Como fazer com que os dispositivos pertencentes a duas VLANs separadas se comuniquem entre si?

tag-icon tag-icon vlan netgear
Como fazer com que os dispositivos pertencentes a duas VLANs separadas se comuniquem entre si?

Quero configurar várias VLANs para poder isolar diferentes tipos de dispositivos uns dos outros. Mais especificamente, quero restringir o que os dispositivos Wi-Fi podem ver ao explorar a rede: por exemplo, eles podem acessar o proxy reverso através de HTTP, mas não devem ser capazes de acessar o servidor syslog ou detectar o tráfego SNMP v1/v2, nem deveriam saber que existe um servidor syslog ou tráfego SNMP em primeiro lugar.

Estou usando switches inteligentes Netgear ProSafe para configurar as VLANs. Eu tenho:

  1. Criou a VLAN 6 para fins de teste.
  2. Defina a porta do switch correspondente para o PVID 6.
  3. Marcada a associação da VLAN para esta porta como não marcada.
  4. Garantimos que os tipos de quadros aceitáveis ​​“Admitir todos” estejam definidos para todos os dispositivos por enquanto. De acordo com a documentação, isso significa que “quadros não marcados e marcados com prioridade recebidos na porta são aceitos e atribuídos ao valor do ID VLAN da porta para esta porta”.
  5. Defina o endereço IP de roteamento da VLAN 6 e a máscara para 192.168.252.1/24.
  6. Certifique-se de que o switch esteja configurado para funcionar no modo de roteamento.
  7. Reconfiguração /etc/network/interfacesdas máquinas de teste.

Aqui está uma visão simplificada da rede:

Um diagrama de rede mostrando duas máquinas em duas VLANs.

Eu esperava poder me comunicar entre test2e test1, mas não é o caso. Atualmente:

  • test2:~ ping 192.168.252.1funciona.
  • test2:~ ping 8.8.8.8não, nem faz ping 192.168.1.5ou ping 192.168.1.1ou ping 192.168.1.3.
  • test1:~ ping 192.168.252.2não funciona.
  • test2:~ nc -u 192.168.1.5 53funciona (se 192.168.1.5 estiver no modo de escuta com nc -ul 53).
  • test1:~ nc -u 192.168.252.2não funciona.
  • ncno modo TCP não funciona em nenhuma direção.

A tabela de roteamento exibida pelo switch lista ambas as VLANs na lista de rotas aprendidas, indicando a VLAN correta para cada rota. O mesmo switch exibe o cache ARP que contém os endereços MAC corretos de todas as quatro máquinas.

Que coisas adicionais devo fazer para a comunicação entre VLANs?

Responder1

Parece que o problema não foi a configuração, mas algo especial sobre a VLAN 1 (que é a VLAN reservada, usada por padrão).

Na verdade, adicionei uma terceira máquina test3e fiz alguns testes. Parece que quando coloco esta terceira máquina em uma terceira VLAN, posso trocar pacotes UDP entre ela e test2(situado na VLAN 6), mas tenho exatamente os mesmos problemas entre test3e test1que tive anteriormente entre test2e test3.

Diagrama mostrando que a comunicação VLAN 6 - VLAN 7 funciona, mas a VLAN 1 não

A solução é, portanto, simplesmente mover todas as máquinas da VLAN 1 para alguma outra VLAN.

informação relacionada