我可以根据目标 IP 将数据包路由到不同的 VLAN 吗?

网络工程 转变 VLAN
2021-07-23 22:21:48

我有一个由 3 个 VLAN 组成的网络:

  • 1 -> 台式机和笔记本电脑
  • 50 -> 网络摄像机
  • 200 -> 服务器

为简单起见,将 VLAN 中的所有设备视为相同:

  • 1 是 200 的成员,因为这里的计算机需要与服务器通信
  • 50 是 200 的成员,因为 IP 摄像机流到 NAS
  • 200 是 50 的成员,因为 NAS 控制相机的属性

  • 200 是 1 的成员,因为服务器和计算机相互通信

    VLAN 1 <---------> VLAN 200 <---------> VLAN 50

所有设备的 IP 为10.1.1.xx取决于设备)

在此配置中,在单独的 VLAN 中拥有 IP 摄像机的主要目标是使 VLAN 1 中的台式机和笔记本电脑看不到此流量。但是,当 NAS 为 IP 摄像机流量发送 ACK 时,这可以正常工作,并且因为它在交换机上的端口映射到 VLAN 200,所以 VLAN 1(坏)和 VLAN 50(好)上的设备看到相同的数据包。因为这是与 IP 摄像机相关的,我希望此流量仅传输到 VLAN 50(例如 200 -> 50 而不是 200 -> 1)

如何从 VLAN 200 设备获取流量以路由到它们要用于的 VLAN?

我希望有一个不需要专用路由器的解决方案,我的交换机是 Netgear GS108T,但如果有必要,将一个步骤升级到 Netgear M4100 之类的东西,甚至升级到企业级交换机都不是问题 - 我只是目前正在寻找最佳配置。

3个回答

每个 VLAN 都应该有自己的子网。例子:

  • VLAN1:10.1.1.0/24
  • VLAN50:10.1.50.0/24
  • VLAN200:10.1.200.0/24

然后,您将需要一个设备来在它们之间进行路由。快速查找您的交换机并没有显示它支持第 3 层路由。因此,您可能需要升级或专用路由器。

拥有路由器后,您将配置 3 个接口,每个 VLAN 一个用于路由。在这些接口上,您可以应用 ACL 来阻止不需要的流量。

  • ACL Laptop/Desktop Traffic:允许访问服务器
  • ACL IP 摄像机:允许访问服务器
  • ACL 服务器:允许所有访问

每个 VLAN 都可以看作是一个独立的 LAN,彼此之间没有连接。

如果来自一个 VLAN 的一台设备需要与任何其他 VLAN 的设备通信,则需要在 VLAN 之间进行路由。

这可以通过第 3 层交换机(我认为您的交换机不支持)或使用任何外部路由器来完成。

正如 Legioxi 提到的:

您将需要进行适当的分割。如果您的交换机不执行 L3,请考虑使用棒式路由器。路由器的 LAN 接口将连接到设置为中继的交换机端口。在路由器上为每个 VLAN 配置子接口并 DOT1Q 标记流量。仅从您需要的交换机中继必要的 vlan。

此时,您应该能够实施 ACL 以允许/阻止从一个 VLAN 中的主机到另一个 VLAN 的流量。

其它你可能感兴趣的问题
上一篇IP 和链路层的可靠性与不可靠服务 下一篇如果路由器工作在网络层,路由器如何在LAN和WAN之间的数据链路头和尾之间改变数据链路头和尾?