クロスVLANの可視性

私はどのように私は（Aという名前をつける）別のVLAN（これをBとしましょう）を参照することができます私は私がVLANをAのVLANを参照できないようにしたいです。

私はWindowsサーバのためにこの設定が欲しいので言及します。

VLANは通常の2つの別々のネットワークと同じように機能します。 しない デフォルトではお互いを "見る"ことができ、（両方のVLANが設定されている、おそらく "タグ付けされた"インターフェースとして）ルーターを通してのみ通信できます。そのため、特定の種類の通信を妨げたい場合は、ルーターのファイアウォールルールでそれを行います。

そして、一般的には、あなたは 行う VLAN設定をサポートするスイッチが必要です。 （Windows自体がHyper-V VMのスイッチとして機能している場合にのみ可能です。）エンドホスト上で直接VLANを構成することはおそらくお勧めできません。

（それに加えて、Hyper-Vの「仮想スイッチ」モードを考慮に入れずに、Windows自体は実際にはネイティブのVLAN構成を持っていません。いくつかのドライバはそれを提供します。 すべて VLANタグを無視するパケット... LinuxとBSDはこの点でより柔軟です。）

例えば（これが実際に良いのかどうかわからないが、技術的にはうまくいく）：

• スイッチ：

  • ポート1（タグ付きVLAN 10、20）→ルータ
  • ポート2（タグなしVLAN 10）→サーバ
  • ポート3（タグなしVLAN 20）→デスクトップPC

• ルーター（Linuxの例）

  • インターフェイス "eth0"（タグなし） - なし（管理IP？dunno）
  • インターフェイス "eth0.10"（VLAN 10） - アドレス 192.168.10.1/24
  • インターフェイス "eth0.20"（VLAN 20） - アドレス 192.168.20.1/24
  • からの新しい接続を許可するように設定されたファイアウォール 192.168.10.0/24しかし、それ以外のすべてからの返答しか期待できませんでした。 （Linuxでは、 "FORWARD"チェーンと "-m state"のiptablesになります。）

• サーバ：

  • インタフェース "Ethernet" - アドレス 192.168.10.3/24

• デスクトップPC：

  • インタフェース "Ethernet" - アドレス 192.168.20.7/24