我想設定多個VLAN,以便能夠將不同類型的設備相互隔離。更具體地說,我想限制Wi-Fi 設備在探索網路時可以看到的內容:例如,它們可以透過HTTP 存取反向代理,但它們不應該能夠存取系統日誌伺服器或嗅探SNMP v1/v2 流量,他們也不應該先知道有系統日誌伺服器或 SNMP 流量。
我使用 Netgear ProSafe 智慧交換器來設定 VLAN。我有:
- 建立 VLAN 6 用於測試目的。
- 將對應的交換器連接埠設定為PVID 6。
- 將此連接埠的 VLAN 會員資格標記為未標記。
- 確保目前為所有裝置設定「允許所有」可接受的訊框類型。根據文檔,這意味著“接受連接埠上收到的未標記和優先標記的幀,並為其分配連接埠 VLAN ID 的值。”
- 設定VLAN 6路由IP位址和遮罩為192.168.252.1/24。
- 確保交換器設定為在路由模式下運作。
- 重新配置
/etc/network/interfaces測試機器。
這是網路的簡化視圖:
我原本期望能夠在test2和之間進行通信test1,但事實並非如此。現在:
test2:~ ping 192.168.252.1作品。test2:~ ping 8.8.8.8不,也不ping 192.168.1.5或ping 192.168.1.1或ping 192.168.1.3。test1:~ ping 192.168.252.2不起作用。test2:~ nc -u 192.168.1.5 53有效(如果 192.168.1.5 處於監聽模式且nc -ul 53)。test1:~ nc -u 192.168.252.2不起作用。ncTCP 模式在任何一個方向都不起作用。
交換器顯示的路由表列出了已學習路由清單中的兩個 VLAN,指示每個路由的正確 VLAN。同一台交換器顯示 ARP 緩存,其中包含所有四台電腦的正確 MAC 位址。
對於 VLAN 間通信,我還應該做哪些額外的事情?
答案1
看來問題不是配置的問題,而是 VLAN 1(預設使用的保留 VLAN)的特殊情況。
事實上,我添加了第三台機器test3並做了一些測試。看起來,當我將第三台機器放在第三個 VLAN 上時,我可以在它 和 (位於 VLAN 6 上)之間交換 UDP 封包,但我在和之間遇到了與之前在和之間test2完全相同的問題。test3test1test2test3
因此,解決方案是將所有電腦從 VLAN 1 移至其他 VLAN。