我是新来的。我会尽力清楚地陈述我的问题。
我正在运行 debian 10(R1) 作为路由,以及 vyos(R2)。路由器下有一个第 2 层交换机。我已配置端口 VLAN:vlan2 p1、p3、p8,vlan3 p2、p4、p8。对于 vlan2,子网是 R1 上的 192.168.1.0/24,对于 vlan3,子网是 R2 上的 192.168.2.0/24。我想要实现这样的事情:192.168.1.10 <----> 192.168.2.20。为了实现这一点,我添加了一个连接到 p8 的第三个接口 (ens18) 到 R1,并为其分配了 ip:192.168.2.2。
我检查了动态路由,它有“192.168.2.0/24 via dev ens18 src 192.168.2.2”
我不知道我还应该做些什么才能实现它。
这是我尽我所能制作的拓扑图。
我使用的是“Port Vlan”,而不是 802.1q vlan。我所做的就是:
VLAN1:6
VLAN2:1,3,5
VLAN3:2,4,5
我需要一个具有简单 vlan 功能的交换机的原因是,如果没有 vlan 分离广播域,有时与 AP2 连接的设备将被分配由 debian 的 dhcp 服务器提供的 ip,而不是预期的 vyos 的 dhcp 服务器。
除了我寻求帮助的问题之外,其他一切都正常,两个路由器设置都正常工作,设备从 dhcp 或路由器获取 ip 配置,具体取决于设备连接的 AP。
再次,我想弄清楚的是,例如,我希望能够通过连接到 AP1 且 IP 为“192.168.1.100”的设备 ssh 到 192.168.2.1(vyos),我需要做什么才能实现?使用 ip route?ip 规则?还是 iptables?如何使用?
多谢!
答案1
从表面上看,Debian 自动创建了一条路由,允许它将流量从 192.168.1.0/24 发送到 192.168.2.0/24。但是 TCP/IP 是双向路由,目前 VYOS 不知道如何将流量发回。因此,您需要向 VYOS 设备添加一条路由,告诉它将目标地址为 192.168.1.0/24 -net 的所有流量发送到 192.168.2.2。
请注意:此规则和 Debian 创建的规则将允许 VLAN 2 中的设备访问 VLAN 3 中的设备,反之亦然。这也意味着两个 VLAN 中的所有设备都可以访问两个路由设备的管理接口。
为什么 VLAN 2 中的设备可能会从 VYOS 获取错误的 IP 地址;我说不上来,设置有点过于复杂。可以以更简单的方式安排对所有网络设备的单独管理访问,以确保设备无法获取错误范围内的 IP,无法通过有线网络相互访问,只能访问互联网,并且无法访问任何网络设备。