概括
我正在研究一個相對較小的家庭 LAN,並且對於如何在 GS724Tv4 上配置 VLAN 間路由感到困惑和不理想。我懷疑這是因為我的一些疏忽或只是對 VLAN 間路由應該如何運作的誤解,所以我希望能得到一些見解。
意圖
我試圖在邏輯上將小型 LAN 分成幾個 VLAN(原因:自我文件、安全性、學習新東西)並建立 VLAN 間路由,從而避免單臂路由器的情況。
VLAN 對應於「Wifi」、「儲存」等區域,因此我的想法是,我的工作站所在的所選 VLAN(假設 ID 為 10 的 VLAN)可以虛擬訪問全部VLAN,但任何其他 VLAN 內的客戶端只能看到自己的子網路並存取互聯網,除此之外什麼都不能。
對於網路可訪問性,有一個路由器(位於虛擬機器中的 pfSense),但與此問題無關,為了減少噪音,不會進一步提及它。
設定
極為簡單 - 只需兩個客戶端、兩個連接埠和兩個 VLAN。雙方作業系統均為Windows 7。客戶端之間有一個支援 L3 的交換器。沒有配置中繼(也不需要)。
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Client | IP | VLAN | PVID | VLAN Member | VLAN SVI | Switch Port |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
| Workstation (source) | 192.168.1.40 | 10 | 10 | 10 | 192.168.1.100 | P1 |
| Workstation (destination) | 192.168.2.40 | 20 | 20 | 20 | 192.168.2.100 | P2 |
+---------------------------+--------------+------+------+-------------+---------------+-------------+
我的期望是能夠從來源 ping 到目的地。作為額外的好處,目標將無法 ping 來源。
另外:
- 所有連接埠均配置為未標記
- SVI 與現有 IP 不衝突(我該如何確定它們是否衝突?)
- 路由器上啟用IP路由
- IP 路由器發現已停用(SVI 不會通告為閘道)
- 路由器 ARP 快取在其連接埠上註冊設備的 IP 以及 SVI
結果
- 我可以 ping 特定子網路/VLAN 內的 IP 位址
- 我可以上網(FWIW)
- 我不能跨子網路 ping(未在工作站 NIC 上明確設定預設閘道)
- 我不能跨子網路 ping(預設閘道明確設定為工作站 NIC 上的 SVI IP 位址)
- 我不能跨子網路 ping(將特定連接埠對應到多個 VLAN - 例如
port P1 -> VLAN member (10, 20)
- 這應該相當於 VLAN 中繼......並且它本質上是在破壞籠子,試圖引發一些行為變化)
問題
我觀看了許多 YouTube 影片(主要是 Cisco),通讀了 Netgear 網站上的文件和數十篇文章/連結 - 但我根本不理解它。
據我所知,在 Cisco 路由器上設定 SVI 後,事情只是 作品這是整個設定中最神秘的事情:路由表在哪裡?怎麼做的知道它應該將流量從子網路 X 路由到子網路 Y?當您有大量 VLAN 時會發生什麼,誰可以選擇什麼去哪裡,最重要的是 -如何?如何為 VLAN 定義 ACL?
我應該手動定義靜態路由嗎?我認為我從未見過人們在這些影片中配置它們。如果我應該定義它們 - 我該怎麼做?我該如何說來自 SVI X 的流量應路由至 SVI Y? Netgear 在每個 SVI 行僅提供兩個(相關)欄位:IP address
和Next Hop
。如果我用 SVI Y 的 IP 填充後者,我怎麼能期望互聯網訪問正常工作(我想Next Hop
總是路由器的位址)。
我確信我還有更多問題,但你可以看到我在這裡感到困惑,所以我現在就停下來。如果您能提供任何建議(理論或實踐),我將不勝感激。
答案1
在 gs724tv4 中設定路由非常容易。菜單是不言自明的。
但您會忽略一件事:您需要設定一個帶外 VLAN 來管理交換器。交換器的管理vlan不能在路由vlan中。因此,使用 vlan 1 或您選擇進行管理的任何連接埠配置連接埠(我從不使用 1)。然後新增vlan,然後新增路由。不要使用路由嚮導,因為那是愚蠢的。您的交換器在其路由的每個網路上都需要一個 IP,並且您的主機應配置為指向您的交換器作為預設閘道。我通常會在此交換器上使用 CLI,但對於路由,我一次使用 html 條目,然後將其複製到所有其他交換器。這個開關堅如磐石。
之後,如果您想要它們之間的存取規則,則需要新增 acl。但 ACL 不是有狀態的。所以設定「安全」可能有點頭痛。