配置 VLAN/IP 网络以确保安全性和性能

配置 VLAN/IP 网络以确保安全性和性能

我对网络的理解水平还处于初级阶段,所以请耐心等待。

我家里安装了多款 Ubiquiti 产品 - USG(路由器)、USW(交换机)和 UAP-AC(wap)。我想创建多个网络(管理、客户端、存储、VoIP 和访客)。

我有两台服务器将提供 DHCP 和 DNS 服务。

我写了以下内容:

VLAN  0 (10.0.0.0/24)  - unmanaged
VLAN 10 (10.0.10.0/24) - client
VLAN 20 (10.0.20.0/24) - guest
VLAN 30 (10.0.30.0/24) - storage
VLAN 40 (10.0.40.0/24) - management
VLAN 50 (10.0.50.0/24) - VoIP 

VLAN 20 不能与任何其他 VLAN 通信。

VLAN 30 适用于我的 iSCSI 网络,从我的存储阵列到每个服务器主机上的专用以太网端口。这样,任何客户端都无法直接看到我的存储阵列。他们将通过主机上的文件共享访问文件,从而获取来自存储阵列的数据。

以下是我的问题:

我是否将路由器放在非托管网络上?即 10.0.0.1 我的路由器属于哪个子网?即 255.255.255.0

每个 VLAN(10-50)使用哪些子网?

每个 VLAN(存储除外)都需要 Internet 访问才能下载更新/补丁。如何确保它们可以访问 Internet?

我的 DNS/DHCP 服务器属于哪个 IP/子网?10.0.0.0/24 还是 10.0.10.0/24?DHCP 服务将出租 VLAN 10 和 VLAN 20 的地址。

答案1

我是否将路由器放在非托管网络上?即 10.0.0.1

据我所知,使用专用的“管理”VLAN 是一种常见的安全措施。

我的路由器属于哪个子网?即 255.255.255.0

每个 VLAN(10-50)使用哪些子网?

…你没有只是自己写一下每个 VLAN 都有一个/24子网?

因此 VLAN 40 将使用10.0.40.0/24aka10.0.40.0/255.255.255.0子网,就像您在问题中所写的那样,依此类推。

每个 VLAN(存储除外)都需要 Internet 访问才能下载更新/补丁。如何确保它们可以访问 Internet?

路由器需要属于所有 VLAN,并且可以在 WAN ⇆ 每个 VLAN 之间进行路由,就像通常在 WAN ⇆ 常规 LAN 之间进行路由一样。基本上,它将标记的 VLAN 视为单独的以太网接口。

我的 DNS/DHCP 服务器属于哪个 IP/子网?10.0.0.0/24 还是 10.0.10.0/24?DHCP 服务将出租 VLAN 10 和 VLAN 20 的地址

两者。它必须是两个 VLAN 的成员。

相关内容