问题[vlan](computer)

我的目标：

一个网络分为例如两个 Vlan，它们都可以访问 Internet，但不能相互通信。

我的问题：

第一次尝试： Internet -> Fritzbox -> Managed Switch -> 客户端不起作用。除了默认的 Vlan 外，没有一个可以访问 Internet。

所以我想，也许是因为路由器不理解 Vlan 标签。

第二次尝试： Internet -> Fritzbox -> TP-link 路由器防火墙 -> Managed Switch -> 客户端

遗憾的是，我无法将 Fritzbox 配置为 Brige 模式，仅将其用作调制解调器。TP-Link 路由器是路由器后面的路由器，我不确定这是否是问题的一部分。但即使现在在它们两个上都有一个交换机和配置的 Vlan，除了默认的一个 (1) 之外，我无法在任何 Vlan 上访问互联网。是的，Trunk 端口和 VIDS 设置正确。

我可能遗漏了一些非常明显的东西，但我无法掌握它。我该如何解决 ？

在与金钱、桌面空间和其他类似考虑因素争论不休之后，我正在尝试创建一台 Jekyll-&-Hyde 计算机（并因此学习一些基本的网络原理。）

这既可用于个人用途，也可用于小型企业在家工作。他们没有 IT 部门，我是最接近它的人。我希望尽可能地在这两个功能之间实现彻底的中断，因此我的计划是将工作站从单独的驱动器双引导到不同的操作系统中。在个人模式下机器会加入VLAN-20，在公司模式下机器会加入VLAN-60。我认为我可以使用其中一个引导下的欺骗 MAC 地址或通过安装 pci-e 卡以在机器中提供一个或多个附加网络接口来实现此行为。在第二种情况下，我很难理解布线的安全含义。

• 我可以将一根电缆从智能交换机的单个端口连接到工作站，在不同引导之间交换我插入的工作站上的网络端口，并将端口开关设置为同时处理VLAN-20和处理60流量吗？（不？“访问端口..应该是单个 VLAN 的成员”是的？“具有多个标签的端口..路由器需要知道如何删除标签..通常通过每个 VLAN 有一个单独的 IP 地址来完成”）
• 在公司模式下，工作站将打开，VLAN-60但交换机仍会向其发送标记为“20”的数据包，即使工作站本身已被分配了一个 ip on VLAN-60？
• 唯一安全的方法是工作站上的两个端口-> 两条电缆（或在两端端口之间移动的一根电缆）-> 托管交换机上的两个端口？

我已经在网络上有一台 Truenas 机器，它呈现出类似的困境（我对 L2/L3 安全性的工作方式有误解）。那台机器有两个网络端口，但目前我只使用一个。在研究时，我发现连接第二个接口并通过它路由访问管理控制台可能是谨慎的。

• 如果这样做是为了让一些机器可以访问 NAS，但不能访问控制台，这是否意味着我需要 Truenas 盒子中的每个端口进入不同的 VLAN，或者让它们进入一个哑交换机就足够了并仅通过 IP 地址处理访问限制？

在试图回答我自己的问题时，我已经完成了我的功课，但我担心知道一点的人认为他知道很多，我会建立我的网络，相信我是安全的，而我却犯了很大的错误。

我目前的断言/理解：如果我有一个带有 2 个 LAN/VLAN 的路由器/防火墙（pfsense 盒），其中一个包含一台机器，另一台包含两台机器。

VLAN 20
    -> Machine A
    -> Machine B
VLAN 60
    -> Machine C

1. AB无需通过路由器就可以交谈（连接它们的非托管交换机可以处理消息传递？）。（它们在同一个子网中？“一个 VLAN = 一个子网”）因此，阻止 A 的 ip 与 B 的 ip 的规则不会阻止（任何/全部/一些？）它们之间的流量？
2. C不能在VLAN-60没有路由器的情况下与任何东西进行通信。“路由”流量，（“局域网间通信需要具有路由功能的 L3 设备。”）所以我们可以设置关于什么C可以做什么和不可以做什么的规则VLAN-20。
3. 允许C访问特定机器VLAN-20并不会打开对所有的访问VLAN-20（因为目标 V​​LAN 中的目标 ip 可以是规则的一部分？）。我们可以说：C可能只与它交谈，除非代表它恶意转发它，否则它B不会A受到攻击。CBC

