去年買了 ZyXel GS1900-16 主要只有用到 Port Trunking 部分, 最近有需要把部分 port 切割出來只通行內網, 不對外. GS1900-16 是一台 L2 Switch, 沒有看到可以實體切割網段的設定. 看了說明書大概只能走VLAN, 不知道下面這樣設定的觀念對不對.
Port1 連接 router 聯外網, 目前所有port 都是 VLAN ID1 untag.
設定 VLAN ID2, 指定 Port 13~16 為 VLAN ID2, 都標示 Tag. Port 13~16, port edit 裡面 accept type 勾選 tag only, 也就是說來自 VLAN 1 的 untag 封包都會被丟棄. 間接阻斷了經過 port 1 router 對外連線的能力.
Port 13~16 後面再接一般的 switch 跟 一台 AP (Access point only not router), 所有port 13~16後端的 client 之間能互通, 但是與 VLAN1 之間無法互通 (也無法聯外網), 這樣設定應該沒錯吧?
網段應該是同一個, 因為只有連結一台 router (port1), 還是因為跟 port 1 的 router 不同 VLAN 就沒辦法由 port 1 連接的 router 派發IP??
說明書跟google之後我只想到這樣設定, 請各位大大指教.
peterliu00 wrote:
port based vlan)
想請問大大一下
從ge0/0/1等等port int下去設VLAN
和從vlan int下去設member port
到底有甚麼差別
也许是一场难圆的梦
一场没有结局的梦
多少的笑语飞散在风中
又围绕在我耳边
peterliu00 wrote:
看圖說故事 若只要port...(恕刪)
ur.... 我並不是要 port base VLAN, 我是需要把 VLAN2 跟外網隔離, VLAN1 彼此之間要能互通 (access NAS), VLAN2 之間能互通 (access NAS)但是不能對外網.
P.s. 我的 NAS DS412+ 有2個 lan port, 一個對 VLAN1, 一個對VLAN2
現在人在國外出差, 要等回去才有辦法 try, 想先了解 XD
GS1900 VLAN port edit 還有一個設定, 說明書內容為
Ingress filtering: If this check box selected for a port, the switch discards incoming frames for VLANs that do not include this port in its member set.
這應該就是封包過濾了.
最保險的作法應該就是 Port 13~16, accepted type 都選 Tag only, 然後都 enable ingress filtering, 這樣應該就是切的最乾淨了吧 (port 13~16 只能收VLAN2的封包)?
跟 router (VLAN1) 切開後, router 就無法對 VLAN2 的 client 派發 IP? 這個我真的不知道.
等回台灣再好好地試一下.
http://zyxel-manuals.org/zyxel-zynos-4.0-port-based-vlan-howto/14/
應該就比較省事了
不過之前在找switch時,ZYXEL的記得1900好像沒有,要2200才有。
目的是要讓port 13-16之間的device/pc可以互通,但不能連到大網,
然後大網上的device/pc不能連到port-13-16的device/pc,
對嗎?
如果是的話,按照你文章中的設定...
port13-16接設定vlan2 tagged port (vid=2)
則你port13-16上所接的device/pc發出來的封包都必須要能帶vid=2,
才能走vlan2,
否則就是要設定成vlan2 untagged port.
還有另外一個作法就是,若你還有第二台switch,則可以利用第二台switch去作加vlan跟剝vlan的動作,這樣子port-13-16 device/pc就能走vlan2.
另外,L2 switch一般只支援一個subnet,若你要支援兩個以上的subnet,就要找L3switch,但L3 switch價格跟L2 switch比起來就貴很多,若您的目的只是要routing,則用一台router代替即可,除非你有需要一些L3 protocol,或是其他功能。即使你今天的switch是L3 switch,依照你現在的需求,也是需要切vlan,一般用作網管的vlan叫做management vlan,就像你的需求一樣,port13-16是不能被看見的,這樣子的目的,L2 switch就能做到。
除了切vlan的功能,還有很多功能都可以達成一樣的目標,比如說樓上有人提到的port isolation,或是利用稍微複雜一些的acl profiles來設定都可。
有任何問題都可再討論。
by dc
dchen1981 wrote:
再度跟你確認一下目...(恕刪)
thanks DC大
我的目的就只是要讓port 13~16(VLAN2)不能連上internet,但是port13~16之間可以互通。
我後來search一下tag 跟 untag, 如果我加tag, 除了L2/3 switch外,其他連上port13~16 的client都會無法辨識封包沒錯吧,所以不能加tag.
