我希望您和您的亲人平安健康。
我是一名自费大学最后一年的学生。我需要为最后一年的研究建立人际网络。
我想将思科集成服务路由器“RV-345”集成到我的网络中并使用 VLAN 来隔离流量。
当前设置: Netgear Wi-Fi 路由器是唯一执行网络访问和路由的组件。以下是网络的简单表示:
- WAN 端口通过 CAT-6 电缆连接到 ISP 盒。
- NAS 具有 2 个网络端口,以绑定模式(组合速度而不是容错)工作,连接到 Netgear 的端口 1 和 2。
- 工作站配有 2 个英特尔网卡,连接到 Netgear 路由器的 3 号和 4 号端口。此工作站安装了 ESXi 并运行了 12 个虚拟机。
建议设置: Cisco ISR 345 将执行有线接入和路由,同时将 Netgear 设置为接入点模式。VLAN 的进一步要求:
- 在 ESXi 上运行的虚拟机需要使用 VLAN 进行隔离。我将拥有多个 VLAN,这些 VLAN 虽然彼此隔离,但需要访问一些中央服务,例如 DHCP、DNS(可通过 Wi-Fi 接入点端口访问)和 ESXi 上的一个 VLAN(用于日志记录)。
- 目前,运行 DHCP 和 DNS 服务器的 Raspberry Pi 提供这些网络服务。目前通过 Wi-Fi 连接。这一点很重要,因为我需要 Wi-Fi 来扩展所有 VLAN 以访问这些中央服务。
- Raspberry Pi 最终将通过以太网连接,但目前它们是通过 Wi-Fi 连接的。
问题:
- 根据我的理解,我必须在 ESXi 中创建 VLAN 并通过 Cisco ISR 扩展它们。这样对吗?
- 如何确保 Wi-Fi 端口转发所有 VLAN?换句话说,如何确保无论 VLAN 如何,主干网络服务(DHCP、DNS)都可用
- 从 NAS,我使用 iSCSI 在工作站上安装了卷。使用 VLAN 对此有什么影响吗?
后续问题 我有几个后续问题可以帮助我顺利解决这个问题:
- 目前我正在使用 Raspberry Pi 托管 DNS/DHCP 服务器。它无需 VLAN 即可运行,并且配置了从 192.168.0.0 到 192.168.0.254 的 IP。
问题:
A。我需要将 DHCP 范围从当前范围改为 192.168.0.0. 再改为 192.168.255.254,对吗?(我的 VLAN ID 等于第三个八位字节中的 IP 池。因此,共享服务所在的 VLAN100 将具有 192.168.100.0-254)。
B.Raspberry Pi 将物理连接端口 5:此端口将具有以下设置:
B.1 - 标记为 VLAN 10 至 100
B.2 - 未标记 VLAN 1
2、端口VLAN设置:
我对此设置感到困惑。运行多个端口的设置应该是什么:
A。包含多个 VLAN 的端口(例如虚拟化 (ESXi))将运行 VLAN 30 至 50。端口设置应该是什么?
A.1 标记为 30-50
A.2 其他所有标签均无标记?
B.那么需要所有 VLAN 的端口(例如 Wi-Fi)怎么办?
B.1 除 VLAN 1 外,所有 VLAN 均已标记,VLAN 1 上只有路由器的管理接口?我不介意仅通过有线介质访问路由器。
感谢你在期待。
如果帖子缺少信息且需要更多信息,我深表歉意。如果需要添加任何内容,请告诉我。
答案1
根据我的理解,我必须在 ESXi 中创建 VLAN 并通过 Cisco ISR 扩展它们。这样对吗?
