关于vlan的各种问题

Various questions about vlan's

我有一些关于 vlan 的问题。我知道这个论坛更适合编程而不是网络,但这是我能想到的最好的论坛。

所以我所有的问题都是关于 vlan 的。他们来了:

  1. 一个 vlan 的 IP 地址开头是否可以与另一个不同(例如 vlan 1=192.168.2.xx、vlan 2=10.0.0.x)?
  2. 不同vlan的设备可以有相同的ipadress吗?
  3. 你能否在 vlan 之间打一个“洞”,以便一些设备(由你选择,例如使用静态 ip 地址)仍然可以相互通信(例如 vlan 1 上的文件服务器仍然可以与vlan 2 上的打印机)?
  4. 你能为不同的 vlan 使用不同的 dns 服务器吗?
  5. 你能为不同的 vlan 设置不同的防火墙吗?作为管理员,您如何“选择”要更改的防火墙?
  6. 你能有 wifi vlan 吗(比如你的家庭 wifi 的 vlan 和你的访客 wifi 的 vlan)
  7. 你能从每个 vlan 访问路由器设置 (192.168.1.1) 吗?
  8. 当我连接到网络时,如何分配到一个 vlan?是否有类似“如果有人连接到网络,它会自动转到 vlan 1,直到管理员将他们移动到不同的 vlan”?
  9. 你能不能给一个vlan加上密码,这样你就必须输入密码才能改变vlan的?
  10. 用户(不是网络管理员)能否选择更改 vlan(因为这样问题 8 就相关了)?
  11. 端口转发如何与 vlan 一起工作?
  12. 如果您从外部访问网络(例如黑客或其他人),您会自动“重定向”到标准 vlan (1) 还是最终会进入您第一次访问的“交叉路口”选择你想去的vlan?
  13. 你能不能在交换机上做一个端口同时对每个vlan有特殊的访问权限(仅供网络管理员使用)(所以对于那个以太网端口,网络只是一个大网络而不是划分的vlan) (这会与问题 2 相矛盾,因为那样你会有两个具有相同 IP 地址的设备)?
  14. 你能不能有一个连接了设备的网络端口,每个 vlan(例如打印机)都可以访问它?这是否危险,因为黑客可能会访问该设备并使用它在 vlan 之间跳转?

就是这样。我知道有很多问题,但我希望你至少能帮助解决一些问题。问题是,youtube 视频总是只是解释 vlan 是独立的网络,但我想知道:“它们有多独立?”您会看到几乎每个问题都是关于“它们到底有多分离?”

希望对您有所帮助!

谢谢

希望这会回答您的问题

VLAN 就像电缆中的独立电缆,它们之间不会混合或干扰

答案:

  1. 是的。如上所述

  2. 是的,但这不是好的做法,因为您在 VLAN 设置期间可能会出错,从而导致安全漏洞或 IP 冲突

  3. 不是直接的,但这可以通过 VLAN 之间的 gateway/router 完成,所有流量都必须通过 GW(简单方法)

  4. 是的,通常你会这样做。例如你有:

    VLAN 10:子网 192.168.10.0/24;网关 192.168.10.1; DNS 192.168.10.1

    VLAN 20:子网 192.168.20.0/24;网关 192.168.20.1; DNS 192.168.20.1

  5. 是的,这是 common/required 行为。这是通过传入接口(例如 vnet7)、传入子网或传入 IP

    过滤防火墙规则来完成的
  6. 是的。但是设置VLAN有两种方式:

    ACCESS(未标记):VLAN 在输出接口处结束,因此客户端设备不必 support/setup VLAN。实际上client device甚至不知道有一些VLAN

    TRUNK(标签):VLAN(或多个 VLAN)通过接入点路由,客户端设备必须在传入接口上以相同方式配置

    在这种情况下,您需要访问权限

  7. 是的,如果您以这种方式设置防火墙(子网之间的路由)

  8. 如第 6 点所述

  9. 没有。 VLAN只是数字。为了保护您的 VLAN,您必须以每个端口(除非需要 - 例如交换机绑定互连)设置为访问模式的方式设置网络设备,这样只有有权访问网络设备的管理员才能更改客户端设备的 VLAN。或者实现NAC比如packetfence

  10. 作为第 6 点和第 8 点。仅当您的设置允许时

  11. 在 VLAN 内不需要端口转发,因为同一 VLAN 中的所有设备都在同一 L2 网络中

  12. 这里没有简单的答案,这完全取决于您的 VLAN 和防火墙设置

  13. 仅使用 VLAN 无法完成。通常的做法是设置特定的 VLAN(我们称之为管理 VLAN),它在一些物理安全的交换机以太网端口上以访问模式结束,然后在 GW 上使用防火墙和路由来设置跨所有 VLAN 的访问(好吧..不是全部,但需要的) )

  14. 是的,你可以如上所述,但再次使用网关上的防火墙和路由设置

这篇文章很长 :) ... 没空继续聊天