.png)
Quero separar alguns hosts da LAN por motivos de segurança.
Mas a maioria dos hosts precisa se comunicar com um ou mais servidores comuns: - Gateway de Internet - Servidor DHCP+DNS - Servidor de arquivos - ...
Posso definir VLANs e permitir que cada servidor ingresse em uma (ou mais?) VLAN.
P: Preciso de um switch de Camada 3 (por exemplo, Cisco SG250) ou existe uma opção para fazer um switch de Camada 2 (Cisco SG200) funcionar.
Pelo menos o Internet Gateway não tem opção de VLAN, portanto, tornar a porta do gateway TRUNK não é uma opção. O mesmo se aplica à maioria das outras máquinas, como o servidor DHCP.
Acho que a Camada 2 não é suficiente. Talvez eu pudesse tornar uma porta de switch membro de várias VLANs (?), Mas mesmo que isso funcione, pelo menos a mensagem do servidor DHCP (ou gateway) não retornará aos hosts se eles estiverem em VLANs diferentes.
Se a camada 3 for minha solução: isso significa que preciso configurar uma sub-rede diferente para cada VLAN e criar alguma regra de roteamento?
Responder1
Em palavras simples - se você deseja ter várias VLANs e conversar entre elas - você precisa de um dispositivo de camada 3. Se fosse um switch, você criaria uma Switch Virtual Interface (SVI) para cada VLAN, atribuiria a ela um endereço IP e ativaria o roteamento. Este seria um gateway para seus dispositivos finais. Cada VLAN seria uma sub-rede diferente.
Se você quiser usar um roteador, verifique o design do roteador em um stick. Você pode tentar instalar algum dispositivo de roteamento ou algo parecido se quiser abandonar as soluções de hardware.
Espero que ajude.
Atenciosamente, Rey
Responder2
Um switch de camada 2 não pode se conectar entre VLANs. Ele só pode conectar dispositivos de borda a uma VLAN (ou a várias VLANs com uma porta de tronco).
Você precisa de um switch de camada 3 ou de um roteador para permitir a comunicação entre VLANs. Certifique-se de que ele suporta ACLs ou regras de firewall adequadas se você precisar controlar a comunicação.
O gateway da Internet e os clientes podem estar em VLANs diferentes: os clientes usam o roteador intermediário como gateway padrão e este, por sua vez, usa o gateway da Internet como padrão.
Para DHCP, você pode configurar endereços auxiliares nos switches (alguns L2 também suportam isso) para que eles roteem solicitações DHCP para o servidor DHCP em outra VLAN.
Se a camada 3 for minha solução: isso significa que preciso configurar uma sub-rede diferente para cada VLAN e criar alguma regra de roteamento?
Exatamente. Cada sub-rede reside em sua própria VLAN e um roteador ou switch L3 roteia entre as sub-redes. As regras do roteador permitem ou negam a comunicação que você deseja ou não.