Видимость кросс-VLAN

Question

Сети VLAN работают так же, как две обычные отдельные сети: онине«видят» друг друга по умолчанию и могут общаться только через маршрутизатор (на котором оба VLAN настроены, вероятно, как «тегированные» интерфейсы). Поэтому, если вы хотите запретить определенные типы общения, вы можете сделать это в правилах брандмауэра маршрутизатора.

И, вообще, выделатьнужен коммутатор, поддерживающий настройку VLAN. (Сама Windows может делать это только тогда, когда она также выступает в качестве коммутатора для виртуальных машин Hyper-V.) Вероятно, не очень хорошая идея настраивать VLAN непосредственно на конечных хостах — если нет ничего, что могло бы их принудительно реализовать, то это не очень безопасно.

(Кроме того, не считая режима «виртуального коммутатора» Hyper-V, сама Windows фактически не имеет собственной конфигурации VLAN. Некоторые драйверы ее предоставляют, некоторые — нет, некоторые драйверы принимаютвсепакеты, игнорирующие любые теги VLAN... Linux и BSD более гибки в этом отношении.)

Например (не уверен, что это действительно хорошо, но технически это работает):

Выключатель:
- Порт 1 (помеченные VLAN 10, 20) → маршрутизатор
- Порт 2 (немаркированный VLAN 10) → сервер
- Порт 3 (немаркированный VLAN 20) → настольный ПК
Маршрутизатор (пример Linux):
- Интерфейс "eth0" (без тегов) – ничего (может быть IP-адрес управления? не знаю)
- Интерфейс "eth0.10" (VLAN 10) – адрес192.168.10.1/24
- Интерфейс "eth0.20" (VLAN 20) – адрес192.168.20.1/24
- Брандмауэр настроен на разрешение новых подключений от 192.168.10.0/24, но от всего остального ожидаются только ответы. (В Linux это будет iptables с цепочкой «FORWARD» и «состоянием -m».)
Сервер:
- Интерфейс "Ethernet" – адрес192.168.10.3/24
Настольный ПК:
- Интерфейс "Ethernet" – адрес192.168.20.7/24

Answer 1

Сети VLAN работают так же, как две обычные отдельные сети: онине«видят» друг друга по умолчанию и могут общаться только через маршрутизатор (на котором оба VLAN настроены, вероятно, как «тегированные» интерфейсы). Поэтому, если вы хотите запретить определенные типы общения, вы можете сделать это в правилах брандмауэра маршрутизатора.

И, вообще, выделатьнужен коммутатор, поддерживающий настройку VLAN. (Сама Windows может делать это только тогда, когда она также выступает в качестве коммутатора для виртуальных машин Hyper-V.) Вероятно, не очень хорошая идея настраивать VLAN непосредственно на конечных хостах — если нет ничего, что могло бы их принудительно реализовать, то это не очень безопасно.

(Кроме того, не считая режима «виртуального коммутатора» Hyper-V, сама Windows фактически не имеет собственной конфигурации VLAN. Некоторые драйверы ее предоставляют, некоторые — нет, некоторые драйверы принимаютвсепакеты, игнорирующие любые теги VLAN... Linux и BSD более гибки в этом отношении.)

Например (не уверен, что это действительно хорошо, но технически это работает):

Выключатель:
- Порт 1 (помеченные VLAN 10, 20) → маршрутизатор
- Порт 2 (немаркированный VLAN 10) → сервер
- Порт 3 (немаркированный VLAN 20) → настольный ПК
Маршрутизатор (пример Linux):
- Интерфейс "eth0" (без тегов) – ничего (может быть IP-адрес управления? не знаю)
- Интерфейс "eth0.10" (VLAN 10) – адрес192.168.10.1/24
- Интерфейс "eth0.20" (VLAN 20) – адрес192.168.20.1/24
- Брандмауэр настроен на разрешение новых подключений от 192.168.10.0/24, но от всего остального ожидаются только ответы. (В Linux это будет iptables с цепочкой «FORWARD» и «состоянием -m».)
Сервер:
- Интерфейс "Ethernet" – адрес192.168.10.3/24
Настольный ПК:
- Интерфейс "Ethernet" – адрес192.168.20.7/24

Видимость кросс-VLAN

решение1

Связанный контент