TP-Link TL-SG108E - VLANs para separar um dispositivo de todos os outros

Navegue suas respostas
1

Eu tenho uma rede doméstica típica composta de um roteador ASUS RT-N16 executando o DD-WRT e um punhado de clientes com e sem fio. Uma novidade na rede é um Raspberry Pi que será usado por uma equipe para um projeto escolar em que estou trabalhando.

O Pi está configurado para executar um túnel SSH reverso em um servidor voltado para a Internet para que qualquer pessoa na Internet mais ampla possa acessar o SSH no dispositivo em minha rede doméstica.

Como o Pi está disponível na Internet e também na minha rede doméstica, quero separá-lo de todos os outros dispositivos da minha rede. Efetivamente, quero o Pi de um lado da cerca e todo o resto do outro. Todos os dispositivos precisam de acesso à Internet.

No começo, eu tentei sem sucesso configurar duas VLANs no meu roteador DD-WRT, mas depois de um dia de brincadeiras e fóruns, parecia que muitas pessoas tinham problemas com erros de firmware. Para facilitar minha vida, ou assim pensei, comprei um "Easy Smart Switch" TP-Link TL-SG108E que anuncia o suporte a VLAN. Para a vida de mim, porém, não posso fazê-lo funcionar como eu esperava!

No comutador TP-Link:

  • Porta 1 - vai para o switch interno do roteador
  • Portas 2-7 - Vários clientes meus
  • Porta 8 - Raspberry Pi para ser segregada

Primeiro, tentei configurar a VLAN baseada em porta. Parece que não consegui atribuir a porta 1 (o roteador) a duas VLANs de uma só vez.

Configuração de VLAN Baseada em Porta:

SeeutivesseescolhidoaVLAN2paraincluirtambémaporta1,elateriasidoremovidadaVLAN1.

EupasseiatentarconfigurarVLANsbaseadasemtags802.1Q.

VLANs802.1Q

ComosPVIDs

PVIDs

Esta configuração parece funcionar quando a porta 8 tinha um PVID diferente de 1 a 7, o Pi era inacessível da minha LAN, mas também era inacessível da Internet! Se eu fizesse o roteador PVID 1, meus clientes PVID 2 e o Pi PVID 3, nada poderia falar com o roteador.

Neste ponto, estou confuso e pronto para admitir minha ignorância. O que estou fazendo errado?

    
por TroyDowling 28.10.2016 / 21:18

2 respostas

3

A segregação que você está pedindo é o que VLAN de Unidade Multi-Inquilina é bom para. Citando o texto de ajuda na configuração do switch:

MTU VLAN (Multi-Tenant Unit VLAN) defines an uplink port which will build up several VLANs with each of the other ports. Each VLAN contains two ports, the uplink port and one of the other ports in the switch, so the uplink port can communicate with any other port but other ports cannot communicate with each other.

Então você poderia usar isso e configurar a porta 1 como a porta de uplink. Infelizmente isso também significa que as portas 2 a 7 não podem se comunicar entre si.

Se você precisar das portas de 2 a 7 para se comunicar, será necessário verificar outras opções, porque o recurso VLAN da unidade multilocatária não parece ser flexível o suficiente para permitir isso.

A VLAN baseada em porta, como você percebeu, não pode fazer o que você quer.

Isso deixa as VLANs marcadas como sua última opção. Mas ter uma porta como um membro não marcado de mais de uma VLAN é problemático porque os quadros não marcados enviados para o switch podem ser destinados a qualquer uma dessas VLANs, e o switch não pode saber.

Em vez disso, o que você deve fazer é tornar a porta de uplink para o roteador um membro não marcado de não mais de uma VLAN e um membro marcado do restante.

No próprio roteador, você também precisa configurar as mesmas tags de VLAN, de modo que o roteador saiba de qual VLAN um pacote se originou e o roteador possa informar ao switch para qual VLAN um pacote é.

No roteador, isso se parecerá com duas interfaces de rede virtual conectadas às duas VLANs diferentes. E a configuração recomendada é fazer com que o roteador use prefixos IP diferentes para as duas VLANs.

    
por 16.04.2017 / 22:44
0

A sua configuração desejada é definitivamente possível neste dispositivo. "Port Based VLAN" não é suficiente, pois não permite que uma porta seja membro de várias VLANs. Com "802.1Q" isso é possível. Minha configuração, que eu estava executando exatamente neste dispositivo, era mais ou menos idêntica ao que você gostaria de alcançar.

Minha configuração: 

Portnum   Device     Member of VLAN   VLAN-ID INCOMING FRAMES GET ASSIGNED (PVID)
--------|----------|----------------|-----------------------------------------
Port 1     Router        1,2,3                        1                 
Port 6    Device A        1,2                         2
Port 7    Device B        1,3                         3

Com esta configuração, as Portas 6 e 7 são separadas umas das outras. Ambos podem se comunicar com a Porta 1, mas não uns com os outros.

Explicação: Os quadros Ethernet que entram na Porta 6 são empurrados para a VLAN 2. Como a Porta 1 é membro da VLAN 2, eles podem sair por essa porta e, assim, alcançar o dispositivo por trás dela (Roteador). Eles não podem sair pela Porta 7, pois não é membro da VLAN 2. Quando o roteador deseja responder, seus quadros Ethernet, que entram pela Porta 1, são inseridos na VLAN 1. A porta 6 faz parte da VLAN 1, portanto eles podem sair por esta porta. Eles poderiam sair da Porta 7, mas como os quadros não carregam o endereço MAC do dispositivo por trás, o switch não tem motivos para fazê-lo.

Por favor, encontre screenshots da minha configuração de trabalho abaixo.

    
por 11.10.2018 / 01:28

Tags

Encontrar qual computador em uma rede configurada de forma incomum está sobrecarregando recursos Por que o site inteiro não foi baixado?