我离知道我在做什么还有多远？？

我最初在 networkengineering.stackexchange 上问了这个问题，它被关闭为题外话，但在发布我的问题时建议使用以下帖子。阅读它们后，我仍然卡住了，但我用引号编辑了我的问题，以反映我从他们那里收集到的信息。

• https://networkengineering.stackexchange.com/questions/542/multiple-lan-interfaces-on-sonicwall
• https://networkengineering.stackexchange.com/questions/76094/router-interface-on-same-subnet
• https://networkengineering.stackexchange.com/questions/38042/vlan-trunk-between-single-port-machine-to-switch
• https://networkengineering.stackexchange.com/questions/32329/what-are-the-reasons-for-not-putting-multiple-subnets-on-the-same-vlan
• https://networkengineering.stackexchange.com/questions/45283/force-vlan-traffic-through-specified-interfaces
• https://networkengineering.stackexchange.com/questions/54531/two-ports-both-in-vlan-1-on-two-separate-switches-down-down
• Linux上的多个接口连接到多个vlan
• 创建面向多个 VLAN 的多个接口
• 家庭网络的 VLAN 配置

我的 Linksys 路由器支持 VLAN，我想设置一个将我的工作笔记本电脑的连接与我的家用 PC 和设备分开；但是，Linksys WebUI 要求提供特定于各种 ISP的配置文件。

我是否需要联系我的 ISP 以获取此信息，因为我在 YouTube 上或通过谷歌搜索找不到太多信息？

我正在尝试将 pfSense 设置为我的主要 Internet 路由器，以替换提供商路由器。

基本的 Internet 连接可以正常工作：将外部接口配置为 DHCP 客户端，为内部客户端配置 DHCP 服务器，配置 NAT——一切都很好。

但是，我也想在设备上使用 IPTV。我的 ISP 在 WAN 线路上使用单独的 VLAN 提供 IPTV。（互联网流量使用本地 VLAN，因此这里不需要弄乱 VLAN。）

ISP路由器配置如下：

• 一个网桥，其成员是用于连接 IPTV 接收器和终止 WAN 接口上 IPTV VLAN 的内部端口
• 网桥绑定了一个 IP 地址。它是一个静态 RFC1918 地址，显然没有在该接口上配置默认网关。
• 此外，该设备运行一个 IGMP 代理，该代理将网桥作为其上游接口，将 LAN 接口（甚至那些不用于 IPTV 的接口）作为下游接口。启用快速离开，在上游和下游强制使用 IGMP 版本 2，并且为一个特定 IP 地址跳过多播组。虽然我确实觉得奇怪的是上游被配置为整个网桥，而不仅仅是 VLAN 接口——可能与支持其他上行链路连接的路由器有关（我在光纤上，ONT 通过以太网连接，显然设备还支持以太网上的 ATM 以及 ADSL）。

我在 pfSense 中所做的：

• 在 Interfaces > VLANs 中，添加了一个新接口 ( WANIPTV)，其中 WAN 接口作为其父接口和相应的 VLAN ID。
• 在 Interfaces > Bridges 中，创建了一个带有WANIPTV接口和其他未使用的物理接口作为其成员的网桥。这座桥被称为BRIDGE0。
• 在 Interfaces > Assignments 中，分配BRIDGE0为它自己的接口 ( IPTVBRIDGE) 并启用它，使用没有IP配置与提供商提供的路由器相同的 IP 配置（RFC1918 地址，无网关）。
• 在 System > Advanced > Tunables 中，设置net.link.bridge.pfil_member为 0 和net.link.bridge.pfil_bridge1。因为net.link.bridge.pfil_onlyip我保留了默认值 0 以允许非 IP 流量通过。
• 在防火墙 > 规则中，我为IPTVBRIDGE接口添加了一个通过规则，匹配 IPv4+IPv6，其他所有设置为 ANY。
• 在 Services > IGMP Proxy 中，我启用了 IGMP，添加IPTVBRIDGE为上游接口和接收器的物理端口作为下游。我不知道我需要在接口上为网络输入什么；我刚刚为两者添加了 0.0.0.0/1 和 128.0.0.0/1 。
• WANIPTV然后，我为所涉及的接口（以及IPTVBRIDGE接收器的物理接口）添加了任意过滤规则。

