.png)
Я хочу разделить некоторые хосты локальной сети по соображениям безопасности.
Но большинству хостов необходимо взаимодействовать с одним или несколькими общими серверами: - Интернет-шлюз - DHCP+DNS-сервер - файловый сервер - ...
Я мог бы определить VLAN и разрешить каждому серверу присоединиться к одной (или нескольким?) VLAN.
В: Нужен ли мне коммутатор уровня 3 (например, Cisco SG250) или есть возможность заставить работать коммутатор уровня 2 (Cisco SG200)?
По крайней мере, у интернет-шлюза нет опции VLAN, поэтому сделать порт шлюза TRUNK не вариант. То же самое касается большинства других машин, таких как DHCP-сервер.
Думаю, Layer-2 недостаточно. Возможно, я мог бы сделать один порт коммутатора членом нескольких VLAN (?), но даже если это сработает, по крайней мере сообщение от DHCP-сервера (или шлюза) не будет возвращаться к хостам, если они находятся в разных VLAN.
Если моим решением является Layer-3: означает ли это, что мне придется настраивать отдельную подсеть для каждой VLAN и создавать какое-то правило маршрутизации?
решение1
Проще говоря, если вы хотите иметь несколько VLAN и общаться между ними, вам нужно устройство уровня 3. Если это будет коммутатор, вы создадите виртуальный интерфейс коммутатора (SVI) для каждой VLAN, назначите ему IP-адрес и включите маршрутизацию. Это будет шлюз для ваших конечных устройств. Каждая VLAN будет отдельной подсетью.
Если вы хотите использовать маршрутизатор, вам следует проверить конструкцию Router on a Stick. Вы можете попробовать установить какое-нибудь устройство маршрутизации или что-то в этом роде, если вы хотите уйти от аппаратных решений.
Надеюсь, это поможет.
С уважением, Рей.
решение2
Коммутатор уровня 2 не может подключаться через VLAN. Он может подключать пограничные устройства только к одной VLAN (или к нескольким VLAN с портом транка).
Вам нужен коммутатор уровня 3 или маршрутизатор для обеспечения связи между VLAN. Убедитесь, что он поддерживает правильные ACL или правила брандмауэра, если вам нужно контролировать связь.
Интернет-шлюз и клиенты могут находиться в разных VLAN: клиенты используют промежуточный маршрутизатор в качестве шлюза по умолчанию, а тот, в свою очередь, использует интернет-шлюз в качестве шлюза по умолчанию.
Для DHCP вы можете настроить вспомогательные адреса на коммутаторах (некоторые L2 также поддерживают это), чтобы они направляли DHCP-запросы на DHCP-сервер в другой VLAN.
Если моим решением является Layer-3: означает ли это, что мне придется настраивать отдельную подсеть для каждой VLAN и создавать какое-то правило маршрутизации?
Точно. Каждая подсеть живет в своей собственной VLAN, а маршрутизатор или коммутатор L3 маршрутизируют между подсетями. Правила на маршрутизаторе разрешают или запрещают связь, которую вы хотите или не хотите.