我有一台需要与广播流量隔离的设备(过多的广播流量会导致设备崩溃),但设备上的 Web 控制台仍然需要通过浏览器访问。我购买了一台托管交换机,创建了一个单独的 VLAN(我们称之为设备 VLAN),并将物理连接到设备的端口与设备 VLAN 关联。我以为我已经解决了这个问题,但我错了。
在将该端口与设备 VLAN 关联之前,我能够访问设备上的 Web 控制台,但关联后却无法执行相同的操作。我想也许我需要进行一些端口转发,但在 VLAN 菜单下没有找到物理端口的选项。
我认为这是 VLAN 的一个优点 - 与网络的其余部分(一般流量方面)分开,但仍能够直接访问设备。我错了吗?有人可以指导我正确的方向吗?购买的交换机是 Netgear GS108T。
更多细节:
- 交换机手册(第3-10页为VLAN部分)http://documentation.netgear.com/gs110tp-gs108tv2/enu/202-10603-02/usermanual.pdf
- 我已将端口 2(设备连接到的物理端口)添加为设备 VLAN 的标记成员(标记和未标记成员的描述位于第 3-13 页上方的链接中)。
答案1
同一 VLAN 中的设备无需路由器即可互相访问。例如,如果您家中的互联网连接中断,您仍然可以在两台 PC 之间交换文件。您拥有的互联网连接是外部网络的一部分。如果没有路由器,您将无法在两个不同的网络之间交换信息。
你需要的是路由器。如果您使用便宜的家用路由器(我假设它不支持 802.1q),您可能会为路由器配置 2 个端口:一个在 VLAN 1 中,另一个在 VLAN 2 中。然后,您需要将一根电缆从 VLAN 1 中的端口连接到路由器的 LAN 端口上的端口,将另一根电缆从 VLAN 2 中的端口连接到路由器的 WAN 端口。
之后,您需要在路由器上正确设置 IP 地址。您需要为 LAN 和 WAN 接口配置不同子网中的两个 IP 地址。例如,您可以使用 LAN:192.168.1.1,掩码为 255.255.255.0,以及 WAN:192.168.2.1,掩码为 255.255.255.0。然后,您将禁用 NAT 和任何类型的防火墙。配置终端设备的 IP 地址时,您将使用与其所在 VLAN 相同范围内的 IP。如果您遵循我上面写的内容,您可以将 192.168.1.10 用于 VLAN 1 终端设备,将 192.168.2.10 用于 VLAN 2 终端设备。
您还将为每个设备设置适当的网关。VLAN 1 中的设备将使用 192.168.1.1 作为网关,而 VLAN 2 中的设备将使用 192.168.2.1。设置网关将指示设备在想要访问它们尚不知道的网络(存在于它们的路由表中)时将其数据包发送到路由器。
答案2
您需要的是路由器,而不是交换机。
VLAN 可让您在同一台交换机上拥有两个独立的网络。这两个网络不会自动相互通信(广播或其他方式)。就像您需要路由器来连接独立的物理网络一样,您需要路由器来加入 VLAN。路由器将允许直接连接,同时阻止广播。
答案3
您确定是广播流量而非多播流量导致崩溃吗?通常小型/中型网络上不会有那么多广播流量。但是多播流量很容易导致某些设备崩溃,因为必须接收所有流量。
要阻止多播流量,请打开 IGMP 侦听。这将停止在交换机端口上发送多播流量,因为没有连接任何设备请求或想要流量。
对于链接交换机手册,IGMP Snooping 信息从第 3-39 页开始。