通过这些设置，我可以通过在 ISP 路由器上运行接收器，然后将 WAN 电缆和 IPTV 接收器插入我的 pfSense 来获得一小段时间的图片。但是，过了一段时间，图像冻结了，当我重新启动接收器时，它报告没有可用的网络连接。

如何找出必须为 IGMP 代理配置的网络？还是其他地方的问题？

最初在https://networkengineering.stackexchange.com/questions/75891/router-use-lan-port-as-wan-port询问，但已发送给超级用户。有截图。这里没有 10 声望——不能发布图片。

对于家庭互联网，我目前正在从ADSLISP 切换到光纤 ISP。光纤 ISP 顾问说我的ADSL调制解调器和路由器不能在他们的网络中使用，所以我需要购买一个新的路由器（它将从光纤媒体转换器获得互联网）。

我的ADSL调制解调器和路由器显然是用我的ISP的自定义固件ZTE ZXHN H108N闪现的；光纤 ISP 向我们购买的是Netis W1

我想知道ADSL在这种情况下调制解调器和路由器是否真的没用。

[HOWTO] 把 LAN 口变成 WAN 口！！[Linksys E900 无线路由器]
视频简而言之：LANports和WANport属于2个不同VLAN的s。通过将LAN端口分配给与 相同VLAN的端口WAN，您可以将LAN端口变为WAN端口。

- 仅基于 Broadcom 的设备支持基于端口的 VLAN

中兴ZXHN H108N是基于Broadcom 6328的ADSL/ADSL2+ Wi-Fi路由器。

所以，我的问题是：在我的ADSL调制解调器和路由器ZTE ZXHN H108N上，如果我将端口VLAN的LAN端口从更改1为0，我可以将它用作将我连接到光纤互联网的全功能路由器（现在无法自己检查 - 已订购光纤互联网正在进行中）。

另外，如果是，那么是否需要交叉电缆而不是直通电缆？

我是网络软件的外行用户，请用简单的英语与我交谈?

> telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.

Password: *****
Copyright (c) 2012 - 2015 ZTE Corporation
ZTE> show wan status
PVC-0 
        Status = Up
        Ip = 94.179.153.74
PVC-1 
        Status = Up
PVC-2 
        Status = Down
PVC-3 
        Status = Down
PVC-4 
        Status = Down
PVC-5 
        Status = Down
PVC-6 
        Status = Down
PVC-7 
        Status = Down

在类似问题上接受的答案https://superuser.com/a/1068435/1250598和https://superuser.com/a/1245737/1250598相互矛盾。欢迎澄清

我的 VLAN 无法 ping 通自己的网关及其他网关。

1 - 为了让 VLAN 能够 ping 自己的网关，我是否必须在 OPNsense 防火墙中启用父 VLAN 并为其分配 IP？

2 - 我是否必须为 VLAN 中的设备启用 DHCP，我知道这听起来很愚蠢，但只是检查我在 OPNSense 上找到的所有关于此的视频都显示为启用了我没有使用的 DHCP。

所有接口都允许所有规则，我没有使用任何物理交换机，这是一个 VMware Workstation 设置，我有一个 Windows VM 和 OPNsense VM。

父 VLAN 接口

服务器 VLAN

服务器 Ping 失败

em3 上的 tcpdump 显示以下内容

root@firewallwm:~ # tcpdump -e -n -i em3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em3, link-type EN10MB (Ethernet), capture size 262144 bytes
18:26:52.651787 00:0c:29:ae:a2:10 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 192.168.28.35 tell 192.168.28.47, length 46
18:26:53.316297 00:0c:29:ae:a2:10 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 192.168.28.35 tell 192.168.28.47, length 46
18:26:54.316412 00:0c:29:ae:a2:10 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 192.168.28.35 tell 192.168.28.47, length 46

