我的拓扑虽然很愚蠢,但相当简单,我正在考虑稍后修复它。
目标:
很简单,
简洁版本:
我想为我的访客 WiFi 创建一个 VLAN,以便连接到该 WiFi 的人无法访问我的服务器。
长版本:
我最初设置了两个 WiFi 网络,一个用于访客,一个用于我的内部网络。现在我想要将它们分开,这样我就不希望连接到我的访客 wifi 的人能够访问连接到我内部网络的计算机或服务器。我一直在研究的解决方案是为访客网络创建一个 VLAN,这样它就会被隔离。
我的设置:
我有 2 个网关连接到我的交换机(端口 1 和 2)
Palo Alto Gateway 是包含我的内部网络的 DHCP 服务器的网关,而 Unifi Security Gateway 是包含我的访客网络的 DHCP 服务器的网关(我知道,我应该只有 1 个网关,但我只想能够通过仅添加另一个网关和仅供访客使用的 VLAN 来快速创建此修复程序)。
现在,问题在于交换机中标记这些端口。正如您在交换机内部的 VLAN 配置中所看到的:
此配置有效,但我不知道为什么。在我看来,它应该标记为 VLAN 99 中的端口 2 并排除在默认 VLAN 之外,但如果我这样做,我可以连接到访客 WiFi,但无法获取 IP 地址,因此 Unifi 网关上的 DHCP 服务器会失败。有人能帮我解决这个问题吗?谢谢!
答案1
从每个端口的角度考虑进出的数据。进入端口的数据(未标记)将与“未标记”vLAN 相关联。进入端口的数据(带标记)将与任何具有相同 ID 的“带标记”vLAN 相关联。根据特定 vLAN 的设置,离开端口的数据将带标记或不带标记。
标记表示数据包被包裹在 vLAN 标识符中。未标记表示数据只是标准数据包。除非专门配置,否则设备无法理解 vLAN 标记,因此它们将忽略标记的数据包。
您的两个网关不“对话”vLAN。因此,您通过将每个端口(1 和 2)关联到“未标记”模式的不同 vLAN,将两者置于不同的逻辑网络上。如果您标记了发往 unifi 网关的数据,它将忽略该数据,因为网关未配置为“对话”vLAN 99。
您已将 WAP 端口配置为使用两个网络。vLAN 1 将不带标签。vLAN 99 将带标签,因此您必须配置 WAP 以将 vLAN 99 与不同的 SSID 关联。但是,如果它们希望通过默认 LAN 与 unifi 安全控制器通信,则可能需要反转此配置。即 vLAN 99 应不带标签,而 vLAN 1 应带标签。现在,当它们启动时,它们将从您的 vLAN 1 中提取 IP。
与每个端口关联的未标记 vLAN 也称为默认 vLAN。换句话说,插入该端口的任何设备都将默认使用默认 vLAN,因为它发送和接收的所有数据包都是未标记的,并且它将忽略任何标记的数据包。
中继端口仅发送和接收标记数据。它旨在将所有流量传递到另一台了解所有 vLAN 的设备,例如另一台交换机。不过,如果在多个网络上使用多个 SSID,将 WAP 放在中继端口上并不罕见。
排除的端口只是阻止带有特定 vLAN ID 标记的所有流量。
我不确定这是否是您要找的,但您似乎正在寻找原因的解释,而不是如何的建议。
您所描述的行为是预期的行为。
最后需要注意的是,vLAN 1 端口 2 应被排除。就像 vLAN 99 端口 1 被排除一样。这确保每个网关只能看到发往该网关的流量。