我一直在遵循這個指南:
https://homenetworkguy.com/how-to/set-up-a-complete-functioning-home-network-using-opnsense/
這一直很好,直到我在 VLAN 的交換器配置中迷失了標記和未標記的連接埠。
我的潛在 VLAN 配置如下:
| 虛擬區域網 | 智慧財產 | 網路卡埠 | 交換器埠 | 已標記 | 未標記 | 筆記 |
|---|---|---|---|---|---|---|
| 區域網路 | 192.168.1.1 | 0 | 1 | 氮 | 是 | 專用 LAN 管理端口 |
| 使用者 | 192.168.10.1 | 1 | 2 | 是 | 氮 | 可以存取所有其他 VLAN |
| 客人 | 192.168.20.1 | 3 | 3 | 是 | 氮 | 任何未知設備都應路由至此處。無法存取其他 VLAN |
| 物聯網 | 192.168.30.1 | 3 | 3 | 是 | 氮 | 無法存取其他 VLAN |
| 網路攝影機 | 192.168.40.1 | 3 | 3 | 是 | 氮 | 不能存取網路。可以存取 NAS 的 USER |
| 工作 | 192.168.50.1 | 2 | 4 | 是 | 氮 | 無法存取其他 VLAN |
我是否應該將 WAP(我的舊路由器)新增至交換器上的連接埠 5(該連接埠將被標記)以及預期的 VLAN 流量?
當任何未知設備插入交換器時,它會預設為 LAN 嗎?如果 MAC 位址已知,它會被路由到其同伴 VLAN 嗎?
答案1
當任何未知設備插入交換器時,它會預設為 LAN 嗎?
它將預設分配為“未標記”的 VLAN在那個連接埠上。
(如果您的交換器有單獨的“PVID”設置,則封包傳送由裝置接收並由交換器接收的 VLAN 將預設為設定為該連接埠 PVID 的 VLAN – 但為了正確操作,每個連接埠的 PVID 應總是符合該連接埠的未標記 VLAN。
如果 MAC 位址已知,它會被路由到其同伴 VLAN 嗎?
不,根本不是這樣的。您的 VLAN 分配是不是基於 MAC 位址,也不基於通常「已知」的設備1。通常 802.1Q VLAN 靜態分配給交換器端口,任何連接到給定交換器連接埠的裝置始終進入相同的 VLAN。
OpnSense 無法影響VLAN 分配– 它所能做的就是完全拒絕向“此VLAN 中未知”設備頒發IP 位址,例如,如果您的Wi-Fi 存取點將烤麵包機置於“用戶”VLAN 而不是“物聯網」 「VLAN,您可以使 OpnSense 拒絕發出 DHCP 租約,但不能使其將裝置移至「IOT」VLAN。
1雖然基於 MAC 的 VLAN 分配是技術上很有可能,該功能只能在“企業”方面的交換器和 AP 中找到,例如 TP-Link JetStream/Omada 系列 – 通常作為 802.1X 的一部分(又名“WPA-Enterprise”,適用於 Wi-Fi)菲)。當然TL-SG108E不行,TL-SG108E最多只能做基於靜態802.1Q標記的VLAN。
我已經迷失了標記和未標記的連接埠。
「標記」和「未標記」首先不適用於連接埠。相反,它適用於每個VLAN在每個連接埠上 – 您不會像範例中那樣只有一列;你會有一個矩陣它描述了哪些連接埠標記了哪些 VLAN。相同的 VLAN 可以(而且通常將要)在 OpnSense 連接埠上被“標記”,但在另一個連接埠上“未標記”。
(請記住,「標記」的全部意義在於允許單一連接埠(例如連接 OpnSense 系統的連接埠)同時承載多個 VLAN。但是,裝置需要瞭解標記,因此通常是交換器的標記從OpnSense 接收標記的VLAN 並將其公開為未標記的在其他連接埠上。
所以你的桌子的一半是有意義的,但一半是沒有意義的。您需要兩個單獨的表格:一個描述僅有的VLAN ID 到 IP 子網路(也可能是 OpnSense 介面)的分配,以及描述交換器連接埠 VLAN 指派的第二個表。例如:
| 介面 | VLAN ID | 智慧財產 | 筆記 |
|---|---|---|---|
| 區域網路 | 1 | 192.168.1.1/24 | 專用 LAN 管理端口 |
| 使用者 | 2 | 192.168.10.1/24 | 可以存取所有其他 VLAN |
| 客人 | 3 | 192.168.20.1/24 | 無法存取其他 VLAN |
| 物聯網 | 4 | 192.168.30.1/24 | 無法存取其他 VLAN |
| 網路攝影機 | 5 | 192.168.40.1/24 | 不能存取網路。可以存取 NAS 的 USER |
| 工作 | 6 | 192.168.50.1/24 | 無法存取其他 VLAN |
和:
| 開關連接埠 | VLAN 1 (區域網路) |
VLAN 2 (用戶) |
VLAN 3 (訪客) |
VLAN 4 (物聯網) |
VLAN 5 (網路攝影機) |
VLAN 6 (工作) |
|---|---|---|---|---|---|---|
| 1(OpnSense) | 未標記 | 已標記 | 已標記 | 已標記 | 已標記 | 已標記 |
| 2(Windows 電腦) | - | 未標記 | – | – | – | - |
| 4(網路攝影機) | - | - | - | - | 未標記 | - |
| 5(廉價通用 AP) | - | - | 未標記 | - | - | - |
| 6(多 SSID AP) | 未標記 | 已標記 | 已標記 | 已標記 | - | - |
在此範例中,唯一具有「標記」VLAN 的連接埠是那些連接到下列設備的連接埠:理解標記的 VLAN(並且可以信任它們)。其他所有內容僅獲得一個未標記的 VLAN(也稱為「存取連接埠」)。
例如,OpnSense瞭解802.1Q VLAN標籤-每個「VLAN」介面對應一個標籤;與任何 Linux 設備相同。另一方面,Windows PC 通常無法很好地處理標記的 VLAN(除非它們執行 Hyper-V)或者有一個“伺服器級”NIC 及其精美的驅動程式)。
如果您的交換器有「PVID」設置,則每個連接埠的 PVID 必須與該連接埠上未標記 VLAN 的 ID 匹配,以確保發送和接收的封包之間的對稱性。 (當交換器接收到沒有 VLAN 標記的封包時,它會假定它們屬於「PVID」VLAN - 與從「無標記」VLAN 傳送封包正好相反。)