VLANタグ付きフレームをマネージドスイッチに渡す方法はありますか?
現在、プライベートVLAN(セカンダリおよびプライマリポートグループ)用に構成されたマネージドスイッチ(DGS-3120-24SC)があります。セカンダリポートは互いに分離されており、それらの間で転送することはできません。ただし、すべてのプライマリポート(アップリンク)と通信できます。私がやりたいのは、プライマリポートとセカンダリポートに接続されたデバイス間でVLANタグ付きパケットを透過的に渡すことです。
プライマリポートに接続されているサーバーがいくつかあり、異なるVLANを使用してセカンダリポートの背後にあるデバイスに到達する必要があります。中間スイッチでそれらをタグ付け/タグ付け解除することは、私にとって便利なオプションではありません。
VLANトランキングは基本的に必要なもののようですが、残念ながら、プライベートVLANセットアップ(分離されたセカンダリ+無差別ポート)とは連携しません。
私が上で説明した作業セットアップを持つことは技術的に可能ですか?
スイッチは、Q-in-Qタグ付け、トランキングなど、多くの機能をサポートしています。
誤ってこのページに戻ってしまったので、自分の質問に答えることにしました。かなり長い間機能するソリューションを見つけました。必要な機能は、トラフィックセグメンテーションとスイッチのVLANトランキング機能を使用することで実現されます。トラフィックセグメンテーションを使用すると、トラフィックの転送を許可または拒否できます。ポート(任意の構成)およびVLANトランキングにより、タグ付きパケットがそのままスイッチを通過できるようになります。これらの機能は、個々のポートを制御できるため、非常に柔軟に構成できます。
私は実際にそれを使用したことがなく、間違っている可能性がありますが、DLINKでは「非対称VLAN」の概念に基づいて、タグなしポートが複数のVLANに参加できるようになっているようです。
その場合、サーバーのポートはタグ付けされていませんが、VLANの論理サブネットに参加するためにIPエイリアスで構成されます。
主要なソリューション設計では、つまり、最新のスイッチ伝承にスパンキンの新しい理論が添付されていない場合、パケットがVLAN IDを変更するには、L3ルーターを通過する必要があります。
クライアントとサーバーが同じIPサブネット上にある場合、パケットはL3ルーターを通過しません。それらが異なるVLAN上にある場合、それらは事実上相互に到達できません。
ただし、それらが異なるIPサブネット(L3)上にある場合、ネットワーク設計は通常、それらのサブネットを個別のVLAN ID(L2)にも関連付けます。次に、IPルーティング(つまりL3)がルーティングプロセスを通じてパケットを正しいVLANに配置できるようにすることが重要です。 vlanタグ付きパケットを受け入れるサーバーは、通常、受け入れるvlan IDごとにIPアドレスを持ち、それぞれがそれぞれのvlanに関連付けられたipサブネットに属しています。ルーターは、他のVLAN ID /サブネット上のクライアントからの到達可能性を促進します。
したがって、ルーティングはソリューションの鍵であるか、または見ているVLANが通信することを「意味しない」ように設計されています。その場合、そのデザインを変更することを選択できます。
言い換えると、VLANスイッチは、出力にVLANタグを追加し、入力にVLANタグを削除します。本当に考え抜かれた設計要件とソリューションがない限り、その基本的な前提を変更したり、追加したりすることはありません(以下のQinQリンクを参照)。 VLAN ID間を移動するには、上にあるプロトコルIP、つまりデフォルトゲートウェイ(最も近いルーター)を使用します。
この答えが意味をなさない場合は、基本的なVLAN理論と、VLANの観点からL2とL3がどのように相互運用するかについての良い談話をここで探してください。 VLANはどのように機能しますか?
IPサブネット化理論、つまりL3の観点に関する素晴らしい談話については、次を参照してください。 IPv4サブネット化はどのように機能しますか?
これがあなたが望んでいることではなく、とにかくそのすべてを知っていたためにQinQをやりたい場合は、次のリンクの最後の「問題...」の部分を読んでください。あなたがそれらを理解するのに問題がなく、すでにそれらに対する答えを持っているなら(私はプロバイダーブリッジングをしたことがないので私はしません)、あなた自身をノックアウトしてください: http://en.wikipedia.org/wiki/IEEE_802.1ad