ネットワークインターフェイスVLAN静的アドレス指定

tag-icon tag-icon networking network-interface vlan icmp ip-address
ネットワークインターフェイスVLAN静的アドレス指定

Ubuntu 16.04 Dabianバージョンを使用して静的IPアドレスを設定しようとしました。ネットワークは以下の通りです。

クライアントとHTTPサーバー間でICMP(ping echo)を取得できません。ルータ192.168.1.11と192.168.1.12を介してサーバーとクライアントを接続する方法はありますか?

現在のネットワークインタフェース構成は192.168.1.11と192.168.1.12です。 192.168.0.16と192.168.2.16の間でICMPを使用できますが、192.168.1.12から192.168.0.17まで、192.168.1から192.168.2.1までは使用できません. 7 。 11:

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback


# adding vlan 201 on eno1 - static IP address
auto eno1.201
iface eno1.201 inet static
        address 192.168.1.12
        netmask 255.255.255.0
        vlan-raw-device eno1
        post-up ip route add default dev eno1.201

# Adding vlan 101 on eno1 - Static IP address
auto eno1.101
iface eno1.101 inet static
        address 192.168.2.16
        gateway 192.168.1.10 # switch IP address
        netmask 255.255.255.0
        vlan-raw-device eno1

私のクライアント固定アドレス:

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

auto eno1
iface eno1 inet static
        address 192.168.2.17
        netmask 255.255.255.0
        network 192.168.2.0
        gateway 192.168.2.16

注:IPsecを使用すると、サーバーとクライアントを接続できますが、IPsecを停止すると互いにI​​CMPしません。

編集する: デフォルトのスイッチポートの設定 ここに画像の説明を入力してください。

ベストアンサー1

VLANが有線でどのように機能するかを簡単に説明します。汎用イーサネットパケットには専用のVLAN IDフィールドはありません。一方、VLANパケットは将来の拡張であり、前の形式のすべてのフィールドと次に定義された追加のタグで構成される新しいパケット形式を使用します。802.1Q。したがって、同じ行にタグ付けされていないパケットとタグ付きパケットがある可能性があります。説明は、このパケットが「互いに転送」され、物理接続上に異なる「仮想接続」を形成することです。

もしそうなら、タグ付きポートとタグなしポートを持つVLANグループを定義するときにスイッチは何をしますかVID=100?スイッチが100ポート1-4にタグ付けされたパケットを受信すると、そのパケット(同じタグを含む)をポート1-4(別の番号を含む)に転送し、タグを削除してポート5-6に転送します。ポート 1-4 の他のすべてのタグ付けおよびタグ付けされていないパケットは無視されます。ポート 5-6 でタグ付けされていないパケットを受信すると、タグ付けされていないパケットを 5-6 の他のポートに転送し、そのパケットにタグを付けて100ポート 1-4 に転送します。ポート5-6で受信したタグ付きパケットはすべて無視されます(このVLANの場合)。

同様に、ポート5-6または10-11でタグ付きパケットを受信するVID=201と、201タグ付きパケットは5-6、10-11、およびタグなしの7-9待機の他のポートに転送されます。

しないでくださいどういうわけか異なるVLAN間でパケットを転送します。100ポート1-4でタグ付けされ、受信されたパケットはいいえ201「ポート5-6」にタグを再割り当てし、VLANに転送し、VID=201もう一度タグを付けて 101ポート12-15に転送します。

スイッチに割り当てられたIPアドレスはここではまったく機能しません。スイッチはIPアドレスのないOSIレベル2で動作します。

DHCPの問題もまったく関係がなく、これは純粋にネットワークの問題です。

したがって、現在の設定では、VLAN 100とVLAN 101の間に接続がなく(どこかに定義されているルーティングテーブルがない限り)、完全に独立しているため、サーバーとクライアントは互いにpingできません。

欲しいものを説明できれば達成するネットワーク構成に応じて解決策を参照できます。おおよその意味は次のとおりです。

クライアントとサーバーは常に通信する必要があり、左側のノートブックはクライアントではなくサーバーとのみ通信する必要があり、右側のノートブックはサーバーではなくクライアントとのみ通信する必要があり、ノートブックはIPsecを介してのみ通信する必要があります。すべてのコンピュータにはイーサネットプラグが1つしかありません。

通常、この場合、各「別々の」接続に1つのVLANが使用されるため、各コンピュータは複数のVLANに属します。これは純粋に管理用であり、安全ではありません。 「不良」コンピュータが他のVLANにあるかのように偽装するのを防ぐ方法はありません。したがって、セキュリティ上の問題がある場合は言及してください。

おすすめ記事