VLANS共享网关端口-如何阻止VLANs之间的互联网流量？

Question

我的VLAN有问题，看不到光明：

为了简化，我将讨论2 VLAN而不是10+。在L2交换机中，我有VLAN 100和VLAN 200。使用802.1Q VLAN：

• VLAN 1(所有端口系统-VLAN-管理VLAN).
• VLAN 100 (端口4,6 -连接到计算机，端口15连接到路由器).
• VLAN 200 (端口10,12 -连接到计算机，15端口连接到路由器).

端口配置为：

• 端口4,6 (一般无标记- PVID 100)
• 端口10,12 (一般无标记- PVID 200)
• 端口15 (一般无标记- PVID 1)。

结果是正确的:我在所有端口都有互联网，无法在VLAN之间进行通信。从港口1到港口4,6或10,12.港口4，6- 10-12之间没有通信.是的，我在4,5和10-12之间。所以现在一切都很好。

我的问题是：-我用port10 (VLAN200)连接一台pc (10.20.30.187)，并启动wireshark寻找ICMP。-一台膝上型计算机(10.20.30.190)连接在端口4 (VLAN 100)上，我启动一个ping到8.8.8.8。->在VLAN 200的PC机中，我可以看到从8.8.8.8发送到笔记本的所有数据包(10.20.30.187)。我看不到从PC发送的数据包，因为在另一个VLAN中的源，但是可以看到互联网的响应。

由于所有的VLAN都通过VLAN 15，而路由器不理解VLAN'，我能不能将这种流量从因特网分离到VLAN，并避免这种情况呢？我一直在想ACL，但我什么也没想到。已经有几天了.我甚至尝试了一个“愚蠢”的东西，比如创建一个扩展的ACL，拒绝从PC IP到膝上型计算机IP之间的通信，但当然，源IP是8.8.8.8。

你们有什么想法吗？

我一直在查看这个论坛(一些例子：VLANS和公共/私人交通 VLAN将数据发送到它不需要的端口 本地VLAN通用端口上的标记数据包 802.1qVLAN回波应答不包括VLAN)，当然还有很多其他的，但是似乎没有人遇到这种情况，或者已经知道如何解决它，所以不需要问。希望你能给我一个解决办法。

非常感谢。向葡萄牙人问好。

首先，谢谢你的回答。

因此，将流量从internet分离到任何VLAN的唯一方法是使用带有VLAN的路由器。但还有其他的可能性吗？也许是ACL？我想学这个，因为这是我喜欢的东西，但我一直在寻找，也找不到类似的东西。不使用带VLAN的路由器，因为我家里没有;-)

以防万一，让我重新解释一下情况:我必须说，对我的VLAN的描述并不是实际的场景。到目前为止，我一直在使用VLAN来区分部门间的通信。最近，一位同事使用L2交换机将几个与公共IP的互联网连接分发到各个办事处。因此，在24端口L2交换机中，他使用连接到路由器的端口24 (在这个设备上没有具体信息)，在那里他从ISP接收大约20个公共IP。所以他用端口2 +24创建了VLAN 20。Vlan 20端口3+24等。当他的办公室需要互联网连接时，他会从端口2、3或4等部署以太网电缆到安装在办公室中的路由器。所以每个办公室都有自己的网络，没有人能看到对方。所以他相信一切都是分开的。这个想法对我来说是陌生的，所以我在家里建立了一个小场景。我有一个SG3216 TP-链路交换机，一个ADSL (端口15-192.168.100.0/24)和一个4G路由器(端口16-192.168.200.0/24)。我有VLAN 100端口4,6,15,16 (一般未标记)和vlan 200，端口10,12,15,16 (一般无标记)。VLAN正在正常工作。VLAN之间没有流量，但它们都有internet。(我已经在不同的VLAN中使用了相同范围的IP，并且没有通信)。但是问题是使用Wireshark，我可以捕获从互联网到任何VLAN的所有流量。我无法捕获从其他VLAN到互联网的流量。

如果有人知道使用什么，以避免看到从互联网到VLAN而不是你的数据，我很感激。非常感谢。

Answer 1

您需要一个路由器，它可以接收VLAN标记的流量，并且可以在VLAN网络之间进行路由。然后，将交换机中的路由器端口设置为标记的VLAN模式，并在那里分配您想要的VLAN。

另一种选择是为路由器中的每个网络添加一个以太网接口，并将这些接口连接到交换端口，然后这些端口位于它们自己的网络中。

只有这两种方式才能正确实现VLAN网络。