まず、私はまったくの初心者です。私のVLANエクスペリエンスの範囲は、ワイヤレスルーターでゲストネットワークをセットアップすることです。
私は最近、(Untangleを介して)フィルタリングとスロットリングを必要とするパブリックネットワークをセットアップする要求を受け取りました。一方、同じ建物内にワークステーションがあり、無制限にアクセスできる必要があります。
私の質問は、ネットワークを論理的に分離するために、ESXiスイッチやNetgear GS108Eスイッチで何をすべきかです。現在、すべてがno / all / default LANの「赤い」パスを流れています。ワークステーション[w]が「青」のパスを流れ、他のすべてを「赤」のパスに保つ必要があります。私は何十ものVLANの記事を読みましたが、デフォルト/タグ付け/タグなし/ネイティブVLANの概念をクリックさせるものは何もありません。
回答:
802.1qはVLANタギングの技術標準です(http://en.wikipedia.org/wiki/IEEE_802.1Q)。この規格には、イーサネットフレームのヘッダー内に「VLANタグ」を配置することが含まれています。このタグには、トラフィックが属するVLAN IDがタグに含まれているため、両方のデバイスが802.1qタギングを認識する限り、リンクが複数のVLANを伝送することができます。
このようなリンクは、一般に「トランクリンク」または「802.1qトランク」などと呼ばれます。このような環境では、通常、「ネイティブVLAN」の役割が割り当てられた単一のVLANがあります。「タグなしVLAN」という用語もあります。これは、ネイティブVLANがVLANタグなしでトランクリンクを通過する特定のVLANであるためです。このタグがないと、パケットがどのVLANに属しているかを識別する方法がないため、「ネイティブVLAN」として指定できるのは1つのVLANだけであり、この値がトランクの両側で一致することを確認することをお勧めします。
ESXiでは、VLAN IDを使用してポートグループを定義できます。このフィールドを空白のままにする(または0を指定する)と、そのポートグループのトラフィックはVLANタグなしでホストから出力されます。ホストにポートグループが1つしかなく、vSwitchが1つのリンクにのみプラグインしている場合、これは問題ありません。トランクを必要とせずに、そのポートをアクセスポートにするだけだからです。ただし、同じリンク(またはリンクバンドル)で複数のVLANを渡す必要があるため、ホストが接続するスイッチポートでトランキングが構成されていることを確認し、適切なVLAN IDを入力するだけで済みます。 vSwitchポートグループごと。ESXiは、ホストを出るときに、そのポートグループに入るフレームにタグを付けます。
非トランクポートはタグ付きフレームを受け入れない(ドロップされる)ため、スイッチポートを「VLANトランク」または「VLANタグ付け」モードで構成することが重要です。トランクポートはタグ付きフレームを受け入れ、上記の構成でESXiホストからタグ付きフレームを送信します。
私が言うことができることから、図に示すスイッチはこれらすべてをサポートするはずですが、最も直感的ではないか、同じ用語を使用する場合があります。ドキュメントにこだわって、機能するかどうかを確認することをお勧めします。 http://www.netgear.com/business/products/switches/prosafe-plus-switches/GS108E.aspx
ポート1にはVLAN 14がタグ付けされている必要があります。ワークステーションにはVLANの概念がないため、ポート4はVLAN 14グループに属している必要がありますが、VLAN 14はタグなしです。
Netgearスイッチ構成で、ポートベースではなく802.11Qを選択します。もう少し複雑ですが、必要です。
各ポートに必要な数のVLANを設定できますが、タグを解除できるのは1つ(PVIDと呼ばれます)のみです。ポート1のPVIDを1に設定しますが、VLAN 1と14の両方に参加させます。ポート4のPVIDを14に設定し、VLAN 14のみに参加させます。他のすべてのポートはVLAN 1 PVID 1です。
ホストがWindows ESXIベースのマシンを介して適切に通信できる唯一の方法(ESXIからタグ付けされたトラフィックを確認できたが、リターントラフィックがタグなしで表示された-VLANなし)
Windowsで監視モードを有効にしてVLANを削除しないようにする必要がありました
これがどのように行われるかです。レジストリへの1つのエントリとすべてが機能しています。 http://www.intel.com/support/network/sb/CS-005897.htm
拡張機能:
VLANを実験するときのヒント:すべてのスイッチポートをトランク(タグ付きパケットのみを伝送し、他のものを拒否する)またはアクセス(タグなしパケットのみ、およびトランク上の厳密に1つのVLANとの間でタグなしパケットを伝送する)のいずれかにします。不要なポート「モード」を無効にします。
1つのポートでタグ付きとタグなしの混在は、たとえばVOIPネットワークをLANケーブルプラントにシューホーンするのに意味があるかもしれませんが、セキュリティが疑わしい、やや不明瞭なソリューションもあります。vSphereホストで共有されるマルチDMZ「ファブリック」の場合、ほとんどの場合、これは単に悪い習慣です。物理ネットワークポートが非常に不足しているホストでは意味があります(ただし、すべてにタグを付けて、スイッチに処理を任せることができます)。「デフォルトVLAN」を排水サンプと考えてください。そこに何も浸らないでください。