出於安全原因,我想隔離一些 LAN 主機。
但大多數主機需要與一個或更常見的伺服器通訊: - Internet 網關 - DHCP+DNS 伺服器 - 檔案伺服器 - ...
我可能會定義 VLAN 並讓每台伺服器加入一個(或多個?)VLAN。
Q:我是否需要第 3 層交換器(例如 Cisco SG250),或者是否可以選擇讓第 2 層交換器(Cisco SG200)運作。
至少網際網路閘道沒有 VLAN 選項,因此無法將網關連接埠設定為 TRUNK。對於大多數其他機器(例如 DHCP 伺服器)也是如此。
我想 Layer-2 還不夠。也許我可以讓一個交換器連接埠成為多個 VLAN 的成員(?),但即使這有效,至少來自 DHCP 伺服器(或網關)的訊息不會回到位於不同 VLAN 上的主機。
如果第 3 層是我的解決方案:這是否意味著我必須為每個 VLAN 設定不同的子網路並建立一些路由規則?
答案1
簡而言之 - 如果您想要擁有多個 VLAN 並在它們之間進行通訊 - 您需要一個第 3 層設備。如果是交換機,您將為每個 VLAN 建立一個交換器虛擬介面 (SVI),為其指派 IP 位址並啟用路由。這將是您的終端設備的網關。每個 VLAN 都是一個不同的子網路。
如果您想使用路由器,您應該檢查路由器棒設計。如果您想擺脫硬體解決方案,您可以嘗試安裝一些路由設備或類似的設備。
希望有幫助。
問候,雷伊
答案2
二層交換器不能跨VLAN連線。它只能將邊緣設備連接到一個 VLAN(或透過一個中繼連接埠連接到多個 VLAN)。
您需要三層交換器或路由器來實現 VLAN 間通訊。如果您需要控制通信,請確保它支援正確的 ACL 或防火牆規則。
Internet 閘道器和用戶端可以位於不同的 VLAN 上:用戶端使用中間路由器作為預設網關,而中間路由器又使用 Internet 閘道作為預設閘道。
對於 DHCP,您可以在交換器上設定輔助位址(某些 L2 也支援此功能),以便它們將 DHCP 請求路由到另一個 VLAN 上的 DHCP 伺服器。
如果第 3 層是我的解決方案:這是否意味著我必須為每個 VLAN 設定不同的子網路並建立一些路由規則?
確切地。每個子網路都位於其自己的 VLAN 中,並且路由器或 L3 交換器在子網路之間進行路由。路由器上的規則允許或拒絕您想要或不想要的通訊。