Я следовал этому руководству:
https://homenetworkguy.com/how-to/set-up-a-fully-functioning-home-network-using-opnsense/
Все было замечательно, пока не возникла проблема с настройкой коммутатора для VLANS, и я запутался в тегированных и нетегированных портах.
Моя потенциальная конфигурация VLAN выглядит следующим образом:
| ВЛС | ИС | Порт сетевой карты | Порт коммутатора | Помечено | Неотмеченный | Примечания |
|---|---|---|---|---|---|---|
| Локальная сеть | 192.168.1.1 | 0 | 1 | Н | И | Выделенный порт управления локальной сетью |
| ПОЛЬЗОВАТЕЛЬ | 192.168.10.1 | 1 | 2 | И | Н | Может получить доступ ко всем остальным VLAN |
| ГОСТЬ | 192.168.20.1 | 3 | 3 | И | Н | Любые неизвестные устройства должны быть направлены сюда. Не имеет доступа к другим VLAN |
| Интернет вещей | 192.168.30.1 | 3 | 3 | И | Н | Не имеет доступа к другим VLAN |
| IPCAM | 192.168.40.1 | 3 | 3 | И | Н | Нет доступа в Интернет. Возможен доступ USER для NAS |
| РАБОТА | 192.168.50.1 | 2 | 4 | И | Н | Не имеет доступа к другим VLAN |
Стоит ли мне добавить WAP (мой старый маршрутизатор) к порту 5 на коммутаторе, который будет помечен, а также ожидать трафик VLAN?
Если к коммутатору подключено неизвестное устройство, будет ли оно по умолчанию перенаправлено в LAN? Если MAC-адрес известен, оно будет перенаправлено в сопутствующую ему VLAN?
решение1
Если к коммутатору подключить неизвестное устройство, будет ли оно по умолчанию работать в локальной сети?
По умолчанию будет использоваться VLAN, назначенная как «нетегированная».в этом порту.
(Если ваш коммутатор имеет отдельные настройки «PVID», то пакетыотправилустройством и полученный коммутатором, по умолчанию будет соответствовать VLAN, которая была установлена как PVID для этого порта, но для правильной работы PVID каждого порта долженвсегда(Сопоставьте немаркированную VLAN этого порта.)
Если MAC-адрес известен, будет ли он направлен в сопутствующую VLAN?
Нет, это вообще не так работает. Ваше назначение VLANнетна основе MAC-адреса, а также на основе того, что устройства «известны» в целом 1 Обычно сети VLAN 802.1Q статически назначаются портам коммутатора илюбойУстройство, подключенное к данному порту коммутатора, всегда входит в одни и те же VLAN.
OpnSense не может влиять на назначение VLAN — все, что он может сделать, это полностью отказаться выдавать IP-адрес устройству, «неизвестному в этой VLAN». Например, если ваша точка доступа Wi-Fi помещает ваш тостер в VLAN «USER» вместо VLAN «IOT», вы можете заставить OpnSense отказаться выдавать аренду DHCP, но вы не можете заставить его переместить устройство в VLAN «IOT».
1 Хотя назначение VLAN на основе MAC-адресовтехническивполне возможно, что это функция, которую вы найдете только в коммутаторах и точках доступа, которые больше подходят для "корпоративной" стороны, например, в серии TP-Link JetStream/Omada – обычно как часть 802.1X (также известной как "WPA-Enterprise" для Wi-Fi). Определенно не в TL-SG108E, который в лучшем случае поддерживает только статические VLAN на основе тегов 802.1Q.
Я запутался в тегированных и нетегированных портах.
"Помеченный" и "Непомеченный" не относится к портам в первую очередь. Вместо этого он относится ккаждая VLANна каждом порту – у вас будет не просто один столбец, как в вашем примере; у вас будетматрицакоторый описывает, какие порты имеют какие VLAN помечены. Один и тот же VLAN может (и обычноволя) быть «помеченным» на порту OpnSense, но «непомеченным» на другом порту.
(Помните, что весь смысл «тегирования» заключается в том, чтобы позволить одному порту — например, порту, подключенному к вашей системе OpnSense — одновременно передавать несколько VLAN. Однако устройства должны понимать тегирование, поэтому обычно задача коммутатора — получать тегированные VLAN от OpnSense и выставлять их какнемаркированныйна других портах.)
Итак, половина вашей таблицы имеет смысл, а половина — нет. Вам нужны две отдельные таблицы: одна, которая описываеттольконазначения идентификаторов VLAN подсетям IP (и, возможно, интерфейсам OpnSense), и вторая таблица, описывающая назначения VLAN портам коммутатора. Например:
| Интерфейс | ИДЕНТИФИКАТОР VLAN | ИС | Примечания |
|---|---|---|---|
| Локальная сеть | 1 | 192.168.1.1/24 | Выделенный порт управления локальной сетью |
| ПОЛЬЗОВАТЕЛЬ | 2 | 192.168.10.1/24 | Может получить доступ ко всем остальным VLAN |
| ГОСТЬ | 3 | 192.168.20.1/24 | Не имеет доступа к другим VLAN |
| Интернет вещей | 4 | 192.168.30.1/24 | Не имеет доступа к другим VLAN |
| IPCAM | 5 | 192.168.40.1/24 | Нет доступа в Интернет. Возможен доступ USER для NAS |
| РАБОТА | 6 | 192.168.50.1/24 | Не имеет доступа к другим VLAN |
и:
| Порт коммутатора | VLAN 1 (локальная сеть) |
VLAN 2 (ПОЛЬЗОВАТЕЛЬ) |
VLAN 3 (ГОСТЕВОЙ) |
VLAN 4 (IoT) |
VLAN 5 (IP-камера) |
VLAN 6 (РАБОТАЕТ) |
|---|---|---|---|---|---|---|
| 1 (OpnSense) | Неотмеченный | Помечено | Помечено | Помечено | Помечено | Помечено |
| 2 (ПК с Windows) | - | Неотмеченный | – | – | – | - |
| 4 (IP-камера) | - | - | - | - | Неотмеченный | - |
| 5 (дешевый универсальный AP) | - | - | Неотмеченный | - | - | - |
| 6 (точка доступа с несколькими SSID) | Неотмеченный | Помечено | Помечено | Помечено | - | - |
В этом примере единственные порты, которые имеют какие-либо «тегированные» VLAN, — это те, которые подключены к устройствам,пониматьТегированные VLAN (и им можно доверять). Все остальное получает только один нетегированный VLAN (он же «порт доступа»).
Например, OpnSense понимает теги VLAN 802.1Q – каждый интерфейс "VLAN" соответствует тегу; то же самое с любым устройством Linux. С другой стороны, ПК с Windows, как правило, не могут хорошо обрабатывать тегированные VLAN (если только они не используют Hyper-Vилииметь сетевую карту «серверного уровня» с ее навороченными драйверами).
Если на вашем коммутаторе есть настройка «PVID», PVID каждого порта должен совпадать с идентификатором немаркированной VLAN на этом порту для симметрии между отправленными и полученными пакетами. (Когда коммутатор получает пакеты без тега VLAN, он предполагает, что они принадлежат к VLAN «PVID» — полная противоположность отправке пакетов из «немаркированной» VLAN.)