 지정된 VLAN을 수신하고 이를 다음과 같이 노출하는 작업입니다.태그가 지정되지 않은다른 포트에.)
따라서 테이블의 절반은 의미가 있지만 절반은 그렇지 않습니다. 두 개의 별도 테이블이 필요합니다.오직IP 서브넷(및 OpnSense 인터페이스)에 대한 VLAN ID 할당 및 스위치 포트에 대한 VLAN 할당을 설명하는 두 번째 표입니다. 예를 들어:
| 상호 작용 | VLAN ID | IP | 노트 |
|---|---|---|---|
| 랜 | 1 | 192.168.1.1/24 | 전용 LAN 관리 포트 |
| 사용자 | 2 | 192.168.10.1/24 | 다른 모든 VLAN에 액세스할 수 있습니다. |
| 손님 | 삼 | 192.168.20.1/24 | 다른 VLAN에 액세스할 수 없음 |
| IoT | 4 | 192.168.30.1/24 | 다른 VLAN에 액세스할 수 없습니다. |
| IPCAM | 5 | 192.168.40.1/24 | 인터넷에 접속할 수 없습니다. NAS용 USER에 액세스할 수 있습니다. |
| 일하다 | 6 | 192.168.50.1/24 | 다른 VLAN에 액세스할 수 없습니다. |
그리고:
| 스위치 포트 | VLAN 1 (LAN) |
VLAN 2 (사용자) |
VLAN 3 (게스트) |
VLAN 4 (IOT) |
VLAN 5 (IPCAM) |
VLAN 6 (작업) |
|---|---|---|---|---|---|---|
| 1(오픈센스) | 태그가 지정되지 않음 | 태그됨 | 태그됨 | 태그됨 | 태그됨 | 태그됨 |
| 2(윈도우 PC) | - | 태그가 지정되지 않음 | – | – | – | - |
| 4(IP 카메라) | - | - | - | - | 태그가 지정되지 않음 | - |
| 5(저렴한 일반 AP) | - | - | 태그가 지정되지 않음 | - | - | - |
| 6(다중 SSID AP) | 태그가 지정되지 않음 | 태그됨 | 태그됨 | 태그됨 | - | - |
이 예에서 "태그가 지정된" VLAN이 있는 유일한 포트는 다음 장치로 가는 포트입니다.이해하다태그된 VLAN(신뢰할 수 있음) 그 밖의 모든 것에는 태그가 지정되지 않은 단일 VLAN("액세스 포트"라고도 함)만 제공됩니다.
예를 들어, OpnSense는 802.1Q VLAN 태그를 이해합니다. 각 "VLAN" 인터페이스는 태그에 해당합니다. 모든 Linux 장치와 동일합니다. 반면, Windows PC는 일반적으로 태그가 지정된 VLAN을 제대로 처리할 수 없습니다(Hyper-V를 실행하지 않는 한).또는고급 드라이버가 포함된 "서버급" NIC가 있어야 합니다.
스위치에 "PVID" 설정이 있는 경우 전송된 패킷과 수신된 패킷 간의 대칭을 위해 각 포트의 PVID는 해당 포트의 태그가 지정되지 않은 VLAN의 ID와 일치해야 합니다. (스위치가 VLAN 태그 없이 패킷을 수신하면 해당 패킷이 'PVID' VLAN에 속한다고 가정합니다. 이는 '태그가 지정되지 않은' VLAN에서 패킷을 보내는 것과 정반대입니다.)