好吧,我对 VLAN 还不太熟悉,所以如果这个问题问得有点傻,请原谅我。我有一个防火墙,里面设置了几个 VLAN:
ID 1:这是主要的,并设置为未标记。这将用作管理 VLAN ID 30:用于不太受信任设备的“Guest”ID 40:用于我们的 IT 设备的“iot”。我希望出于 QOS 和安全原因将它们隔离 ID 50:用于员工访问 LAN 上的特定资源的“Trusted”。
我的问题是这样的。连接到 VLAN 30 和 50 的大多数设备将是标准工作站,其 NIC 无法理解 VLAN 标记。如果我设置基于端口的 VLAN,我仍然必须将其设置为带标记的 VLAN,因为防火墙就是这样设置的(防火墙正在运行“桥接”端口,将所有 4 个 VLAN 传输到第 2 层交换机),当然,只允许其中一个 VLAN 返回未标记。如果我将其设置为带标记的 VLAN,工作站无法理解它并提供 169 IP。如果我将其设置为未标记,情况相同 - 我假设防火墙只期望来自这些 VLAN 的带标记流量。我在这里遗漏了什么?
背景:我的防火墙是 Watchguard,我的交换机是 HP Aruba
答案1
问题和评论中有一些事情不太清楚,所以我希望能弄清楚我期望系统如何链接这个工作(使用 hp aruba 交换机)。
在防火墙和交换机之间的链路上(两侧的配置):
将 VLAN 1 配置为未标记。
将 VLAN 30/40/50 配置为标记。
在通向“来宾”设备的交换机端口上,您需要将这些端口配置为 VLAN 30 上的“未标记”。
假设“来宾”的端口是端口 1-10(防火墙是端口 50),则命令将如下所示:
vlan 30
name Guest
tagged 50
untagged 1-10
exit
对于受信任员工使用的端口也是如此,这些端口在 VLAN 50 上将是“未标记的”。
该命令untagged的基本含义是:任何到达未标记端口的流量都将被分配此 VLAN。