.png)
Ich möchte aus Sicherheitsgründen einige LAN-Hosts trennen.
Die meisten Hosts müssen jedoch mit einem oder mehreren gemeinsamen Servern kommunizieren: – Internet-Gateway – DHCP+DNS-Server – Dateiserver – …
Ich könnte VLANs definieren und jeden Server einem (oder mehreren?) VLANs beitreten lassen.
F: Benötige ich einen Layer-3-Switch (z. B. Cisco SG250) oder gibt es eine Option, einen Layer-2-Switch (Cisco SG200) zum Laufen zu bringen?
Zumindest hat das Internet-Gateway keine VLAN-Option, daher ist die Einrichtung des Gateway-Ports als TRUNK keine Option. Dasselbe gilt für die meisten anderen Maschinen wie DHCP-Server.
Ich denke, Layer-2 reicht nicht aus. Vielleicht könnte ich einen Switch-Port zum Mitglied mehrerer VLANs machen (?), aber selbst wenn das funktioniert, gelangt zumindest die Nachricht vom DHCP-Server (oder Gateway) nicht zu den Hosts zurück, wenn sie sich in unterschiedlichen VLANs befinden.
Wenn Layer 3 meine Lösung ist: Bedeutet das, dass ich für jedes VLAN ein anderes Subnetz einrichten und eine Routing-Regel erstellen muss?
Antwort1
Einfach ausgedrückt: Wenn Sie mehrere VLANs haben und zwischen ihnen kommunizieren möchten, benötigen Sie ein Layer-3-Gerät. Wenn dies ein Switch wäre, würden Sie für jedes VLAN eine Switch Virtual Interface (SVI) erstellen, ihm eine IP-Adresse zuweisen und das Routing aktivieren. Dies wäre ein Gateway für Ihre Endgeräte. Jedes VLAN wäre ein anderes Subnetz.
Wenn Sie einen Router verwenden möchten, sollten Sie sich das Router-on-a-Stick-Design ansehen. Sie können versuchen, ein Routing-Gerät oder etwas Ähnliches zu installieren, wenn Sie von Hardwarelösungen wegkommen möchten.
Hoffentlich hilft das.
Grüße, Rey
Antwort2
Ein Layer-2-Switch kann keine Verbindung über VLANs hinweg herstellen. Er kann Edge-Geräte nur mit einem VLAN (oder mit mehreren VLANs mit einem Trunk-Port) verbinden.
Sie benötigen einen Layer-3-Switch oder Router, um die Inter-VLAN-Kommunikation zu ermöglichen. Stellen Sie sicher, dass er die richtigen ACLs oder Firewall-Regeln unterstützt, wenn Sie die Kommunikation steuern müssen.
Das Internet-Gateway und die Clients können sich in unterschiedlichen VLANs befinden: Die Clients verwenden den Zwischenrouter als Standard-Gateway und dieser verwendet wiederum das Internet-Gateway als Standard.
Für DHCP können Sie Hilfsadressen auf den Switches einrichten (einige L2 unterstützen dies auch), sodass sie DHCP-Anfragen an den DHCP-Server in einem anderen VLAN weiterleiten.
Wenn Layer 3 meine Lösung ist: Bedeutet das, dass ich für jedes VLAN ein anderes Subnetz einrichten und eine Routing-Regel erstellen muss?
Genau. Jedes Subnetz befindet sich in seinem eigenen VLAN und ein Router oder L3-Switch routet zwischen den Subnetzen. Regeln auf dem Router erlauben oder verweigern die gewünschte bzw. nicht gewünschte Kommunikation.