.png)
Quiero separar algunos hosts de LAN por razones de seguridad.
Pero la mayoría de los hosts necesitan comunicarse con uno o más servidores comunes: - Puerta de enlace de Internet - Servidor DHCP+DNS - Servidor de archivos - ...
Podría definir VLAN y permitir que cada servidor se una a una (¿o más?) VLAN.
P: ¿Necesito un conmutador de Capa 3 (por ejemplo, Cisco SG250) o existe una opción para hacer que funcione un conmutador de Capa 2 (Cisco SG200)?
Al menos Internet Gateway no tiene opción de VLAN, por lo que hacer que el puerto de puerta de enlace sea TRUNK no es una opción. Lo mismo ocurre con la mayoría de las otras máquinas, como el servidor DHCP.
Supongo que la Capa 2 no es suficiente. Quizás podría hacer que un puerto de conmutador sea miembro de varias VLAN (?), pero incluso si esto funciona, al menos el mensaje del servidor DHCP (o puerta de enlace) no volverá a los hosts si están en diferentes VLAN.
Si Layer-3 es mi solución: ¿Significa esto que tengo que configurar una subred diferente para cada VLAN y crear alguna regla de enrutamiento?
Respuesta1
En palabras simples: si desea tener varias VLAN y comunicarse entre ellas, necesita un dispositivo de capa 3. Si fuera un conmutador, crearía una interfaz virtual de conmutador (SVI) para cada VLAN, le asignaría una dirección IP y habilitaría el enrutamiento. Esta sería una puerta de entrada para sus dispositivos finales. Cada VLAN sería una subred diferente.
Si desea utilizar un enrutador, debe marcar el diseño Enrutador en un Stick. Puede intentar instalar algún dispositivo de enrutamiento o algo así si desea alejarse de las soluciones de hardware.
Espero que ayude.
Saludos Rey
Respuesta2
Un conmutador de capa 2 no se puede conectar a través de VLAN. Solo puede conectar dispositivos perimetrales a una VLAN (o a varias VLAN con un puerto troncal).
Necesita un conmutador de capa 3 o un enrutador para habilitar la comunicación entre VLAN. Asegúrese de que admita las ACL o reglas de firewall adecuadas si necesita controlar la comunicación.
La puerta de enlace de Internet y los clientes pueden estar en VLAN diferentes: los clientes usan el enrutador intermedio como puerta de enlace predeterminada y éste a su vez usa la puerta de enlace de Internet como predeterminada.
Para DHCP, puede configurar direcciones auxiliares en los conmutadores (algunos L2 también lo admiten) para que enruten las solicitudes DHCP al servidor DHCP en otra VLAN.
Si Layer-3 es mi solución: ¿Significa esto que tengo que configurar una subred diferente para cada VLAN y crear alguna regla de enrutamiento?
Exactamente. Cada subred vive en su propia VLAN y un enrutador o conmutador L3 enruta entre las subredes. Las reglas del enrutador permiten o niegan la comunicación que desea o no desea.