我有一個 Mikrotik hEX 路由器 + tp-link PoE 交換器 該交換器為安全攝影機和 AP 供電。我建立了兩個 VLAN(id 為 10 和 20)。兩個VLAN的IP位址分別為192.168.10.0/24和192.168.20.0/24。我將所有無線設備分配到適當的 VLAN,但是我無法確定如何確保有線攝影機置於 VLAN10 上。目前,它從 mikrotik 的預設 dhcp 伺服器 (192.168.88.0/24) 取得 IP。如果我設定 mikrotik 的 ether2 連接埠(插入 PoE 交換器的位置),它會將該交換器上的所有裝置設定為 VLAN10 (afiak),但我只想要其中一個裝置。交換器不受管理。
那麼如何才能只將那一台設備設定在 VLAN10 上呢?
答案1
路由器無法控制封包從乙太網路連接埠發送後會發生什麼情況 - 如果它們進入交換機,那麼那個開關做出下一步的決定。無論路由器附加何種類型的 VLAN 標記,如果封包傳送到根本不理解它們的交換機,它們就毫無意義。
簡而言之,如果您使用不支援 VLAN 的非託管交換機,那麼根據定義,您無法將連接到該交換器的裝置分為不同的 VLAN。
同樣,對於該交換器上的設備之間的流量 - 當流量不存在時,您無法透過路由器強制執行任何操作去透過路由器。如果交換器沒有阻止兩個連接埠通訊的功能,那麼您就無法阻止這種情況。
您唯一剩下的選擇是在同一VLAN 上擁有多個子網路(例如,同一介面上的192.168.88.0/24 和192.168.30.0/24),並使用靜態DHCP 租約來定義為哪個裝置分配哪個子網路的哪個地址。
這不會提供良好的隔離,但會提供一些隔離 – 對於 IPv4 – 因為您的裝置不會知道兩個子網路恰好位於同一連結上,因此它們之間的所有流量仍將通過路由器(預設閘道),只要將路由器設定為不是發送 ICMP“重定向”資料包。此方法不適用於 IPv6由於其無狀態配置 - 路由器無法向“除了角落裡的設備之外的所有設備”發送自動配置廣播,並且它也無法阻止設備擁有鏈路本地地址。