我检查了非设备的 MAC 地址为00:0c:29:ae:a2:10。

防火墙设置

视窗虚拟机

背景：连接到 VLAN 感知交换机的路由器 (ER-X) 在路由器中，我设置了我的 VLAN 和允许 VLAN 之间流量的规则。

问：交换机设置了 PVID。如果我在同一 VLAN 中的交换机上的两个设备之间有流量，该流量是留在 SWITCH 中还是需要上行到路由器？

真正的原因是我的 ER-X 安装了线罩。启用硬件卸载后，wireguard 非常慢（也许这是一个错误），但我可以在我的网络中获得千兆位速度。当硬件卸载被禁用时，wireguard 正常工作，但我的网络只能获得大约 1/3 千兆位的速度。我想知道安装如上所述的 VLAN 感知交换机是否可以让我在网络上实现千兆速度，同时在我的 ER-X 上禁用硬件卸载。

是否可以设置一个 dnsmasq 实例来处理多个 vlan？

我有3个vlan

10.0.4.0/24 - guest wifi
10.0.10.0/24 - user network
10.0.50.0/24 - private mission critical network

我想使用 DNSMasq 来处理所有 3 个网络的 dns 缓存和 dhcp 服务。

我想我会把它放在 10.0.10.0/24 网络中并允许从所有 3 个网络访问它。UFW 只允许相应端口上的流量用于 DNS 和 DHCP 以及来自 10.0.50.0/24 网络的 ssh。

我在虚拟机上的 Ubuntu 18.04 上运行它。我有很多需要远程访问的机器，记住 ips 变得很痛苦。我在 vm 主机上安装了一个专用网卡，让这个 vm 可以无标记地访问 10.0.10.0/24 网络。

我让它工作了一段时间，但 vlaning 很奇怪。好像 vlan 随机中断。我在安装操作系统时设置了它。

我应该为 vm 和 vlan 的所有 3 个网络使用不同的卡吗？或者在所有 3 个网络上运行一个实例并让一个主实例处理我的所有设置，然后让其他实例镜像 dns 会更好吗？我想我必须分别登录才能设置 dhcp。

最好的方法是什么？

所以我家里有一个由我的 ISP 提供的 Arris Technicolor TG2472 电缆调制解调器。调制解调器具有 WAN IP AAAA 和用于默认网关的内部 IP 地址 192.168.0.1。调制解调器设备还有 4 个以太网端口。连接到我有一个 Cisco 2911 ISR 路由器的以太网端口之一，所以它的调制解调器端口 E1 到 2911 g0/0，g0/0 IP = 192.168.0.200。2911 端口 g0/1 作为中继端口连接到 Cisco 3750 交换机 g4/0/2 端口。此交换机定义多个 vlan，2911 路由器通过其子接口 g0/1.10、g0/1.20 和 g0/1.99 提供 inter-vlan 路由。

从路由器，我能够成功地 ping 有线调制解调器网关地址 192.168.0.1。但是，我无法从我的一个 vlan 上的任何设备 ping 同一个网关地址，而且我也无法从这些设备访问互联网，尽管我能够 ping 同一个 vlan 上的其他设备。

我的 2911 上的路由表包含到所有 vlan 和 192.168.0.1 网络的路由。以及将流量发送到调制解调器网关的默认路由。我相信我的问题来自电缆模式，它没有返回任何 vlan 的路由并且不知道它们的存在。所以我认为，当 vlan 上的设备发送 ping 或 web 请求时，通过路由器进入 192.168.0.0/24 网络一切正常，直到在回程中，电缆调制解调器看到一个发往某个地址的数据包（例如 172.16.0.43/24）属于其中一个 vlan 上的设备，并认为因为该地址不在 192.168.0.0/24 上，所以它应该将数据包发送出 WAN 链接。

这个电缆调制解调器不允许我添加静态路由（我不相信这真的是调制解调器的功能是吗？）所以我想知道是否有其他设备可以用作替代品（提供我的服务通过来自 COX 电缆的同轴电缆）或某种类型的解决方法，以允许我的 2911 作为两个网络的路由器