我有一个可以通过 LAN 访问的 NVR,我希望一些在 VLAN 上隔离的 IP 摄像机仅使用 802.1Q 管理型交换机来访问 NVR。
我希望摄像机能够连接到 NVR 而不浪费路由器资源,我可以通过 802.1Q 交换机来实现吗?我考虑在单个 /24 上设置单独的 VLAN,这可能吗(这有意义吗)?我不太明白,如果不使用在不同 VLAN 的不同子网之间路由流量的简单方法,我如何(如果)能够实现这一点。
例如,如果我有 VLAN 14(192.168.110.0/24)和 VLAN 16(192.168.110.0/24)。我将摄像机未标记地放在 VPID 为 14 的 VLAN 14 上,将我的 LAN 放在 VPID 为 16 的 VLAN 16 上,但我还将 NAS 未标记地放在 VLAN 14 上,由于它们位于同一个广播域中,摄像机可以看到 NVR..?这就是我要解决的问题
答案1
基本上不行,你无法做你想做的事。
将单独的 VLAN 视为物理上独立的交换机,它们不是连接在一起。它们之间需要有某种连接才能进行流量传输。或者,如果您希望设备能够与两个 VLAN 通信,则需要“”插入'' 到两个 VLAN。另外,如果您希望任何东西都能够与两个 VLAN 通信,它们需要具有单独的 IP 范围。在两个 VLAN 上拥有相同的子网将阻止您与两者通信。子网的整个想法是每个广播域有 1 个唯一的子网。VLAN 是一个独立的广播域。仅仅在两个独立的网络上拥有相同的 IP 子网并不会使它们成为同一广播域的一部分。
如果您想要某种形式的分离而不进行路由,那么您有 3 个选择。
1) 将摄像头和 NVR 置于防火墙后面。您不需要路由或 VLAN,甚至不需要单独的子网,尽管您可能和大多数防火墙一样也是路由器。就此而言,大多数托管交换机也是路由器。
2) 在 NVR 或 PC 上安装两个网卡,以便该设备位于两个 VLAN 中。不要对两者使用相同的 IP 子网,否则您将无法正确与两个 VLAN 通信。
3)不要使用单独的 VLAN,只需使用单独的子网,并向您的 PC 单网卡添加多个 IP,并将 NVR 放在与摄像机相同的子网中。
选项 1 和 2 比选项 3 提供了更多的分离
编辑:如果一个设备在同一组物理连接的交换机上具有网卡,并且与另一个设备具有相同的 vlan 和子网,并且两个设备均未使用重叠的 IP 范围(又名子网),则它们可以相互通信,无论其中一个或两个设备是否是其他 vlan 的成员。
您似乎陷入了标记与未标记 vpid 的纠结中。它们只是确定数据包应切换到哪个 vlan,或者网卡将从哪个 vlan 发送数据包或监听哪个 vlan 的机制。本质上交换机上未标记 vpid 的数据包与标记 vlan 的数据包没有区别。如果它们都具有相同的 vlan 编号,则它们将通过交换机连接。如果它们的编号不同,则不会连接,即不会插入到同一个网络,即使两者都使用带标签的、未带标签的或 vpid。顺便说一句,单个网络端口不能在交换机的同一物理端口上使用未带标签的数据包拥有 2 个 VLAN。如果数据包没有标签,则交换机会为该数据包分配一个默认编号作为 VLAN,这就是 VPID 指定的。
一旦设备插入到同一个 vlan 交换机,然后您就可以担心将它们连接到该交换网络上的同一个 IP 范围,并避免重叠和冲突的 IP 范围。
答案2
如果要在 VLAN 之间进行通信,则必须在它们之间实现某种路由,否则它们将完全隔离。这可以根据您使用的设备来完成。例如,如果您有 L3 CISCO 交换机,则始终可以启用 VLAN 间路由。
请注意,子网和 VLAN 不是一回事。子网 IP 地址无需使用路由设备即可相互通信。VLAN 则需要路由。