非VLAN兼容设备的VLAN标记

Question

好吧，我对VLANS有点陌生，如果这是个愚蠢的问题，请原谅我。我用几个VLANS设置了防火墙：

ID 1:这是主要的，并设置为无标记。这将用作管理VLAN ID 30：“来宾”用于不受信任的设备ID 40：“物联网”用于我们的it设备。我希望他们隔离的QOS和安全原因ID 50：‘受信任’的工作人员访问特定资源的局域网。

我的问题是这个。连接到VLAN 30和50的大多数设备将是标准工作站，带有不理解VLAN标记的NIC。如果我设置了基于端口的VLAN，我仍然必须将它设置为一个标记的VLAN，因为防火墙就是这样设置在防火墙上的(防火墙正在运行一个“桥接”端口，将所有4个VLAN连接到第二层交换机)，当然，它只允许其中一个VLAN恢复无标记。如果我将它设置为有标记的VLAN，工作站将不理解它，并给出一个169 IP。如果我设置为一个无标记的，同样的交易-我认为防火墙只是期望从那些VLANS标记的流量。我在这里错过了什么？

上下文:我的防火墙是一个监视警卫，我的交换机是HP阿鲁巴。

Answer 1

这里有一些不太清楚的问题，还有一些评论，所以我希望能澄清一下我期望一个系统链接是如何工作的(使用hp阿鲁巴开关)。

在防火墙和交换机之间的链接(双方的配置)上：

将VLAN 1配置为无标记。

将VLAN 30/40/50配置为标记。

在引导“来宾”设备的交换机端口上，您可以在VLAN 30上将这些端口配置为“untagged”。

假设“来宾”的端口为端口1-10 (防火墙为端口50)，则命令如下：

vlan 30
name Guest
tagged 50
untagged 1-10
exit

对于可信的工作人员使用的端口也是如此，这些端口将在VLAN 50上“无标记”。

命令untagged基本上意味着:到达端口的任何未被标记的流量都将被分配给这个VLAN。