GS1900-16應該是port base VLAN, 我的疑問是我用VLAN2把port 13~16從原本有router連結internet的VLAN1切出來,所以就跟internet隔離了,沒錯吧? 但是若是vlan2沒有router, vlan2上的所以client都可能無法相互辨識,因位沒有router 派發ip建立一個subnet給vlan2後端的所有client,right? 解決辦法就是連上一顆router給vlan2即可. 我這樣理解對吧?
這方面我是個門外漢加新手......XD
crabarts231 wrote:
thanks DC大
我的目的就只是要讓port 13~16(VLAN2)不能連上internet,但是port13~16之間可以互通。
我後來search一下tag 跟 untag, 如果我加tag, 除了L2/3 switch外,其他連上port13~16 的client都會無法辨識封包沒錯吧,所以不能加tag.
沒錯,通常一般device/pc都會接在untag port,
因為device/pc的網卡通常都不會帶vlan, 但也有例外,有些網卡可支援vlan。
這樣子的網卡,就能接在tagged port。
以下的連結是我在網路上google到的有關如何在網卡上設定vlan的資訊,你參考看看。
連結
crabarts231 wrote:
GS1900-16應該是port base VLAN, 我的疑問是我用VLAN2把port 13~16從原本有router連結internet的VLAN1切出來,所以就跟internet隔離了,沒錯吧? 但是若是vlan2沒有router, vlan2上的所以client都可能無法相互辨識,因位沒有router 派發ip建立一個subnet給vlan2後端的所有client,right? 解決辦法就是連上一顆router給vlan2即可. 我這樣理解對吧?
這方面我是個門外漢加新手......XD
default setting 應該是port-based vlan,
至於你說 "若是vlan2沒有router, vlan2上的所以client都可能無法相互辨識" ,
這句話就怪怪的,應該不能這樣說喔。
這樣說好了,如果port 13-14 我設成vlan2的untagged port,我各接一台PC,
topology大致如下:
PC1 --- (p13)DUT(p14) --- PC2
p13-14: vlan2 , untagged port.
PC1: IP 192.168.111.1/24
PC2: IP 192.168.111.2/24.
從PC1 ping PC2, 這樣你認為可以通嗎?
答案是,
這樣子這兩台pc還是可以透過vlan2互通的,而且不需router,
所以並非vlan2上所有clients都無法相互辨識喔。
另外如果你vlan2上一定要設tagged port,
若你有第二台switch,則還是可以達到你的目的,
topology:
PC1---(p13, untagged)SW1(p14, tagged) --- (p14, tagged)SW2(p13, untagged)--- PC2
像這樣子的拓樸,就可以清楚看出來,
我是利用第二台sw來做剝掉vlan跟加vlan的動作,從sw2 p13送到PC2的封包便會是untagged packets.
如果今天,我在vlan2上架設一台DHCP server,
那麼所有接在vlan2上面的client都能跟DHCP server要到一個IP(會在同一個subnet),
也因此,就能互相互通,
這就很像router上的LAN port 1-4.
因為大部分的router都有支援DHCP server的功能,
也因此這就是為什麼你會說要接router才能互相辨識,(因為router在這裡只是扮演了DHCP server配發IP的腳色而已)
但其實,這是不一定的,因為我也可以使用固定IP (static IP),或是我自己架設一台DHCP server,
我只需要讓client的IP address是在同一個subnet,
這樣子這些clients就都能互相辨識了(communicated.)
不知道這樣你看不看的懂,
有問題再問嚕
內文搜尋