.png)
セキュリティ上の理由から、いくつかの LAN ホストを分離したいと考えています。
しかし、ほとんどのホストは、1 つ以上の共通サーバーと通信する必要があります: - インターネット ゲートウェイ - DHCP+DNS サーバー - ファイル サーバー - ...
VLAN を定義して、各サーバーを 1 つ (または複数) の VLAN に参加させることもできます。
Q: レイヤー 3 スイッチ (例: Cisco SG250) が必要ですか、それともレイヤー 2 スイッチ (Cisco SG200) を動作させるオプションがありますか。
少なくともインターネット ゲートウェイには VLAN オプションがないため、ゲートウェイ ポートを TRUNK にすることはできません。DHCP サーバーなどの他のほとんどのマシンでも同様です。
レイヤー 2 では不十分だと思います。 1 つのスイッチ ポートを複数の VLAN のメンバーにすることはできるかもしれませんが (?)、これが機能したとしても、異なる VLAN 上にあるホストには DHCP サーバー (またはゲートウェイ) からのメッセージは返されません。
レイヤー 3 がソリューションである場合、VLAN ごとに異なるサブネットを設定し、ルーティング ルールを構築する必要があることを意味しますか?
答え1
簡単に言うと、複数の VLAN を用意してそれらの間で通信したい場合は、レイヤー 3 デバイスが必要です。それがスイッチの場合は、各 VLAN にスイッチ仮想インターフェイス (SVI) を作成し、IP アドレスを割り当ててルーティングを有効にします。これはエンド デバイスのゲートウェイになります。各 VLAN は異なるサブネットになります。
ルーターを使用する場合は、Router on a Stick 設計を確認してください。ハードウェア ソリューションを避けたい場合は、ルーティング アプライアンスなどをインストールしてみてください。
お役に立てれば幸いです。
よろしく、レイ
答え2
レイヤー 2 スイッチは、VLAN を越えて接続できません。エッジ デバイスを 1 つの VLAN (またはトランク ポートを使用して複数の VLAN) にのみ接続できます。
VLAN 間通信を有効にするには、レイヤー 3 スイッチまたはルーターが必要です。通信を制御する必要がある場合は、適切な ACL またはファイアウォール ルールをサポートしていることを確認してください。
インターネット ゲートウェイとクライアントは異なる VLAN 上に存在できます。クライアントは中間ルーターをデフォルト ゲートウェイとして使用し、中間ルーターはインターネット ゲートウェイをデフォルトとして使用します。
DHCP の場合、スイッチにヘルパー アドレスを設定して (一部の L2 もこれをサポートしています)、DHCP 要求を別の VLAN 上の DHCP サーバーにルーティングすることができます。
レイヤー 3 がソリューションである場合、VLAN ごとに異なるサブネットを設定し、ルーティング ルールを構築する必要があることを意味しますか?
その通りです。各サブネットは独自の VLAN 内に存在し、ルーターまたは L3 スイッチがサブネット間をルーティングします。ルーターのルールによって、必要な通信または不要な通信が許可または拒否されます。