Совместное использование VLAN и автоматическое обнаружение выборочных ресурсов

Question

Совместное использование VLAN и автоматическое обнаружение выборочных ресурсов

У меня есть сеть с несколькими VLAN, каждая из которых содержит ресурсы или клиентов с разными правами доступа.

Для простоты, скажем, у меня есть 3 VLAN:

ID 10: содержит привилегированные клиенты и частные ресурсы, доступные только для этих привилегированных клиентов
ID 20: содержит гостевых клиентов, которые имеют доступ только к публичным ресурсам
ID 30: содержит общедоступные ресурсы, доступные как привилегированным, так и гостевым клиентам

В этой настройке я хотел бы сделать так, чтобы автоматическое обнаружение и управление правами доступа работали так, чтобы клиенты в VLAN 10 могли обнаруживать и получать доступ к ресурсам в VLAN 10 и 30, а клиенты в VLAN 20 могли обнаруживать и получать доступ к ресурсам в VLAN 20 и 30. Ресурсы, которые мне нужны для автоматического обнаружения, относятся к разным типам (общие сетевые ресурсы Windows, принтеры, камеры безопасности, устройства Apple и т. Д.), Поэтому работают несколько различных механизмов, о большинстве из которых я ничего не знаю.

Можно ли заставить такую настройку работать в общем, чтобы устройства в VLAN 10 видели единую сеть, которая состоит из VLAN 10 и 30 и ведет себя так же, как если бы все были подключены к одному коммутатору, а устройства в VLAN 20 видели сеть что состоит из всех устройств в VLAN 20 и 30?

Нужно ли создавать мост между VLAN 10 и 30 и второй мост между VLAN 20 и 30? Будет ли это также неявно соединять VLAN 10 и 20 (не приемлемо)? Если да, могу ли я просто запретить это неявное соединение с правилами брандмауэра (например, отбросить все пакеты из VLAN 10 в VLAN 20 и наоборот)?

Каков наилучший способ для подсети такой компоновки и как мне настроить DHCP для этого? Мои нынешние мысли выглядят примерно так:

192,168.10.x для VLAN 10, 192.168.20.x для VLAN 20 и 192.168.30.x для VLAN 30
Подсеть 255.255.0.0 для всех (чтобы устройства отправляли широковещательные сообщения через VLAN)

Можно ли заставить такую настройку работать на маршрутизаторе на основе Vyatta-Linux, особенно на части DHCP? Кажется, он определяет, какие интерфейсы слушать на основе подсети, которую я предоставляю. Итак, чтобы он прослушивал eth0.10 (VLAN 10), мне нужно было бы указать ему подсеть 192.168.10.0/24, но я бы хотел, чтобы клиентам DHCP было сказано, что подсеть - это 255.255.0.0, а не 255.255.255,0.

Какие другие службы / переадресацию мне нужно настроить (например, прокси ARP), чтобы быть уверенными в том, что все распространенные механизмы автоматического обнаружения должны работать?

Любая помощь приветствуется.

1

routing dhcp vlan bridge autodiscovery

Источник

Markus A. 18 янв '14 в 02:06

1 ответ

Другие вопросы по тегам routing dhcp vlan bridge autodiscovery

Evan Anderson 18 янв '14 в 05:22 2014-01-18 05:22 · Answer 1 · 2014-01-18 05:22

Вы и @joeqwerty провели оживленную дискуссию в комментариях к вопросу, и я собираюсь повторить часть этого.

Давайте начнем с простого: существует множество стандартных и огромного количества проприетарных протоколов "автообнаружения", то есть протоколов, по которым клиентские и серверные хосты или программы обнаруживают друг друга. Говорить об "автообнаружении" как о монолитном объекте - значит обойти весь вопрос. Имейте это в виду во всем.

Вы сегментировали свою сеть на несколько виртуальных локальных сетей. Трансляции не будут передаваться между этими виртуальными локальными сетями. Многие (большинство?) Протоколы автоматического обнаружения основаны на широковещании, поэтому они не смогут найти хосты в других VLAN.

Простое объединение сетей не поможет вам, потому что, по сути, вы просто превратите все сети в одну большую локальную сеть. Все остальные причины сегментирования в нескольких VLAN выходят за рамки.

Выборочная пересылка протоколов между VLAN - вот где все будет интересно.

Стандартные протоколы автообнаружения на основе IP, такие как "просмотр" NetBIOS, mDNS (известный как "ZeroConf" или "Bonjour" и т. Д.), Могут передаваться между подсетями IP (которые обычно отображаются 1-в-1 в VLAN с помощью логических подсистем -интерфейсы на маршрутизаторах) с соответствующим программным обеспечением шлюза прикладного уровня. Для этого есть различные продукты от разных поставщиков (используйте вашу любимую поисковую систему и ищите "forward bonjour между подсетями", и вы найдете множество вещей, например,.)

Запатентованные протоколы автообнаружения будут более проблематичными. Вы должны будете надеяться, что программное обеспечение было написано кем-то для пересылки их через VLAN или подсети. Протоколы, которые работают только на уровне 2, будут еще более проблематичными, поскольку для того, чтобы справиться с таблицами смежности, ваши коммутаторы ведут учет VLAN, с которой связан MAC-адрес, любое программное обеспечение межсетевого шлюза должно иметь какое-то функциональность прокси-MAC.

То, что вы ищете, не является невозможным, но оно должно быть обработано на основе отдельного протокола. Не существует решения "волшебной палочки", которое вы могли бы применить для достижения желаемого результата.