Sou bem novo no assunto de redes, então espero conseguir explicar o assunto corretamente.
Tenho uma rede que é um roteador conectado a um switch que tem algumas portas LAN onde os PCs são conectados e 2 APs.
Criei as VLANs 20 e 39. No entanto, quando crio a rede e atribuo a VLAN, por exemplo, 10, 20 ou 40, não consigo mais fazer login na WLAN. Quando não há uma VLAN atribuída à rede WLAN, funciona bem.
Meu objetivo é:
que todas as VLANs, exceto a convidada, podem acessar a impressora, mas as demais VLANs não podem acessar umas às outras, apenas se conectar entre os PCs da VLAN e, claro, à internet.
Meu equipamento é:
- Roteador ISP que está atribuindo DHCP no momento
- Interruptor TP Link Festa FS328GP
- 2 AP TP Link Festa F65
Como fazer isso funcionar?
O TP Link Festa deve permitir roteamento estático entre VLANs. No entanto, você deve configurá-lo.
O primeiro passo é, claro, criar suas VLANs, com suas portas de acesso.
O próximo passo é adicionar uma sub-rede a cada VLAN. Em uma situação SOHO, você normalmente usaria 192.168.10.0/24 para VLAN 10, 192.168.11.0/24 para VLAN 11 e assim por diante, mas a escolha é sua.
Na interface Layer 3 ou seção de configuração de IP, você atribuirá um endereço IP à interface VLAN. A maioria das pessoas usa 192.168.10.1 para a sub-rede VLAN10 etc. Também deve haver um servidor DHCP em algum lugar nessa seção de IP.
E a seguir estão as rotas estáticas. Use o ISP como a rota padrão e configure uma rota entre 192.168.10.0/24 e 192.168.20.0/24 se quiser que essas duas sub-redes se comuniquem. Além disso, configure um caminho de retorno (então de 192.168.20.0/24 para 192.168.10.0/24) também.
Note que esta descrição é baseada no meu conhecimento geral de rede e em um manual para esse switch que eu encontrei. Você ainda precisará de alguns experimentos para fazer isso na vida real.
VLANs não são como grupos de acesso – elas se comportam como LANs completamente separadas, cada uma tendo sua própria sub-rede IP (intervalo de endereços) e, como LANs comuns, elas só podem se comunicar por meio de um roteador/gateway conectando-as. (Os controles de acesso entre VLANs seriam definidos usando as regras de firewall do roteador.)
Para poder usar VLANs, você precisa de um roteador com suporte a VLAN. Ele precisa entender as mesmas tags VLAN 802.1Q que seu switch e APs usam e ter "interfaces VLAN" virtuais para cada tag VLAN que você planeja usar, completas com seus próprios endereços IP, seus próprios pools de endereços DHCP, etc.
A sub-rede IP configurada diretamente na interface "LAN" ou "Ethernet" corresponde à VLAN padrão ou não marcada, enquanto as sub-redes IP configuradas, por exemplo, nas interfaces "VLAN 10" correspondem às VLANs marcadas.
Então, primeiro você configuraria a porta do switch conectada ao roteador para ter todas as VLANs adicionais marcadas, depois criaria as VLANs correspondentes no próprio roteador, depois configuraria a interface "VLAN 10" do roteador como 192.168.10.1/24 e atribuiria DHCP 192.168.10.x, e então repetiria para VLAN 20, VLAN 30, etc. Por fim, você configuraria regras de firewall para permitir acesso à impressora e negar outros acessos entre VLANs.
(Isso não se aplica a switches ou pontos de acesso; eles só precisam de um único endereço IP em uma VLAN para gerenciamento ou configuração, então qualquer endereço 192.168.1.x que eles tenham em sua VLAN não marcada é suficiente.)