VLAN対応の管理可能なスイッチを使用したデバイスの分離
家庭用の「ビンテージ」DellPowerConnect 5324スイッチを購入しました($ 60)。複数のサーバー(DHCP、NAT、NAS、VMホスト)があり、さまざまな内部VLAN間でいくつかを共有したいと考えています。
管理者、子供、ゲストWiFi、および内部WiFiセグメントがあり、現在、すべてのサーバーを含め、すべてが相互に表示されています。
スイッチのポートとVLANを構成する方法と戦ってきました。例-子供たちにVLANがDHCPとNATにのみアクセスし、VMとNASにはアクセスしないようにしたいが、管理者VLANにすべてにアクセスさせたい(など)
一部のVLANからのアクセスのみを許可し、他のVLANは拒否するように、サーバーのポートをどのように構成しますか?私のデバイスの99%はVLANに対応していないため、5324ポートはタグなしフレームを受け入れてタグ付けするように構成する必要がありますが、内部的にのみです。タグはポートを出る前に削除する必要があります。
これまで、ポートを「一般」として構成し、たとえばDHCPdポートをキッズVLANと管理VLANのU(タグなし)メンバーにしようとしましたが、何かが常に壊れています。
これを実際の課題にするために、2つのVLAN対応スイッチがあります。1つは地下に、もう1つは2階にあり、「子供用」デバイスの一部は2階と2階にあるため、それらの間のすべてのVLANをトランキングしたいと考えています。だけでなく、私の「管理者」、別名大人のセグメント。
tl; dr:
(1)構成する必要がありますか マッチング 両方のスイッチのVLAN、例: Admin_101、Kids_133などは両方のスイッチに認識されている必要がありますか?
(2)「admin」デバイスに接続されているスイッチポートをどのモードで配置しますか:General/GVID 101、他のすべてのポートを101メンバー/タグなしに設定しますか?
(3)「キッズ」デバイスに接続されているスイッチポート(General/GVID 123)をどのモードに配置し、123 /タグなしのメンバーにアクセスするポートのみを設定しますか?
長い質問でごめんなさい。私は何日もグーグルで実験しましたが、http/ssh経由でアクセスできないようにしたため、以前の構成をロードするためにスイッチをリセットするために地下室に頻繁に足を運びました...
関連するhrefsをいただければ幸いです。
TIA!
エンドポイントのポートにタグを付ける必要はありません。すべてのエンドポイントポートをアクセスポートとして構成する必要があります。
他のスイッチにリンクするスイッチポートをトランクポートとして設定する必要があります。同様に、Dellスイッチに接続する他のスイッチのポートをトランクポートとして構成する必要があります。
VLAN間でトラフィックをルーティングするにはルーターが必要です。
それに応じて、エンドポイントの各セットをIPアドレスで構成する必要があります。同じVLAN内のエンドポイントには、同じIPネットワーク内のIPアドレスが必要です。各VLANのエンドポイントは、異なるVLANのエンドポイントと同じIPネットワークのIPアドレスを使用してはなりません。例えば; VLAN 1のすべてのデバイスは、192.168.1.0/24IPネットワークのIPアドレスで構成できます。 VLAN 2のすべてのデバイスは、192.168.2.0/24IPネットワークのIPアドレスで構成できます。
はい、両方のスイッチで「一致する」VLANを構成する必要があります。また、設定したVLANのトラフィックを伝送するようにトランクポートが設定されていることを確認する必要があります。
ルータでACLを使用して、VLAN間のトラフィックを制御(許可または制限)できます。
理解した。私は本当にルーターを追加したくなかったので。
4つのホストでテストしました:2つの「クライアント」と2つの「サーバー」、VLAN対応なし。
クライアントはポート3と4に接続されています。
サーバーはポート19と20に接続されています。
4つのポートすべてを「一般」にし、ポートごとにVLANを作成しました(ポート3と4のそれぞれに151と152の4つの論理ネットワークセグメントをシミュレートしているため、 「サーバー」ポート19および20の場合は153および154)。
VLAN 153および154のポート3メンバーをタグなし、VLAN 154のポート4メンバーのみをタグなし)のメンバーにしました。
結果として、クライアント1は両方のサーバー(VLAN 153/154のポート19と20)を認識でき、クライアント2はポート20のサーバー2のみを認識できます。
以下の構成:
console# show running-config
port jumbo-frame
interface range ethernet g(3-4,19-20)
switchport mode general
exit
vlan database
vlan 151-154
exit
interface ethernet g3
switchport general pvid 151
exit
interface ethernet g4
switchport general pvid 152
exit
interface ethernet g19
switchport general pvid 153
exit
interface ethernet g20
switchport general pvid 154
exit
interface range ethernet g(3,19-20)
switchport general allowed vlan add 151 untagged
exit
interface range ethernet g(4,20)
switchport general allowed vlan add 152 untagged
exit
interface range ethernet g(3-4,19)
switchport general allowed vlan add 153 untagged
exit
interface range ethernet g(3-4,20)
switchport general allowed vlan add 154 untagged
exit
interface vlan 151
name Client151
exit
interface vlan 152
name Client152
exit
interface vlan 153
name Server153
exit
interface vlan 154
name Server154
exit
interface vlan 1
ip address 192.168.1.5 255.255.255.0
exit
ip default-gateway 192.168.1.1
ip name-server 8.8.8.8 8.8.4.4
変数を制限し、テスト環境を使用するだけの問題だったと思います。答えてくれてありがとう!次に、トランクをテストします。
デバイスがVLANに対応していない場合(およびデバイスのインターフェイスが異なるVLANで接続されている場合)、デバイス間の通信はレイヤー3でのみ実現できます。ルーターを設定し、必要に応じてトラフィックをルーティングまたはブロックします。