Eu quero configurar várias VLANs para poder isolar diferentes tipos de dispositivos uns dos outros. Mais especificamente, quero restringir o que os dispositivos Wi-Fi podem ver ao explorar a rede: por exemplo, eles podem acessar o proxy reverso por meio de HTTP, mas não devem ser capazes de acessar o servidor syslog ou detectar o tráfego SNMP v1/v2, nem devem saber que existe um servidor syslog ou tráfego SNMP em primeiro lugar.
Estou usando os switches inteligentes Netgear ProSafe para configurar as VLANs. Eu tenho:
- Criou a VLAN 6 para fins de teste.
- Defina a porta do switch correspondente para o PVID 6.
- Marcada a associação de VLAN para esta porta como não marcada.
- Garantido que "Admitir todos" os tipos de quadros aceitáveis estejam definidos para todos os dispositivos por enquanto. De acordo com a documentação, isso significa que “frames não marcados e marcados com prioridade recebidos na porta são aceitos e atribuídos o valor do Port VLAN ID para esta porta”.
- Defina o endereço IP de roteamento da VLAN 6 e a máscara para 192.168.252.1/24.
- Garantido que o switch está configurado para ser executado no modo de roteamento.
- Reconfiguração
/etc/network/interfaces
das máquinas de teste.
Aqui está uma visão simplificada da rede:
Eu esperava poder me comunicar entre test2
e test1
, mas esse não é o caso. Atualmente:
test2:~ ping 192.168.252.1
funciona.test2:~ ping 8.8.8.8
não, nem fazping 192.168.1.5
ouping 192.168.1.1
ouping 192.168.1.3
.test1:~ ping 192.168.252.2
não funciona.test2:~ nc -u 192.168.1.5 53
funciona (se 192.168.1.5 estiver no modo de escuta comnc -ul 53
).test1:~ nc -u 192.168.252.2
não funciona.nc
no modo TCP não funciona em nenhuma direção.
A tabela de roteamento exibida pelo switch lista ambas as VLANs na lista de rotas aprendidas, indicando a VLAN correta para cada rota. O mesmo switch exibe o cache ARP que contém os endereços MAC corretos de todas as quatro máquinas.
Que coisas adicionais devo fazer para comunicação entre VLANs?
Parece que o problema não era a configuração, mas algo especial sobre a VLAN 1 (que é a VLAN reservada, usada por padrão).
Na verdade, adicionei uma terceira máquina
test3
e fiz alguns testes. Parece que quando coloco essa terceira máquina em uma terceira VLAN, posso trocar pacotes UDP entre ela etest2
(situada na VLAN 6), mas tenho exatamente os mesmos problemas entretest3
etest1
que tive anteriormente entretest2
etest3
.A solução é, portanto, simplesmente mover todas as máquinas da VLAN 1 para alguma outra VLAN.