我的目标:
例如,一个网络被分为两个 Vlan,它们都可以访问互联网,但不能互相通信。
我的问题:
第一次尝试: 互联网 -> Fritzbox -> 托管交换机 -> 客户端 不起作用。除默认 Vlan 外,没有其他任何设备可以访问互联网。
所以我想,也许是因为路由器不理解 Vlan 标签。
第二次尝试: 互联网 -> Fritzbox -> TP-link 路由器防火墙 -> 管理交换机 -> 客户端
遗憾的是,我无法将 Fritzbox 配置为 Brige 模式,只能将其用作调制解调器。TP-Link 路由器是路由器后面的路由器,我不确定这是否是问题的一部分。但即使现在有了交换机并在它们两个上配置了 Vlan,我也无法在任何 Vlan 上访问互联网,除了默认的 Vlan (1)。是的,中继端口和 VIDS 设置正确。
我可能忽略了一些非常明显的东西,但我无法掌握它。我该如何解决这个问题?
答案1
FritzBox 不支持 VLAN。此外,只有一个路由 LAN 接口 - 所有“LAN”端口都已切换。因此,您不能使用中继端口连接 FritzBox,而需要使用具有单个未标记 VLAN 的访问端口。
您需要一个三层交换机,二层交换机不行。
- 设置 VLAN 以及它们之间的路由。
- 使用具有 VLAN 或附加传输 VLAN 的接入端口连接 FritzBox。
- 在 FritzBox 上为远程 VLAN 设置静态路由,指向 L3 交换机的 VLAN 接口。
- 在 L3 交换机上配置 ACL 来控制 VLAN 之间以及流向 Internet 的流量。
使用消费级路由器通常不起作用,因为它们通常会强制您使用 NAT,并且很少支持多个路由接口或 VLAN。请注意,如果您使用中继端口,则需要将它们设置为确切地两边也用同样方法。
如果级联消费者路由器,内部主机始终可以访问外部主机,但反之则不行,这是由于从内部到外部 LAN 的源 NAT。此外,级联路由器对于 LAN 路由来说相当慢。