Как заставить устройства, принадлежащие двум отдельным VLAN, взаимодействовать друг с другом?

tag-icon tag-icon vlan netgear
Как заставить устройства, принадлежащие двум отдельным VLAN, взаимодействовать друг с другом?

Я хочу настроить несколько VLAN, чтобы иметь возможность изолировать различные типы устройств друг от друга. Точнее, я хочу ограничить то, что устройства Wi-Fi могут видеть при исследовании сети: например, они могут получить доступ к обратному прокси-серверу через HTTP, но они не должны иметь возможности получить доступ к серверу syslog или прослушивать трафик SNMP v1/v2, и они не должны знать, что есть сервер syslog или трафик SNMP в первую очередь.

Я использую интеллектуальные коммутаторы Netgear ProSafe для настройки VLAN. Я:

  1. Создал VLAN 6 для целей тестирования.
  2. Установите соответствующий порт коммутатора на PVID 6.
  3. Отмечено членство VLAN для этого порта как нетегированное.
  4. На данный момент для всех устройств установлено «Принять все» приемлемые типы кадров. Согласно документации, это означает, что «Немаркированные и приоритетные маркированные кадры, полученные на порту, принимаются и им назначается значение идентификатора VLAN порта для этого порта».
  5. Установите IP-адрес и маску маршрутизации VLAN 6 на 192.168.252.1/24.
  6. Убедитесь, что коммутатор настроен на работу в режиме маршрутизации.
  7. Перенастройка /etc/network/interfacesтестовых машин.

Вот упрощенный вид сети:

Сетевая схема, показывающая две машины в двух VLAN.

Я ожидал, что смогу общаться между test2и test1, но это не так. В настоящее время:

  • test2:~ ping 192.168.252.1работает.
  • test2:~ ping 8.8.8.8не делает, и не делает ping 192.168.1.5или ping 192.168.1.1или ping 192.168.1.3.
  • test1:~ ping 192.168.252.2не работает.
  • test2:~ nc -u 192.168.1.5 53работает (если 192.168.1.5 находится в режиме прослушивания nc -ul 53).
  • test1:~ nc -u 192.168.252.2не работает.
  • ncв режиме TCP не работает ни в одном направлении.

Таблица маршрутизации, отображаемая коммутатором, перечисляет обе VLAN в списке изученных маршрутов, указывая правильную VLAN для каждого маршрута. Тот же коммутатор отображает кэш ARP, который содержит правильные MAC-адреса всех четырех машин.

Какие дополнительные действия мне следует выполнить для взаимодействия между VLAN?

решение1

Похоже, проблема была не в конфигурации, а в чем-то особенном в VLAN 1 (зарезервированной VLAN, используемой по умолчанию).

На самом деле, я добавил третью машину test3и провел несколько тестов. Похоже, что когда я помещаю эту третью машину в третью VLAN, я могу обмениваться пакетами UDP между ней и test2(расположенной в VLAN 6), но у меня точно такие же проблемы между test3и test1, которые у меня были раньше между test2и test3.

Диаграмма, показывающая, что связь VLAN 6 - VLAN 7 работает, а VLAN 1 - нет

Поэтому решение состоит в том, чтобы просто переместить все машины из VLAN 1 в какую-то другую VLAN.

Связанный контент