我有一台 Mikrotik hEX 路由器 + tp-link PoE 交换机。该交换机为一个安全摄像头和一个 AP 供电。我创建了两个 VLAN(id 分别为 10 和 20)。这两个 VLAN 的 IP 地址分别为 192.168.10.0/24 和 192.168.20.0/24。我将所有无线设备分配给了相应的 VLAN,但是我无法弄清楚如何确保将有线摄像头放在 VLAN10 上。目前,它从 mikrotik 的默认 dhcp 服务器(192.168.88.0/24)获取 IP。如果我设置 mikrotik 的 ether2 端口(PoE 交换机插入的位置),它会将该交换机上的所有设备设置为 VLAN10(afiak),但我只想要其中一个设备。该交换机不受管理。
那么我怎样才能将那一个设备设置为位于 VLAN10 上?
答案1
路由器无法控制数据包从以太网端口发出后会发生什么——如果它们进入交换机,那么那个开关做出下一个决定。无论路由器附加哪种 VLAN 标签,如果数据包到达的交换机无法理解这些标签,那么这些标签都是毫无意义的。
简而言之,如果你使用不支持 VLAN 的非管理型交换机,那么根据定义,您不能将连接到该交换机的设备分成不同的 VLAN。
同样,对于该交换机上设备之间的流量,当流量不去通过路由器。如果交换机没有阻止两个端口通信的功能,那么您就无法阻止这种情况。
您唯一剩下的选择是在同一个 VLAN 上拥有多个子网(例如,同一个接口上的 192.168.88.0/24 和 192.168.30.0/24),并使用静态 DHCP 租约来定义哪个设备分配哪个子网中的哪个地址。
这不会提供良好的隔离,但它会提供一些隔离 – 对于 IPv4 – 因为你的设备不知道两个子网恰好位于同一链路上,所以它们之间的所有流量仍将通过路由器(默认网关),只要路由器配置为不是发送 ICMP“重定向”数据包。此方法不适用于 IPv6由于其无状态配置 - 路由器无法向“除角落之外的所有设备”发送自动配置广播,也无法阻止设备具有链路本地地址。