Çapraz VLAN Görünürlük

-1

Bir VLAN'ı nasıl yapabileceğimi (A olarak isimlendirelim) başka bir VLAN (nasıl B olsun) görsem ve B VLAN'ın A VLAN görmemesini istiyorum.

Bu yapılandırmayı Windows sunucusu için istediğim için söylüyorum.

vlan

— Viktor
kaynak

VLAN'ların bütün

— meselesi

Bu yüzden bunu soruyorum. Çünkü bu Vlans istisnasına ihtiyacım var. Bunun Windows sunucusundan nasıl uygulanacağını çözemiyorum, anahtardan değil. Cevabınız için teşekkürler!

— Viktor,

"Görmek" derken ne demek istiyorsun? Bu sadece önemsiz bazı güvenlik duvarı kuralları ile ilgili değil mi?

— Daniel B,

Kendimi doğru ifade edemediğim için üzgünüm, benim hatam. "Gördüm" derken, A vlan'ın B bilgisayarlarının ağda birbirlerini görmesini istiyorum. A'nın B'yi "görmesini" ve bundan kaynaklara erişmesini istiyorum. Güvenlik duvarının cevap olabileceğini düşünüyordum ama dürüst olmak gerekirse, bunun nasıl uygulanacağı hakkında hiçbir fikrim yok ...

— Viktor

Bu tür bir durum için bildiğim tek seçenek, alt arayüzlerden interVLAN yönlendirmesi yapmak. Alt arabirimin bir katman 3 anahtarı veya bir yönlendirici üzerinde yapılması gerekir. VLAN A'ya VLAN B'nin erişimi kısıtlamak için, VLAN A için bir alt arayüzü, başarıyla VLAN B erişebilir bu şekilde yapacak

— DrZoo

VLAN'lar iki ayrı ayrı ağla aynı şekilde çalışır: birbirlerini varsayılan olarak " görmezler " ve yalnızca bir yönlendirici aracılığıyla iletişim kurabilirler (her ikisi de VLAN'ları yapılandırılmış, muhtemelen "etiketli" arayüzler olarak). Dolayısıyla, belirli iletişim türlerini önlemek istiyorsanız, yönlendiricinin güvenlik duvarı kurallarında bunu yapardınız.

Ve genel olarak, sen yapmak VLAN konfigürasyonu destekleyen bir anahtar gerekir. (Windows bunu ancak Hyper-V VM'ler için de bir anahtar görevi gördüğü zaman yapabilir.) VLAN'ları doğrudan son ana bilgisayarlara yapılandırmak iyi bir fikir değildir - bunları zorlayacak hiçbir şey yoksa, o zaman çok güvenli değildir.

(Ayrıca, Hyper-V "sanal anahtar" modunu saymazken, Windows aslında yerel VLAN yapılandırmasına sahip değildir. Bazı sürücüler bunu sağlar; bazı sürücüler yapmaz; bazı sürücüler VLAN etiketini yok sayarak tüm paketleri kabul eder ... Linux ve BSD'ler bu konuda daha esnektir.)

Örneğin (bunun gerçekten iyi olup olmadığından emin değilsiniz ancak teknik olarak çalışıyor):

Anahtar:
- Bağlantı noktası 1 (VLAN etiketli 10, 20) → yönlendirici
- Port 2 (etiketsiz VLAN 10) → sunucu
- Port 3 (etiketsiz VLAN 20) → masaüstü bilgisayar
Router (Linux örneği):
- "Eth0" arayüzü (etiketsiz) - hiçbir şey (belki yönetim IP? Dunno)
- "Eth0.10" arayüzü (VLAN 10) - adres 192.168.10.1/24
- "Eth0.20" arayüzü (VLAN 20) - adres 192.168.20.1/24
- Güvenlik duvarı yeni bağlantılara izin verecek şekilde yapılandırıldı 192.168.10.0/24, ancak yalnızca her şeyden beklenen yanıtları verdi. (Linux'ta "FORWARD" zinciri ve "-m state" ile iptables olur)
Sunucu:
- "Ethernet" arayüzü - adres 192.168.10.3/24
Masaüstü bilgisayar:
- "Ethernet" arayüzü - adres 192.168.20.7/24

— grawity
kaynak

Cevabınız için çok teşekkür ederim. Aslında, Vlans'ın birbirini göremeyen varsayılan "özelliği" nin farkındayım. Bu istisnayı windows os altında mümkün kılmak için sabırsızlanıyorum. Windows sunucusunda oluşturulan vlans'larım var ve onları bir anahtar aracılığıyla "gönderiyorum". sunucu: vlan A - 192.168.10.1 vlan b: 192.168.50.1 Bu, PC'lere ve oradan PC'lere geçiş yapmak için kullanılan şeydir. Port 1: bagaj (vlans alırım). liman 2: Bir vlan liman 3'ü terk ediyor: B vlan yapraklar

— Viktor

Bu benim gerçek yapılandırmalarım. Vlans'ler birbirlerine ping atmıyorlar, birbirlerini "görmüyorlar". Bu benim sıkışıp kaldığım nokta. Linux örneğini izleyebilirim (bunun için teşekkür ederim) ama nasıl uygulanacağı hakkında hiçbir fikrim yok ...

— Viktor

@Viktor: Her ikisi de yönlendiriciye ping atabiliyor mu? Yönlendirici Linux ise, IP yönlendirmesini etkinleştirdiniz mi?

— Grawity

Evet, ikisi de yönlendiriciye ping atabiliyor, cadı pencerelerden biri.

— Viktor,