VLAN, разделяющие порт шлюза - Как заблокировать интернет-трафик между VLANS?

У меня ситуация с моей VLAN и я не вижу света:

Для упрощения я буду говорить о 2 VLAN вместо 10+. В коммутаторе L2 у меня есть VLAN 100 и VLAN 200. Используя 802.1Q VLAN:

• VLAN 1 (все порты System-VLAN - Управление VLAN).
• VLAN 100 (порт 4,6 - подключен к компьютерам и порт 15 подключен к маршрутизатору).
• VLAN 200 (порт 10,12 - подключен к компьютерам и порт 15 подключен к маршрутизатору).

Порты настроены как:

• порты 4,6 (вообще без маркировки - PVID 100)
• порты 10,12 (вообще нетегированные - PVID 200)
• порт 15 (в целом нетегированный - PVID 1).

Результат правильный: у меня есть интернет во всех портах и ​​я не могу общаться между VLAN. Пинг из порта 1 в порт 4,6 или 10,12. Нет связи между портом 4,6 - 10-12. И да, у меня есть пинг между 4,5 и 10-12. Так что сейчас все в порядке.

Моя проблема: - я подключаю компьютер (10.20.30.187) к порту 10 (VLAN 200) и запускаю wireshark в поисках ICMP. - Портативный компьютер (10.20.30.190) подключен к порту 4 (VLAN 100), и я запускаю эхо-запрос до 8.8.8.8. -> В ПК в VLAN 200 я вижу все пакеты, отправленные с 8.8.8.8 на ноутбук (10.20.30.187). Я не вижу пакетов, отправляемых с ПК, так как источник в IN другой VLAN, но ответы в Интернете можно увидеть.

Поскольку все VLAN проходят через VLAN 15 и маршрутизатор не понимает VLAN', могу ли я отделить этот трафик от Интернета до VLAN и избежать этой ситуации? Я думал об ACL, но ничего не приходит мне в голову. Это было пару дней... Я даже попробовал "глупую" вещь, такую ​​как создание расширенного ACL, запрещающего трафик с IP-адреса ПК на LAPTOP IP, но, конечно, SOURCE IP равен 8.8.8.8.

Так есть какие-нибудь идеи от вас, ребята?

Я проверял этот форум (некоторые примеры: VLANS и VLAN общего / частного трафика, отправляющие данные в порты, которым он не должен метить пакеты на собственном VLAN. Общий эхо-ответ VLAN стандарта 802.1q порта не включает VLAN ID) и, конечно, многие другие, но Ни у кого, похоже, нет этой ситуации, или она уже знает, как ее решить, поэтому спрашивать не нужно. Надеюсь, вы можете дать мне решение.

Большое спасибо. С наилучшими пожеланиями Portuguevos.

Прежде всего, спасибо за ваш ответ.

Таким образом, единственный способ отделить трафик от Интернета к любой VLAN - это использовать маршрутизатор с VLAN. Но есть ли другая возможность? Может быть, ACL? Я хочу научиться этому, потому что это то, что мне нравится, но я искал и не могу найти что-то подобное. И не используйте роутер с VLAN, так как это то, чего у меня нет дома;-)

На всякий случай позвольте мне объяснить ситуацию: я должен сказать, что описание моих сетей VLAN не соответствует действительности. До сих пор я использовал VLAN для разделения трафика между отделами. Недавно коллега использовал коммутатор L2 для распределения нескольких интернет-соединений с публичными IP-адресами в нескольких офисах. Таким образом, в 24-портовом коммутаторе L2 он использует порт 24, подключенный к маршрутизатору (не имеют конкретной информации об этом устройстве), где он получает около 20 общедоступных IP-адресов от интернет-провайдера. Поэтому он создает VLAN 20 с портом 2 +24. Vlan 20 порт 3 + 24 и тд. Всякий раз, когда офис его здания требует подключения к Интернету, он развертывает кабель Ethernet от порта 2, 3 или 4 и т. Д. К маршрутизатору, установленному в офисе. Таким образом, в каждом офисе есть собственный интернет, и, вероятно, никто не может видеть друг друга. Поэтому он считает, что все разделено. Эта идея была странной и новой для меня, поэтому я строю небольшой сценарий у себя дома. У меня есть коммутатор TP-Link SG3216, один ADSL (порт 15 - 192.168.100.0/24) и один маршрутизатор 4G (порт 16 - 192.168.200.0/24). У меня есть VLAN 100 порт 4,6,15,16 (вообще без тегов) и vlan 200 с портами 10,12,15,16 (вообще без тегов). VLAN работают правильно. Между VLAN нет трафика, но у всех есть интернет. (Я проверил использование IP-адресов в одном и том же диапазоне в разных VLAN, и связь отсутствует). Но с помощью Wireshark я могу захватывать весь трафик из Интернета в любую VLAN. Я не могу перехватить трафик из других VLAN в интернет.

Если кто-то имеет представление о том, что использовать, чтобы избежать просмотра данных из Интернета в VLAN, не ваше, я ценю. Большое спасибо.