我有一个 Netgear JGS524PE 24 端口交换机。
我希望端口 14 上的 PC 能够连接到端口 22、23,从端口 17 获取 dns 和 dhcp,并通过端口 24 访问互联网
我希望我的室友能够获得 dns、dhcp 和互联网,但不能访问任何其他端口
我希望端口 1-13 能够获取 dns、dhcp 和 internet,但不连接到其他端口
我对端口 24 和 17 感到困惑。我应该将其放在每个 VLAN 中吗?如果不在每个 VLAN 中,那么 VLAN2 和 VLAN3 将如何访问互联网?
- VLAN1 端口:1-13、17、24(24 已标记)
- VLAN2 端口:21、17、24
- VLAN3 端口:14、17、22、23、24
请纠正我。
答案1
是的,路由器的端口需要成为所有 VLAN 的成员。DHCP 服务器通常也应该位于所有 VLAN 中(除非您让路由器充当DHCP 中继)。DNS服务器不需要。
然而,路由器和服务器必须他们自己了解 VLAN – 即您需要为它们所属的每个带标记的 VLAN 配置虚拟接口。如果您的路由器无法使用 802.1Q VLAN,那么您通常无法在其上使用 VLAN(除非您为每个 VLAN 建立单独的物理连接)。
还要注意,一个端口不能有多个“未标记”的 VLAN - 如果这样做,路由器将无法区分数据包属于哪个虚拟接口;当它需要发送回复时,它将无法告诉交换机将数据包放入哪个 VLAN。许多交换机实际上不允许您为同一端口配置多个未标记的 VLAN。
因此示例配置如下:
转变:
- VLAN 1:端口 [...]、17(未标记)、[...]
- VLAN 2:端口 [...]、17(带标记)、[...]
- VLAN 3:端口 [...]、17(带标记)、[...]
端口 17 上的服务器:
- 物理接口
eth0(默认/本机/未标记的 VLAN):192.168.1.67/24 - 虚拟接口
eth0.2(标记为 VLAN 2):192.168.2.67/24 - 虚拟接口
eth0.3(标记为 VLAN 3):192.168.3.67/24
- 物理接口
(需要明确的是,每个 VLAN 都必须有自己的 IP 子网。)
您的路由器不仅可以处理 Internet 访问,还可以处理 VLAN 间访问,因此可以访问之间VLAN 由路由器的防火墙控制,而不是由交换机配置控制。如果您不希望 VLAN1 能够与 VLAN2 通信,则必须添加防火墙规则。