web-dev-qa-db-ja.com

クロスVLAN共有と選択したリソースの自動検出

それぞれが異なるアクセス権を持つリソースまたはクライアントを含む複数のVLANを持つネットワークがあります。

簡単にするために、3つのVLANがあるとしましょう。

  1. ID 1:特権クライアントとこれらの特権クライアントにのみアクセス可能なプライベートリソースが含まれます
  2. ID 2:パブリックリソースにのみアクセスできるゲストクライアントが含まれます
  3. ID :特権クライアントとゲストクライアントの両方がアクセスできるパブリックリソースが含まれています

この設定では、自動検出とアクセス権管理を機能させて、VLAN 10のクライアントがVLAN10と30のリソースを検出してアクセスできるようにし、VLAN 20はVLAN20および30のリソースを検出してアクセスできます。自動検出する必要のあるリソースはさまざまなタイプです(Windowsネットワーク共有、プリンター、セキュリティカメラ、Appleデバイスなど)、いくつかの異なるメカニズムが機能していますが、そのほとんどは私には何の知識もありません。

このようなセットアップを一般的に機能させて、VLAN 10のデバイスがVLAN10と30の両方で構成される単一のネットワークを認識し、全員が同じに接続されているかのように動作するようにすることは可能ですか? VLAN 20のスイッチとデバイスは、VLAN 20と30のすべてのデバイスで構成されるネットワークを参照してください?

VLAN 10と30の間にブリッジを作成し、VLAN 20と30の間に2番目のブリッジを作成する必要がありますか?これは、VLAN 10と20を暗黙的にブリッジしますか(受け入れられません)?もしそうなら、ファイアウォールルールとのこの暗黙のブリッジングを禁止することはできますか(VLAN 10からVLAN 20およびその逆)にすべてのパケットをドロップするなど)?

このようなレイアウトをサブネット化するための最良の方法は何でしょうか。また、DHCPを設定してそれを実現するにはどうすればよいでしょうか。私の現在の考えは次のようなものです:

  • 192.168。1。x for VLAN 1、192.168。2。x for VLAN 2、および192.168 .。x for VLAN
  • サブネット255.255 .。0すべての人(デバイスがVLAN間でブロードキャストを送信するため)

このような設定をVyatta-Linuxベースのルーター、特にDHCP部分で機能させることは可能ですか?私が提供するサブネットに基づいて、リッスンするインターフェイスを決定しているようです。したがって、eth0.10(VLAN 10)でリッスンするには、サブネット192.168.10.0/24を指定する必要がありますが、DHCPクライアントにサブネットが255.255ではなく255.255.0.0であることを通知したいと思います。 255.0。

すべての一般的な自動検出メカニズムが機能することを合理的に確認するには、他にどのようなサービス/転送を設定する必要がありますか(ARPプロキシなど)?

どんな助けでも大歓迎です。

routingdhcpvlanbridgeautodiscovery
1
Markus A.

あなたと@joeqwertyは質問へのコメントで活発な議論をしました、そして私はそのいくつかをエコーするつもりです。

簡単な基礎から始めましょう。独自の「自動検出」プロトコルが複数あります。つまり、クライアントとサーバーのホストまたはプログラムが相互に位置を特定するためのプロトコルです。 「自動発見」について、それがモノリシックなエンティティであるかのように話すことは、問題全体を覆い隠しています。全体を通してそれを覚えておいてください。

ネットワークを複数の仮想LANにセグメント化しました。ブロードキャストは、これらの仮想LAN間で通信されません。多くの(ほとんど?)自動検出プロトコルはブロードキャストベースであるため、他のVLAN内のホストを見つけることができません。

実際には、すべてのネットワークを1つの大きなLANに戻すだけなので、ネットワークをブリッジするだけでは役に立ちません。複数のVLANにセグメント化する他のすべての理由は、ウィンドウの外にあります。

VLAN間でプロトコルを選択的に転送することは、物事が興味深いものになるところです。

NetBIOS「ブラウジング」、mDNS(「ZeroConf」または「Bonjour」として知られる)などの標準的なIPベースの自動検出プロトコルは、IPサブネット間で転送できます(通常、論理サブによってVLANに1対1でマッピングされます)。 -適切なアプリケーションレイヤーゲートウェイソフトウェアを備えたルーター上のインターフェイス)これを実行できる複数のベンダーのさまざまな製品があります(お気に入りの検索エンジンを使用して「サブネット間の転送ボンジュール」を探すと、たとえば、たくさんのものが見つかります。)

独自の自動検出プロトコルは、より問題になるでしょう。ソフトウェアがVLANまたはサブネットを介して転送するために誰かによって作成されていることを期待する必要があります。レイヤー2でのみ機能するプロトコルは、隣接テーブルに対処するために、スイッチがVLAN MACアドレスが関連付けられているVLAN間)のアカウンティングを維持するため、さらに問題が発生します。ゲートウェイソフトウェアには、何らかのプロキシMAC機能が必要です。

あなたが探していることは不可能ではありませんが、それは個々のプロトコルベースで処理されなければなりません。探している結果を達成するために適用できる「魔法の杖」ソリューションはありません。

3
Evan Anderson