你可能是正确的,你必须创建 VLAN接口在 ESXi 上(我没有在 ESXi 上使用过 VLAN,或者实际上根本没有使用过 ESXi,但 VLAN 在大多数其他主机上都是这样工作的)。
但是,VLAN 本身实际上并不是在任何特定位置创建的,它们只是通过协议而存在。只要 ESXi 和网关以及中间的交换机同意标记/取消标记特定的 VLAN ID,就可以“创建”VLAN。
如何确保 Wi-Fi 端口转发所有 VLAN?换句话说,如何确保无论 VLAN 如何,主干网络服务(DHCP、DNS)都可用 [...] 目前,运行 DHCP 和 DNS 服务器的 Raspberry Pi 提供这些网络服务。目前通过 Wi-Fi 连接。这一点很重要,因为我需要 Wi-Fi 来扩展所有 VLAN 以访问这些中央服务。
这个问题实际上是二有两个不同答案的问题。
关于将 Raspberry Pi 连接到所有 VLAN:
尽管从技术上讲,Wi-Fi 可以像任何其他以太网类型一样携带 VLAN 标签,但我不确定您的硬件和驱动程序是否能正确处理它们;例如,可能存在 MTU 问题。我建议使用以太网连接。
问题是,常规 Wi-Fi AP不是旨在直接承载 VLAN 标记流量 - 它们采用不同的方法设计,其中每个 VLAN 都桥接到不同的 SSID。(例如,AP 可以连接到“管理”VLAN、“访客 Wi-Fi”VLAN 和“员工 Wi-Fi”VLAN,后者是两个单独的 SSID。)
因此,虽然这个问题一些Wi-Fi 接入点,老实说,我不会花太多时间尝试让普通消费者使用 Netgear 来实现这一点。这可能很容易,但实际上可能根本不可能。
关于制作服务例如所有 VLAN 均可使用 DNS 和 DHCP:
特别是 DNS不必位于同一个 VLAN。它只是一种标准的基于 IP 的服务,可以完美地通过路由器。因此,你只需要 DNS 服务器位于一VLAN 具有一个 IP 地址,并且您的所有子网都可以通过您拥有的路由器/网关访问它。
DHCP 确实需要直接在 VLAN 中可用,但它可以转达。您的路由器可以充当 DHCP 中继代理(也称为“DHCP 助手”),它接收广播的“发现”和“请求”数据包并通过单播将它们中继到真实服务器(并将响应中继回来)。
由于中继的 DHCP 数据包被单播到特定的 IP 地址,这再次允许真正的 DHCP 服务器位于网络中的任何位置;它不再需要直接访问实际的 VLAN。
IPv6 RA 则有所不同。它有由路由器本身广播,而不是由任何其他设备广播,所以你一开始就不可能将它移动到 RPi。幸运的是,IPv6 RA 也是一个完全无状态的系统,所以无论如何也没有理由移动它。
从 NAS,我使用 iSCSI 在工作站上安装了卷。使用 VLAN 对此有什么影响吗?
不太可能。
A. 我需要将 DHCP 范围从当前范围改为 192.168.0.0. 再改为 192.168.255.254,对吗?(我的 VLAN ID 等于第三个八位字节中的 IP 池。因此,共享服务所在的 VLAN100 将具有 192.168.100.0-254)。
每个 VLAN 都是一个单独的第 2 层网络,需要有自己的 DHCP“范围”——它们不仅在地址池上有所不同,而且在要通告的选项上也有所不同(例如,“默认网关”选项显然必须不同)。
运行多个端口的设置应该是什么:
答案在所有情况下都是一样的,无论是 ESXi、Raspberry Pi、Netgear 接入点还是思科路由器。您的 Wi-Fi没有需要“所有 VLAN”,但它仍然需要它打算服务的特定 VLAN,与 ESXi 等相同。
在所有情况下,最多一VLAN 可以不加标记(又称本机)——所有其他VLAN 都必须加标记,因为标记是两端区分将数据包放入哪个 VLAN 的唯一方法。
通常,“管理”VLAN 是未加标签的 VLAN。(所以,在您的情况下,RPi 和 Netgear 可能都希望 VLAN 10 未加标签?我无法完全理解您的 VLAN 描述。)