Разъясните по VLAN
-
Здравствуйте,
Интересуюсь разделением интерфейса LAN на несколько VLAN
То есть сейчас есть интерфейс LAN с определенным диапазоном IP и настроенным DHCP с сеткой IP по MAC адресам.
Нужно сделать VLAN для другого диапазона.
Если я создаю в меню VLAN's OPT1 интерфейс и присваиваю ему тег например 5 и свою подсеть, тогда что случится с сетью, которая на самом адаптере железно? Ведь ее надо тоже перевести в один из OPT интерфейсов. Или я чего-то неправильно понимаю.
Провожу аналогию с Hyper-V который железный адаптер делит на локальную машину (создает ей виртуальный адаптер) и на Hyper-V.
Если все таки нужно переназначить железный LAN на виртуальный для текущей сети, тогда как перенести все статические адреса? Только вручную? -
Если я создаю в меню VLAN's OPT1 интерфейс и присваиваю ему тег например 5 и свою подсеть, тогда что случится с сетью, которая на самом адаптере железно?
С LAN, которая которая на самом адаптере железно не случится ничего. В pfSense просто появится еще один интерфейс - полный аналог того, как если бы добавили еще один физический сетевой адаптер.
Но создать VLAN на pfSense недостаточно. VLAN таким же id (например 5) должен быть создан на свитче, который должен уметь работать с VLAN.
-
Спасибо, по коммутации я это понимаю, и уже все создано. Включая транки между коммутаторами.
Раз ничего не случится, тогда отлично. А то я думал надо будет создавать 2 интерфейса opt, чтобы на железном адаптере было пусто.Просто создам еще один интерфейс с другой подсетью. Теперь второй вопрос. Чтобы новая подсеть увидела сервера из первой подсети, нужно в параметрах фаервола на обоих лан интерфейсах указать подсети и шлюзы друг на друга? Я правильно понимаю?
Режим bridge не подходит, потому как интерфейсов несколько с одним диапазоном и иногда одинаковыми ip. Поэтому надо маршрутизировать именно компы до сервера в основной подсети на интерфейсе lan, а не всю подсеть. -
Присваиваете новому интерфейсу (далее LAN1 - старая сеть, LAN2 - новая сеть) статический IP из отличного от LAN1 диапазона адресов. Он будет шлюзом\DNS для новой сети Lan2 net.
Для взаимной полной видимости сетей достаточно создать по правилу для каждой сети:
IPv4 * LAN1 net * Lan2 net * * none
и
IPv4 * LAN2 net * Lan1 net * * noneШлюзы\маршруты указывать не нужно, т.к. обе сети pfSense знает.
Если нужно управлять доступом LAN1<->LAN2 - редактируете\создаете правила по вкусу.Для LAN2 в Outbound должно автоматом создаться правило для доступа в интернет.
Для разрешения доступа LAN2 в интернет нужно будет добавить правило, аналогичное имеющемуся на Lan1:
IPv4 * LAN2 net * * * * none -
Либо вместо LAN net можно указать конкретный ip до конкретного ip.
Еще вопрос, если в разных виланах будут крутиться одинаковые подсети и одинаковые ip адреса. Есть спец. оборудованиие и монтажники знают только 192.168.0.0/24 подсеть и не хотят настраивать на другой диапазон, поэтому куча оборудования с адресами 192.168.0.3/24 например.
Будет же нехорошо все это, как я понимаю из теории?
Как из опыта можно решить данную проблему?