Estou lutando para descobrir como posso fazer com que uma VLAN (vamos chamá-la de A) veja outra VLAN (deixe esta ser B) e quero que a VLAN B não consiga ver uma VLAN.
Menciono porque quero essa configuração para servidor Windows.
Responder1
As VLANs funcionam da mesma maneira que duas redes separadas comuns: elasnão"vêem" um ao outro por padrão e só podem se comunicar através de um roteador (que possui ambas as VLANs configuradas, provavelmente como interfaces "marcadas"). Portanto, se você quiser impedir certos tipos de comunicação, faça isso nas regras de firewall do roteador.
E, geralmente, vocêfazerprecisa de um switch que suporte configuração de VLAN. (O próprio Windows também pode fazer isso quando atua como um switch para VMs Hyper-V.) Provavelmente não é uma boa ideia configurar VLANs diretamente nos hosts finais – se não houver nada para aplicá-las, então não é muito seguro.
(Além disso, sem contar o modo "switch virtual" do Hyper-V, o próprio Windows não possui configuração de VLAN nativa. Alguns drivers fornecem isso; alguns drivers não; alguns drivers aceitamtodospacotes ignorando qualquer tag VLAN... Linux e BSDs são mais flexíveis nesse aspecto.)
Por exemplo (não tenho certeza se isso é realmente bom, mas funciona tecnicamente):
Trocar:
- Porta 1 (VLANs marcadas 10, 20) → roteador
- Porta 2 (VLAN 10 não marcada) → servidor
- Porta 3 (VLAN 20 não marcada) → PC desktop
Roteador (exemplo Linux):
- Interface "eth0" (sem marcação) – nada (talvez IP de gerenciamento? Não sei)
- Interface "eth0.10" (VLAN 10) – endereço
192.168.10.1/24 - Interface "eth0.20" (VLAN 20) – endereço
192.168.20.1/24 - Firewall configurado para permitir novas conexões de
192.168.10.0/24, mas apenas respostas esperadas de todo o resto. (No Linux seriam iptables com a cadeia "FORWARD" e "-m state".)
Servidor:
- Interface "Ethernet" – endereço
192.168.10.3/24
- Interface "Ethernet" – endereço
Desktop PC:
- Interface "Ethernet" – endereço
192.168.20.7/24
- Interface "Ethernet" – endereço