%EB%A5%BC%20%EB%B6%84%EB%A6%AC%ED%95%98%EA%B8%B0%20%EC%9C%84%ED%95%9C%20%EB%A0%88%EC%9D%B4%EC%96%B4%202%20%EB%98%90%EB%8A%94%20%EB%A0%88%EC%9D%B4%EC%96%B4%203.png)
보안상의 이유로 일부 LAN 호스트를 분리하고 싶습니다.
그러나 대부분의 호스트는 하나 이상의 공통 서버와 통신해야 합니다. - 인터넷 게이트웨이 - DHCP+DNS 서버 - 파일 서버 - ...
VLAN을 정의하고 각 서버가 하나(또는 그 이상?) VLAN에 가입하도록 할 수 있습니다.
Q: 레이어 3 스위치(예: Cisco SG250)가 필요합니까, 아니면 레이어 2 스위치(Cisco SG200)를 작동시킬 수 있는 옵션이 있습니까?
적어도 인터넷 게이트웨이에는 VLAN 옵션이 없으므로 게이트웨이 포트를 TRUNK로 만드는 것은 옵션이 아닙니다. DHCP 서버와 같은 대부분의 다른 시스템에서도 마찬가지입니다.
Layer-2만으로는 충분하지 않은 것 같습니다. 아마도 여러 VLAN(?)의 하나의 스위치 포트 구성원을 만들 수 있지만 이것이 작동하더라도 최소한 DHCP 서버(또는 게이트웨이)의 메시지는 다른 VLAN에 있는 경우 호스트로 돌아오지 않습니다.
레이어 3이 내 솔루션인 경우: 이는 모든 VLAN에 대해 서로 다른 서브넷을 설정하고 일부 라우팅 규칙을 구축해야 함을 의미합니까?
답변1
간단히 말해서, 여러 개의 VLAN을 갖고 이들 사이에 통신하려면 레이어 3 장치가 필요합니다. 스위치인 경우 각 VLAN에 대해 SVI(스위치 가상 인터페이스)를 생성하고 여기에 IP 주소를 할당하고 라우팅을 활성화합니다. 이는 최종 장치를 위한 게이트웨이가 될 것입니다. 각 VLAN은 서로 다른 서브넷이 됩니다.
라우터를 사용하려면 Router on a Stick 디자인을 확인해야 합니다. 하드웨어 솔루션에서 벗어나고 싶다면 라우팅 어플라이언스 등을 설치해 볼 수 있습니다.
도움이 되길 바랍니다.
감사합니다, 레이
답변2
레이어 2 스위치는 VLAN을 통해 연결할 수 없습니다. 에지 장치를 하나의 VLAN(또는 트렁크 포트가 있는 여러 VLAN)에만 연결할 수 있습니다.
VLAN 간 통신을 활성화하려면 레이어 3 스위치 또는 라우터가 필요합니다. 통신을 제어해야 하는 경우 적절한 ACL 또는 방화벽 규칙을 지원하는지 확인하세요.
인터넷 게이트웨이와 클라이언트는 서로 다른 VLAN에 있을 수 있습니다. 클라이언트는 중간 라우터를 기본 게이트웨이로 사용하고, 중간 라우터는 인터넷 게이트웨이를 기본값으로 사용합니다.
DHCP의 경우 스위치(일부 L2도 이를 지원함)에 도우미 주소를 설정하여 DHCP 요청을 다른 VLAN의 DHCP 서버로 라우팅할 수 있습니다.
레이어 3이 내 솔루션인 경우: 이는 모든 VLAN에 대해 서로 다른 서브넷을 설정하고 일부 라우팅 규칙을 구축해야 함을 의미합니까?
정확히. 각 서브넷은 자체 VLAN에 있으며 라우터 또는 L3 스위치는 서브넷 사이를 라우팅합니다. 라우터의 규칙은 사용자가 원하거나 원하지 않는 통신을 허용하거나 거부합니다.