Различные вопросы о vlan

У меня есть несколько вопросов о vlan. Я знаю, что этот форум больше для программирования, чем для общения в сети, но это лучший форум, который я мог придумать.

Так что все мои вопросы о вланах. Вот они идут:

  1. Может ли один vlan иметь другое начало IP-адреса, чем другой (например, vlan 1 = 192.168.2.xx, vlan 2 = 10.0.0.x)?
  2. Могут ли устройства иметь один и тот же IP-адрес, когда они находятся в разных vlan?
  3. Можете ли вы сделать дыру между вланами, чтобы несколько устройств (выбранных вами, например, использующих статические IP-адреса) все еще могли общаться друг с другом (например, файловый сервер в vlan 1 все еще мог общаться с принтером в vlan 2)?
  4. У вас могут быть разные DNS-серверы для разных vlan?
  5. У вас могут быть разные настройки брандмауэра для разных vlan? Как вы выбираете, какой брандмауэр вы хотите изменить в качестве администратора?
  6. Можете ли вы иметь Wi-Fi vlan (например, vlan для вашего домашнего Wi-Fi и vlan для вашего гостевого Wi-Fi)
  7. Можете ли вы получить доступ к настройкам маршрутизаторов (192.168.1.1) из каждого vlan?
  8. Когда я подключаюсь к сети, как мне назначить влан? Есть ли что-то вроде того, что если кто-то подключается к сети, он автоматически переходит на влан 1, пока админ не переведет их в другой влан?
  9. Можете ли вы поставить пароль на влан, чтобы вам нужно было вводить пароль для смены влана?
  10. Может ли пользователь (то есть не сетевой администратор) выбрать переход из vlan (потому что тогда будет актуален вопрос 8)?
  11. Как работает переадресация портов с vlan?
  12. Если вы получаете доступ к сети извне (например, хакер или кто-то еще), вы автоматически перенаправляетесь на стандартный влан (1) или вы попадаете на перекресток, где вам сначала нужно выбрать влан, в который вы хотите перейти? ?
  13. Можете ли вы сделать порт на коммутаторе, который имеет специальный доступ к каждой vlan одновременно (только для администратора сети) (так что для этого порта Ethernet сеть представляет собой одну большую сеть вместо разделенных vlan) (это противоречит вопросу 2 как тогда у вас будет два устройства с одинаковым ip адресом)?
  14. Можете ли вы иметь сетевой порт с подключенным к нему устройством, которое будет доступно для каждого vlan (например, принтера)? Опасно ли это, потому что хакер, вероятно, может получить доступ к этому устройству и использовать его для перехода между вланами?

Вот и все. Я знаю, что есть много вопросов, но я надеюсь, что вы можете помочь хотя бы с некоторыми. Дело в том, что видео на YouTube всегда просто объясняет, что вланы — это отдельные сети, но я хочу знать: насколько они разделены? Вы видите, что почти каждый вопрос касается того, насколько они отделены друг от друга?

Я надеюсь, что вы можете помочь!

Спасибо


networking vlan
person Cas    schedule 18.02.2021    source источник

Ответы (1)


arrow_upward
0
arrow_downward

надеюсь, это ответит на ваши вопросы

VLAN похожи на отдельные кабели внутри кабеля, и они не смешиваются и не мешают друг другу.

Ответы:

  1. Да. Как указано выше

  2. Да, но это не очень хорошая практика, потому что вы можете ошибиться в настройках VLAN, что приведет к ошибкам безопасности или коллизиям IP-адресов.

  3. Не напрямую, но это можно сделать через шлюз/маршрутизатор между VLAN, и весь трафик должен проходить через GW (простой способ)

  4. Да, и обычно вы это делаете. Например, у вас есть:

    VLAN 10: подсеть 192.168.10.0/24; ГВ 192.168.10.1; DNS 192.168.10.1

    VLAN 20: подсеть 192.168.20.0/24; ГВ 192.168.20.1; DNS 192.168.20.1

  5. Да, это обычное/обязательное поведение. Это делается путем фильтрации правила брандмауэра по входящему интерфейсу (например, vnet7), входящей подсети или входящему IP-адресу.

  6. Да. Но есть два способа настройки VLAN:

    ДОСТУП (без тега): VLAN завершается на выходном интерфейсе, поэтому клиентскому устройству не нужно поддерживать/настраивать VLAN. На самом деле клиентское устройство даже не знает, что есть какой-то VLAN

    ТРАНК (тег): VLAN (или несколько VLAN) маршрутизируются через точку доступа, и клиентское устройство должно быть настроено таким же образом на входящем интерфейсе.

    Доступ - это то, что вам нужно в этом случае

  7. Да, если вы настроите брандмауэр таким образом (маршрутизация между подсетями)

  8. Как поясняется в пункте 6

  9. Нет. VLAN — это просто номер. Чтобы защитить свои вланы, вы должны настроить сетевые устройства таким образом, чтобы каждый порт (если это не требуется - например, соединение коммутаторов связи) был установлен в режиме ДОСТУП, поэтому только администратор с доступом к сетевому устройству может изменить VLAN для клиентского устройства. Или внедрить NAC, например, packagefence

  10. Как в пунктах 6 и 8. Только если ваши настройки позволяют

  11. Внутри VLAN перенаправление портов не требуется, поскольку все устройства в одной VLAN находятся в одной сети L2.

  12. Здесь нет простого ответа, все зависит от настроек вашей VLAN и брандмауэра.

  13. Невозможно сделать только с VLAN. Обычной практикой является настройка конкретной VLAN (давайте назовем ее VLAN управления), которая завершается в режиме ACCESS на некотором физически защищенном порту Ethernet коммутатора, а затем использование брандмауэра и маршрутизации на GW для настройки доступа через все VLAN (ну... не все, кроме необходимых). )

  14. Да, вы можете, как указано выше, но опять же, используя настройки брандмауэра и маршрутизации на шлюзе.

Этот длинный :) ... продолжил в чате

person Facty    schedule 19.02.2021
comment
Огромное спасибо. То, как вы это объяснили, было очень легко понятно! Теперь я это полностью понимаю. - person Cas; 21.02.2021