我在一所擁有多個校區的學校工作,我想使用 VLAN 對我的網路進行分段。因此,電話在一個 VLAN 上,印表機在另一個 VLAN 上,等等。這看起來像是某種嵌套的 VLAN,其中有一個用於高中的 VLAN,然後有一個用於高中電話的 VLAN,依此類推。
除了嵌套 VLAN 之外,我還考慮讓中繼只監聽其園區的流量。
這可能嗎?或者,我是否必須為每個園區的每個網段建立一個單獨的 VLAN 空間(例如 HS 印表機、MS 印表機、Elem 印表機等)?我還是個VLAN新手,但正在慢慢學習。
答案1
嵌套 VLAN 是一種東西,但它們就像在隧道內建造隧道一樣,您必須擁有可以支援它的設備(如果需要,還需要許可)。更好的方法是將特定子網路指派給特定園區,然後跨子網路鏡像 VLAN 指派。這將允許跨多個園區使用一致的 VLAN,同時將流量局部化到特定的子網路/園區。它也更乾淨,並且在所有第 2 層交換器上都受到本機支援。
例如
答案2
嵌套 VLAN 並不是真正必要的,而且在您的場景中這太過分了。
您應該在位置之間使用路由鏈接,而不是交換連結。這樣,VLAN 就根本不會跨越位置,從而允許您重複使用它們的 ID。但是,我不建議這樣做 - 通常最好不要重複 VLAN ID,而是使用通用方案。
例如,出於相同目的,您可以在位置 1 上使用 VLAN 110,在位置 2 上使用 VLAN 210。這樣,你可以如果有必要,可以跨地點使用通用的 VLAN 計劃。對不同的子網路使用重複的 ID 會迫使您重新對 VLAN 進行編號,這並不是什麼有趣的事情。
關於最好按校園細分- 你不應該這樣做,因為它很好或因為你可以。你應該這樣做提高網路安全。規劃不同的安全區域 - 例如 VoIP、實體安全(電子門、警報系統)、伺服器、儲存、員工存取、學生存取、物聯網設備…並使用 VLAN 來分隔這些區域。在區域之間配置嚴格的防火牆規則以控制區域之間的路由。首先預設拒絕所有流量,實際上只需要允許。記錄好。