是否可以配置管理型交换机上的各个端口来阻止特定的 VLAN 流量?
我一直在尝试阅读这方面的资料,但还没有找到明确的答案。我们的家庭网络基于 Edgerouter Lite 和 Ubiquiti 接入点,并与一些 Netgear GS108T 和 GS724T 托管交换机相连(Craigslist 上的价格不错)。我想为访客 Wi-Fi 和 IoT 设备设置一些 VLAN,但在我能够彻底检查和重新布置物理布线之前,网络仍需要使用两个非托管交换机。我知道这会对 VLAN 操作产生负面影响。VLAN 的主要目标(目前)是允许来自特定 SSID(例如访客和 IoT)的流量访问互联网,但不到达网络的其余部分。任何非托管交换机都可以分配给不需要访客或 IoT 访问的位置。
(该项目的目的是提高网络安全性,以便客人无法访问 NAS 和其他个人设备,以及隔离物联网设备。对于我们的位置和实际网络使用(主要是家庭)来说,这几乎肯定是过度的,但其中很大一部分也是为了我自己的乐趣和教育。)
答案1
简短的回答是肯定的。
是否可以配置管理型交换机上的各个端口来阻止特定的 VLAN 流量?
实际情况恰恰相反:在典型的托管交换机上,只有明确列入白名单的 VLAN 才能通过端口。因此,默认情况下,您或多或少会获得这种行为。
仍需要使用两个非管理型交换机
虽然许多(大多数?)非托管交换机会传递带有 VLAN 标记的数据包,但交换机上的端口之间不会有隔离。相反,由于您不需要在网络的非托管部分进行隔离,因此最好将它们视为“未标记”/“访问”端口,就像您对待直接连接到该端口的任何其他机器一样。
这是有关 VLAN 的简短入门知识(可能不准确,但对于家庭使用来说已经足够)。
可以将端口设置为“标记”以用于任意数量的 VLAN。然后,此端口将传递这些 VLAN 的数据包和802.1Q 标签。它们通常用于 VLAN 感知设备(如路由器、托管交换机和 UniFi 接入点)之间的通信。例如,如果端口 3 设置为标记的 VLAN 1、10 和 100,它将只传递这些 VLAN 的数据包,并且传入和传出数据包均带有 802.1Q 标签。
可以将端口设置为“未标记”的 VLAN。这些端口会传递已删除 802.1Q 标记的传出数据包。通常,端口仅对一个 VLAN 是“未标记”的。例如,如果您将端口 4 设置为未标记的 VLAN 10,它将传递来自 VLAN 10 的数据包,并且删除标记 — 对于另一侧的任何设备来说,这都显示为非 VLAN 网络。
每个端口都有一个“PVID”。这是分配给未标记的 VLAN 标签传入数据包。通常,应将其设置为与该端口的“未标记”VLAN 相同的值,以便在同一 VLAN 上处理该端口上的传出和传入流量。某些交换机管理软件会自动执行此操作。
随后,非管理型交换机应该连接到管理型交换机上的未标记/PVID 端口,无论您希望非管理型交换机位于哪个 VLAN 上。
答案2
是否可以配置管理型交换机上的各个端口来阻止特定的 VLAN 流量?
是的,实际上 VLAN 在大多数情况下就是这样使用的。您具体指的是 802.1Q VLAN 标记,每个支持 802.1Q 的交换机都会显示一个表格,您可以在其中配置哪个端口属于哪个 VLAN ID。
(这是为什么一般情况下,VLAN 需要管理型交换机。
在我彻底检查并重新布置物理布线之前,网络仍需要使用两个非托管交换机。我理解这可能会对 VLAN 操作产生负面影响
如果交换机的上游端口仅属于单个未标记 VLAN(没有任何标记的 VLAN),则不会产生任何负面影响。然后交换机的所有其他端口将自动位于同一 VLAN 上。
另一方面,如果端口带有标记的 VLAN,情况就会更加复杂。非托管交换机甚至能够承载带有 VLAN 标记的流量,即使它们无法理解,但这样做能产生负面影响。
具体来说,Windows 在接收 VLAN 标记数据包方面确实很糟糕,尽管 Linux 和 BSD 对此没有问题。可能出现的其他问题包括安全性降低(VLAN 跳跃)以及交换机无法为每个 VLAN 保留单独的 MAC 表,但大多数情况下这些问题并不严重。
当连接到非托管交换机的每个设备本身都支持 VLAN 时,这种方法也能“足够好”。例如,通过非托管交换机连接三个支持 VLAN 的 Wi-Fi 接入点不是问题,即使涉及标记的 VLAN - 因为所有这些 AP 都能识别 VLAN 标记,而且它们都具有相同的 VLAN 成员资格。
希望无关紧要的说明:VLAN 标签为数据包大小增加了额外的 8 个字节,沿途的所有交换机都必须能够承载更大的数据包。所有现代交换机(无论是否管理)都可以很好地做到这一点。但是,如果你有一台 20 年前的非管理型交换机,它可以限制为正好 1500 字节,并砍掉其余部分(或丢弃整个数据包)。