好的,所以我对 VLAN 有点陌生,如果这是一个愚蠢的问题,请原谅我。我有一个设置了几个 VLAN 的防火墙:
ID 1:这是主要的,并设置为未标记。这将用作管理 VLAN ID 30:“Guest”,用于不太受信任的设备 ID 40:“iot”,用于我们的 IT 设备。出于 QOS 和安全原因,我希望它们被隔离 ID 50:“受信任”,以便员工访问 LAN 上的特定资源。
我的问题是这个。连接到 VLAN 30 和 50 的大多数设备将是标准工作站,其 NIC 不理解 VLAN 标记。如果我设置基于端口的 VLAN,我仍然必须将它作为标记的 VLAN,因为这就是它在防火墙上的设置方式(防火墙正在运行一个“桥”端口,将所有 4 个 VLAN 传送到第 2 层交换机),当然,只会允许其中一个 VLAN 不加标签地返回。如果我将其设置为标记的 VLAN,则工作站不理解它并提供 169 IP。如果我将其设置为未标记的相同交易 - 我假设防火墙只期望来自这些 VLAN 的标记流量。我在这里想念什么?
上下文:我的防火墙是 Watchguard,我的交换机是 HP Aruba
问题和评论中有一些不太清楚的地方,所以我希望能弄清楚我希望系统链接如何工作(使用 hp aruba 开关)。
在防火墙和交换机之间的链路上(双方的配置):
将 VLAN 1 配置为未标记。
将 VLAN 30/40/50 配置为标记。
在通向“访客”设备的交换机端口上,您可以将这些端口配置为 VLAN 30 上的“未标记”。
假设 'guest' 的端口是端口 1-10(防火墙是端口 50),命令将类似于:
受信任的员工使用的端口也是如此,这些端口将在 VLAN 50 上“未标记”。
该命令
untagged基本上意味着:到达未标记的端口的任何流量都将分配到此 VLAN。