web-dev-qa-db-ja.com

TP-LinkTL-SG108E-1つのデバイスを他のすべてのデバイスから分離するVLAN

私は、DD-WRTを実行するASUS RT-N16ルーターと、いくつかの有線および無線クライアントで構成される典型的なホームネットワークを持っています。ネットワークに新しく追加されたのは、私が取り組んでいる学校のプロジェクトでチームが使用するRaspberryPiです。

Piは、インターネットに面したサーバーへの逆SSHトンネルを実行するように設定されているため、より広いインターネット上の誰もがホームネットワーク上のデバイスにSSHで接続できます。

Piはインターネットとホームネットワークで利用できるため、ネットワーク上の他のすべてのデバイスからPiを分離したいと思います。事実上、私はPiをフェンスの片側に置き、それ以外はすべて反対側に置きます。すべてのデバイスはインターネットにアクセスする必要があります。

最初は、DD-WRTルーターに2つのVLANを設定しようとして失敗しましたが、1日いじり回してフォーラムサーフィンをした後、多くの人がファームウェアのバグに問題を抱えているようでした。私の生活を楽にするために、またはそう思ったので、VLANサポート)を宣伝するTP-LinkTL-SG108E「EasySmartSwitch」を購入しました。私が期待するように働くために!

TP-Linkスイッチ:

  • ポート1-ルーターの組み込みスイッチに移動します
  • ポート2-7-私のさまざまなクライアント
  • ポート8-分離されるRaspberry Pi

まず、ポートベースVLANを設定してみました。ポート1(ルーター)を2つのVLANに同時に割り当てることができなかったようです。

ポートベースVLANセットアップ:

enter image description here

ポート1も含めるためにVLAN 2を選択した場合、それはVLAN 1から削除されます。

次に、802.1QタグベースのVLANをセットアップしようと試みました。

802.1Q VLAN

i.stack.imgur.com/79fQP.png

PVIDを使用

PVID

i.stack.imgur.com/5ItpX.png

この設定は、ポート8のPVIDが1〜7と異なる場合に機能するように見えましたが、LANからPiに到達できませんでしたが、インターネットからも到達できませんでした。ルーターをPVID1、クライアントをPVID 2、Pi PVID 3にした場合、ルーターとはまったく通信できませんでした。

この時点で、私は混乱しており、私の無知を認める用意があります。何が悪いのですか?

networkingethernetswitchvlan
2
TroyDowling

あなたが求めている分離はマルチテナントユニットVLANが適しているものです。スイッチ構成のヘルプテキストを引用します。

MTU VLAN(マルチテナントユニットVLAN)は、他の各ポートで複数のVLANを構築するアップリンクポートを定義します。各VLANには2つのポートが含まれ、アップリンクポートとスイッチ内の他のポートの1つ。したがって、アップリンクポートは他のポートと通信できますが、他のポートは相互に通信できません。

したがって、それを使用して、ポート1をアップリンクポートとして設定できます。残念ながら、これはポート2から7が相互に通信できないことも意味します。

通信にポート2〜7が必要な場合は、他のオプションを検討する必要があります。マルチテナントユニットVLAN機能は、それを可能にするほど柔軟ではないようです。

ポートベースVLANお気づきのように、あなたが望むこともできません。

タグ付けされたVLANが最後のオプションとして残ります。ただし、ポートを複数のタグなしメンバーにすることは問題がありますVLANスイッチに送信されるタグなしフレームは、これらのVLANのいずれかを対象としている可能性があり、スイッチは認識できません。

代わりに、ルーターへのアップリンクポートを1つ以下のタグなしメンバーVLAN)にし、残りのタグ付きメンバーにする必要があります。

ルーター自体で、同じVLANタグを構成して、ルーターがどのVLANパケットの発信元であるかを認識し、ルーターがスイッチに通知できるようにする必要があります。 which VLANパケットの対象です。

ルーターでは、これは2つの異なるVLANに接続された2つの仮想ネットワークインターフェイスのように見えます。また、推奨される構成は、ルーターが2つのVLANに異なるIPプレフィックスを使用するようにすることです。

3
kasperd

このデバイスでは、ご希望の設定が確実に可能です。 「ポートベースVLAN」では、1つのポートを複数のVLANのメンバーにすることができないため、十分ではありません。 「802.1Q」ではこれが可能です。私がまさにこのデバイスで実行していた私のセットアップは、あなたが達成したいものとほぼ同じでした。

私のセットアップ:

Portnum   Device     Member of VLAN   VLAN-ID INCOMING FRAMES GET ASSIGNED (PVID)
--------|----------|----------------|-----------------------------------------
Port 1     Router        1,2,3                        1                 
Port 6    Device A        1,2                         2
Port 7    Device B        1,3                         3

この構成では、ポート6と7は互いに分離されています。どちらもポート1と通信できますが、相互に通信することはできません。

説明:ポート6に入るイーサネットフレームはVLAN 2にプッシュされます。ポート1はVLAN 2のメンバーであるため、このポートから出て、その背後にあるデバイス(ルーター)。VLAN 2のメンバーではないため、ポート7から離れることはできません。ルーターが応答する場合、ポート1から入るイーサネットフレームは次のようになります。 VLAN 1.にプッシュされます。ポート6はVLAN 1の一部であるため、このポートから離れることができます。それらはできますポート7を通過しますが、フレームはその背後にあるデバイスのMACアドレスを伝送しないため、スイッチはそれらを伝送する理由がありません。

以下の私のセットアップのスクリーンショットを見つけてください。

802.1Q VLAN pageenter image description here

1
Multisync