Интеллектуальный коммутатор Netgear: не понимаю VLAN
У меня возникают трудности с настройкой параметров VLAN с помощью интеллектуального коммутатора NetGear (GS724TS). Может кто-нибудь мне помочь?
Мое понимание таково:
- Все входящие пакеты фактически имеют номер VLAN, который определяется по метке, прикрепленной другим устройством, или (если метка отсутствует) на основе значения PVID порта.
- Исходящие пакеты могут затем отправляться только на те порты, которые являются членами VLAN, к которой принадлежит пакет (устанавливается в части "членство" пользовательского интерфейса коммутатора).
- При желании порты могут маркировать исходящие пакеты.
Порты и PVIDS сопоставлены 1-1, но порт может быть "членом" нескольких VLANS. Моя проблема в том, что я не могу заставить эту функцию делать что-то полезное... в чем я не понимаю?
Если я назначу следующее:
Port PVID VLAN Membership
===============================
a 2 2, 10
b 3 3, 10
x 10 2, 3, 10
Я ожидаю, что трафик будет проходить между портами a и x (и b и x). Предположительно, a и b будут изолированы друг от друга, если только устройство, подключенное к x, не маршрутизирует трафик между ними. В моих экспериментах весь трафик поступает и остается непомеченным (никакие другие устройства с поддержкой VLAN не работают в сети).
Я вижу, что трафик (точнее, DHCP-запросы не работают, веб-запросы с компьютеров с уже назначенными тайм-аутами) не проходит, если PVID X не установлен на 2. Конечно, это бесполезно для устройств, подключенных к порту. б.
Я что-то пропустил? Какой смысл использовать порты в нескольких VLAN, если они только маршрутизируют входящий трафик на основе PVID, совпадающих на входящем и исходящем порте?
Редактировать: я пытаюсь определить, могу ли я разделить подключение к Интернету между двумя VLAN (без членов одной видимости другого), используя только коммутатор, или мне также потребуется маршрутизатор с поддержкой VLAN.
3 ответа
Скорее неловко, после ланча и перезагрузки коммутатора, он начал вести себя точно так, как я себе представлял. Я думаю, что это подтверждает мое первоначальное понимание ситуации, подробно изложенное в моем вопросе.
Я собираюсь оставить этот вопрос, потому что, хотя первоначальный вопрос, возможно, был фальшивым ("Почему это не работает?", Когда он это сделал), он действительно отвечает на основной вопрос, и это (наряду с ценными замечаниями, сделанными Hyppy и blankabout) могут быть полезны для других.
Еще раз: я хотел знать, смогу ли я разделить трафик между двумя VLAN, но разделить соединение с одним и тем же маршрутизатором, просто манипулируя назначениями VLAN в коммутаторе (вместо того, чтобы иметь более сложный маршрутизатор с поддержкой VLAN). Ответ: "Да, коммутатор может сделать это сам по себе", и для записи я использую одну подсеть и один DHCP-сервер, конфигурация которого, очевидно, подойдет.
Все, что подключено к порту x, может взаимодействовать с устройствами, подключенными к портам a и b (и наоборот), но устройства, подключенные к портам a и b, не могут взаимодействовать друг с другом.
Обычно VLAN используются для разделения подсетей (например, 192.168.0.0/24, 10.20.0.0/16 и т. Д.) Без использования отдельных коммутаторов для каждой подсети.
Смысл PVID заключается в том, чтобы коммутатор отмечал входящие нетегированные пакеты, скажем, с рабочей станции или сервера. Обычные конфигурации NIC не помечают пакеты для большинства устройств.
Если вы должны были подключить устройство, способное помечать свои собственные пакеты, то оно могло бы взаимодействовать через любые VLAN, к которым порту предоставлено членство. Это удобно, когда вы соединяете коммутаторы вместе, подключаетесь к маршрутизатору, который понимает VLANS, или используете сервер, который должен иметь возможность подключаться к нескольким подсетям (особенно виртуализация).
Несколько вещей, в которых я не уверен, были прояснены до сих пор:
1 - Порт с подключенным хостом обычно находится только в одной VLAN. Когда фрейм входит в этот порт, он помечается этой VLAN.
2 - Порты, которые находятся в более чем 1 VLAN, называются магистральными или магистральными портами. Обычно они используются для передачи трафика другому коммутатору, у которого есть соединительный порт в тех же VLAN.
3 - Чтобы трафик выходил из VLAN, он должен проходить через маршрутизатор, это может быть внутри коммутатора, в этом случае это многоуровневый коммутатор. Если маршрутизатор является внешним, он может быть в другом коммутаторе, и в этом случае он будет маршрутизировать между VLAN так же, как встроенный маршрутизатор.
4. Альтернативный способ маршрутизации между VLAN, или, если быть более точным, между подсетями, заключается в использовании маршрутизатора на портах, настроенных для одной VLAN (не транковые порты), тогда они будут принимать нетегированные кадры и маршрутизировать инкапсулированный пакет в обычный способ, ничего не зная о VLAN.