Eu tenho um roteador Mikrotik hEX + switch PoE tp-link. O switch está alimentando uma câmera de segurança e um AP. Criei duas VLANs (id's 10 e 20). As duas VLANs possuem endereços IP 192.168.10.0/24 e 192.168.20.0/24 respectivamente. Atribuí todos os dispositivos sem fio às VLANs apropriadas, mas estou tendo problemas para descobrir como garantir que a câmera com fio seja colocada na VLAN10. Atualmente ele pega o IP do servidor dhcp padrão do mikrotik (192.168.88.0/24). Se eu configurar a porta ether2 do mikrotik (onde o switch PoE está conectado), ele configurará todos os dispositivos desse switch para VLAN10 (afiak), mas eu só quero um desses dispositivos. O switch não é gerenciado.
Então, como posso definir apenas esse dispositivo para estar na VLAN10?
Responder1
O roteador não pode controlar o que acontece com os pacotes depois que eles são enviados da porta Ethernet – se eles forem para um switch, entãoaquele interruptortoma a próxima decisão. Não importa que tipo de tags VLAN o roteador anexe, elas não terão sentido se os pacotes forem para um switch que simplesmente não os entende.
Resumindo, se você usar switches não gerenciados que não suportam VLANs, entãopor definição,você não pode separar dispositivos conectados a esse switch em VLANs diferentes.
Da mesma forma, para o tráfego entre dispositivos nesse switch – você não pode impor nada através do seu roteador quando o tráfego nãoiratravés do roteador. Se o switch não tiver um recurso para impedir a comunicação de duas portas, você não poderá evitar isso.
Sua única opção restante é ter várias sub-redes na mesma VLAN (por exemplo, 192.168.88.0/24 e 192.168.30.0/24 na mesma interface) e usar concessões de DHCP estáticas para definir qual dispositivo será atribuído a qual endereço de qual sub-rede.
Isso não proporcionará um bom isolamento, mas forneceráalgunsisolamento – para IPv4 – já que seus dispositivos não saberão que ambas as sub-redes estão no mesmo link, então todo o tráfego entre eles ainda passará pelo roteador (gateway padrão), desde que o roteador esteja configurado paranãoenviar pacotes ICMP "Redirecionamento".Este método não funcionará com IPv6devido à sua configuração sem estado - o roteador não pode enviar uma transmissão de configuração automática para "todos os dispositivos, exceto aquele em um canto", e também não pode impedir que os dispositivos tenham endereços de link local.