Resumo
Estou brincando com uma LAN doméstica relativamente pequena e estou perplexo e sem ideias sobre como configurar o roteamento entre VLANs no GS724Tv4. Suspeito que seja por algum descuido de minha parte ou simplesmente por um mal-entendido sobre como o roteamento entre VLANs deve funcionar, então gostaria de receber algumas dicas.
Intenção
Estou tentando separar logicamente a pequena LAN em várias VLANs (motivos: autodocumentação, segurança, aprender algo novo) e estabelecer o roteamento entre VLANs, evitando assim o cenário de roteador no stick.
As VLANs correspondem a áreas como "Wifi", "Armazenamento", etc. então a ideia é que uma VLAN escolhida onde está minha estação de trabalho (suponha VLAN com ID 10) possa acessar virtualmentetodosVLANs, mas um cliente dentro de qualquer outra VLAN só poderia ver sua própria sub-rede e obter acesso à Internet, nada mais.
Para acessibilidade à Internet, existe um roteador (pfSense instalado em uma VM), mas é irrelevante para esse problema e não o mencionarei mais para reduzir o ruído.
Configurar
Extremamente simples – apenas dois clientes, duas portas e duas VLANs. O sistema operacional em ambos os lados é o Windows 7. Todos os IPs são atribuídos estaticamente. Há um único switch compatível com L3 entre os clientes. Não há entroncamento configurado (nem necessário).
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Client | IP | VLAN | PVID | VLAN Member | VLAN SVI | Switch Port |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Workstation (source) | 192.168.1.40 | 10 | 10 | 10 | 192.168.1.100 | P1 |
| Workstation (destination) | 192.168.2.40 | 20 | 20 | 20 | 192.168.2.100 | P2 |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
Minha expectativa é poder fazer ping da origem ao destino. Como um bônus adicional, o Destino seria incapaz de executar ping na Fonte.
Adicionalmente:
- Todas as portas estão configuradas como não marcadas
- Os SVIs não estão em conflito com os IPs existentes (como eu determinaria se estavam?)
- O roteamento IP está habilitado no roteador
- A descoberta do roteador IP está desabilitada (SVIs não são anunciados como gateways)
- O cache ARP do roteador registra os IPs do dispositivo em suas portas, bem como os SVIs
Resultados
- Posso executar ping em endereços IP em uma sub-rede/VLAN específica
- Posso acessar a internet (FWIW)
- EUnão podeping entre sub-redes (gateway padrão não configurado explicitamente na NIC da estação de trabalho)
- EUnão podeping entre sub-redes (gateway padrão definido explicitamente para o endereço IP do SVI na NIC da estação de trabalho)
- EUnão podeping entre sub-redes (mapeou uma porta específica para várias VLANs - por exemplo
port P1 -> VLAN member (10, 20)- isso deveria ser equivalente ao entroncamento de VLAN... e estava essencialmente sacudindo a gaiola, tentando provocar alguma mudança no comportamento)
Questões
Assisti a vários vídeos do YouTube (principalmente da Cisco), li a documentação no site da Netgear e dezenas de artigos/links - e simplesmente não entendo.
Pelo que vi, depois de configurar os SVIs no roteador Cisco, a coisaapenas funcionae é a coisa mais enigmática de toda essa configuração: onde está a tabela de roteamento? Como é quesaberele deve rotear o tráfego da sub-rede X para a sub-rede Y? O que acontece quando você tem inúmeras VLANs, quem escolhe o que vai para onde e, o mais importante -como? Como você define ACLs para VLANs?
Devo definir manualmente rotas estáticas? Acho que nunca vi pessoas configurando-os nesses vídeos. Se eu deveria defini-los – como devo fazer isso? Como posso dizer que o tráfego do SVI X deve ser roteado para o SVI Y? A Netgear fornece apenas dois campos (relevantes) por linha SVI: IP addresse Next Hop. Se eu preencher este último com, por exemplo, o IP do SVI Y, como posso esperar que o acesso à Internet funcione (imagino que Next Hopseria sempre o endereço do roteador).
Tenho certeza de que tenho mais perguntas, mas você pode ver que estou bastante confuso aqui, então vou parar por enquanto. Ficaria muito grato por qualquer conselho que você possa dar - teórico ou prático.
Responder1
É muito fácil configurar o roteamento no gs724tv4. Os menus são autoexplicativos.
Mas uma coisa que você ignorará: você precisa ter uma única vlan fora de banda configurada para gerenciar o switch. A vlan de gerenciamento do switch não pode estar em uma vlan de roteamento. Portanto, configure uma porta com vlan 1 ou qualquer outra que você tenha escolhido para fazer o gerenciamento (nunca uso 1 para isso). Em seguida, adicione as vlans e, em seguida, adicione as rotas. Não use o assistente de roteamento, porque ele é estúpido. Seu switch precisa de um IP em cada rede na qual será roteado e seus hosts devem ser configurados para apontar para seu switch como gateway padrão. Eu geralmente usaria a CLI neste switch, mas para roteamento eu uso uma vez a entrada html e a copio para todos os meus outros switches. Esta opção é sólida como uma rocha.
Depois disso, se quiser regras de acesso entre eles, você precisa adicionar acl's. As ACLs não têm estado. Portanto, pode ser um pouco trabalhoso configurar o "seguro".