Networking

我的交換機中的標記與未標記配置未按預期工作

  • December 30, 2017

我的拓撲很簡單,雖然很笨,但我正在考慮稍後修復它。

目標:

很直白,

簡潔版本:

我想為我的訪客 wifi 創建一個 VLAN,以便連接到此 WiFi 的人無法訪問我的伺服器。

長版:

我最初設置了兩個 WiFi 網路,一個用於訪客,一個用於我的內部網路。現在我想要將它們分開,這樣我不希望連接到我的訪客 wifi 的人能夠訪問連接在我的內部網路上的電腦或我的伺服器。我一直在研究的解決方案是為訪客網路創建一個 VLAN,以便將其隔離。

我的設置:

我有 2 個網關連接到我的交換機(埠 1 和 2)

在此處輸入圖像描述

Palo Alto 網關是為我的內部網路提供 DHCP 伺服器的網關,而 Unifi 安全網關是包含我的來賓網路的 DHCP 伺服器的網關(我知道,我應該只有 1 個網關,但我只想能夠創建這個現在只需為來賓添加另一個網關和 VLAN 即可快速修復)。

現在,問題是在交換機中標記這些埠。正如您在交換機內部的 VLAN 配置中看到的那樣:

在此處輸入圖像描述

此配置有效,但我不知道為什麼。在我看來,它應該被標記為 VLAN 99 中的埠 2,並在預設 VLAN 中排除,但是,如果我這樣做,我可以連接到訪客 WiFi,但我無法獲得 IP 地址,因此 Unifi 網關上的 DHCP 伺服器失敗. 有人可以幫我解決這個問題嗎?謝謝!

從每個埠的角度考慮數據的進出。進入埠的未標記數據將與“未標記”vLAN 相關聯。進入標記埠的數據將與任何具有相同 ID 的“標記”vLAN 相關聯。根據特定 vLAN 的設置,退出埠的數據將被標記或取消標記。

標記意味著數據包被包裝在一個 vLAN 標識符中。未標記意味著數據只是一個標準數據包。除非經過專門配置,否則設備無法理解 vLAN 標記,因此它們將忽略標記的數據包。

您的兩個網關不會“交談”vLAN。因此,您通過在“未標記”模式下將每個埠(1 和 2)與不同的 vLAN 相關聯,將兩者放置在不同的邏輯網路上。如果您將數據標記到您的 unifi 網關,它將忽略該數據,因為網關未配置為“使用”vLAN 99。

您已將 WAP 埠配置為使用這兩個網路。vLAN 1 將被取消標記。vLAN 99 將被標記,因此您必須已將 WAP 配置為將 vLAN 99 與不同的 SSID 相關聯。雖然,如果他們希望通過預設 LAN 與 unifi 安全控制器進行通信,則可能應該顛倒此配置。即 vLAN 99 應該是未標記的,而 vLAN 1 應該是標記的。就像現在一樣,當他們啟動時,他們將從您的 vLAN 1 中提取一個 IP。

與每個埠關聯的未標記 vLAN 也稱為預設 vLAN。換句話說,預設情況下,插入該埠的任何設備都將使用預設 vLAN,因為它發送和接收的所有數據包都是未標記的,並且它將忽略任何標記的數據包。

中繼埠僅發送和接收標記數據。它旨在將所有流量傳遞到了解所有 vLAN 的另一台設備,例如另一台交換機。雖然,如果在多個網路上使用多個 SSID,將 WAP 放在中繼埠上並不少見。

排除的埠只是阻止所有帶有特定 vLAN ID 標記的流量。

我不確定這是否是您正在尋找的東西,但似乎您正在尋找原因的解釋,而不是如何提出建議。

您描述的行為是預期的。

最後一點,應排除 vLAN 1 埠 2。就像排除了 vLAN 99 埠 1 一樣。這可確保每個網關只能看到用於該網關的流量。

引用自:https://serverfault.com/questions/890064