Краткое содержание
Я играюсь с относительно небольшой домашней локальной сетью и я сбит с толку и не имею ни малейшего представления о том, как настроить маршрутизацию между VLAN на GS724Tv4. Я подозреваю, что это из-за какой-то оплошности с моей стороны или просто непонимания того, как должна работать маршрутизация между VLAN, поэтому я был бы признателен за некоторые соображения.
Намерение
Я пытаюсь логически разделить небольшую локальную сеть на несколько VLAN (причины: самодокументирование, безопасность, изучение чего-то нового) и установить маршрутизацию между VLAN, избегая таким образом сценария «маршрутизатор на палочке».
Сети VLAN соответствуют таким областям, как «Wi-Fi», «Хранилище» и т. д., поэтому идея заключается в том, что выбранная VLAN, где находится моя рабочая станция (предположим, VLAN с идентификатором 10), может получить виртуальный доступвсеVLAN, но клиент внутри любой другой VLAN может видеть только свою собственную подсеть и получать доступ к Интернету, и ничего больше.
Для обеспечения доступа в Интернет имеется маршрутизатор (pfSense, установленный в виртуальной машине), но он не имеет отношения к данной проблеме и не будет упоминаться далее, чтобы снизить уровень шума.
Настраивать
Очень просто — всего два клиента, два порта и две VLAN. Операционная система на обеих сторонах — Windows 7. Все IP-адреса назначены статически. Между клиентами находится один коммутатор с поддержкой L3. Не настроено транкинговое соединение (да и не нужно).
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Client | IP | VLAN | PVID | VLAN Member | VLAN SVI | Switch Port |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Workstation (source) | 192.168.1.40 | 10 | 10 | 10 | 192.168.1.100 | P1 |
| Workstation (destination) | 192.168.2.40 | 20 | 20 | 20 | 192.168.2.100 | P2 |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
Я ожидаю, что смогу пинговать от Источника до Назначения. В качестве дополнительного бонуса Назначение не сможет пинговать Источник.
Кроме того:
- Все порты настроены как немаркированные
- SVI не конфликтуют с существующими IP-адресами (как определить, конфликтуют ли они?)
- На маршрутизаторе включена IP-маршрутизация
- Обнаружение IP-маршрутизатора отключено (SVI не объявляются как шлюзы)
- Кэш ARP маршрутизатора регистрирует IP-адреса устройств на их портах, а также SVI.
Полученные результаты
- Я могу пинговать IP-адреса в пределах определенной подсети/VLAN
- Я могу получить доступ к Интернету (FWIW)
- яне могуping через подсети (шлюз по умолчанию явно не настроен на сетевой карте рабочей станции)
- яне могуping через подсети (шлюз по умолчанию явно настроен на IP-адрес SVI на сетевой карте рабочей станции)
- яне могуping через подсети (сопоставление определенного порта с несколькими VLAN - например
port P1 -> VLAN member (10, 20)- это должно быть эквивалентно транкингу VLAN... и это по сути было просто сотрясением клетки, попыткой спровоцировать какое-то изменение в поведении)
Вопросы
Я посмотрел множество видео на YouTube (в основном Cisco), прочитал документацию на сайте Netgear и десятки статей/ссылок — и я просто ничего не понимаю.
Насколько я видел, после настройки SVI на маршрутизаторе Cisco, все...только работаети это самая загадочная вещь во всей этой схеме: где таблица маршрутизации? Как оназнатьон должен направлять трафик из подсети X в подсеть Y? Что происходит, когда у вас есть несколько VLAN, кто выбирает, что куда идет и, самое главное -как?Как определить ACL для VLAN?
Мне вручную определять статические маршруты? Я не думаю, что я когда-либо видел, как люди настраивают их в этих видео. Если мне следует их определять - как мне это сделать? Как мне сказать, что трафик из SVI X должен быть направлен в SVI Y? Netgear предоставляет только два (релевантных) поля на строку SVI: IP addressи Next Hop. Если я заполню последнее, например, IP-адресом SVI Y, как я могу ожидать, что доступ в Интернет будет работать (я бы предположил, что Next Hopэто всегда будет адрес маршрутизатора).
Я уверен, что у меня есть еще вопросы, но вы видите, что я здесь довольно запутался, поэтому я остановлюсь на этом. Я был бы благодарен за любой совет, который вы можете дать - теоретический или практический.
решение1
Настроить маршрутизацию в gs724tv4 довольно просто. Меню интуитивно понятны.
Но вы упустите из виду одну вещь: вам нужно настроить один внешний vlan для управления коммутатором. Управляющий vlan коммутатора не может быть в маршрутизируемом vlan. Поэтому настройте порт с vlan 1 или любым другим, который вы выбрали для управления (я никогда не использую 1 для этого). Затем добавьте vlan, а затем добавьте маршруты. Не используйте мастер маршрутизации, потому что он глупый. Вашему коммутатору нужен IP в каждой сети, в которую он будет маршрутизировать, и ваши хосты должны быть настроены так, чтобы указывать на ваш коммутатор как на шлюз по умолчанию. Я бы обычно использовал CLI на этом коммутаторе, но для маршрутизации я один раз использую запись html, а затем копирую ее для всех моих других коммутаторов. Этот коммутатор очень надежный.
После этого, если вам нужны правила доступа между ними, вам нужно добавить acl. Хотя ACL не отслеживают состояние. Так что настройка "безопасности" может быть немного головной болью.