我想要:
a) 将几个部门划分为 VLAN,希望完全限制它们之间的访问(销售部门永远不需要与支持部门的工作站或打印机通信,反之亦然)或 b) 跨 VLAN 的某些 IP 地址和 TCP/UDP 端口 - 例如,允许销售 VLAN 仅通过端口 443 访问服务器 VLAN 中的 CRM Web 服务器。
就端口而言,我需要一个 48 端口交换机和另一个 24 端口交换机来与两个现有的 24 端口第 2 层交换机 (Linksys) 配合使用;我正在考虑使用 D-Links 或 HP Procurves,因为思科超出了我们的价格范围。
问题 1:
据我所知(如果我错了,请纠正我),如果服务器(VLAN10)和销售(VLAN20)都在同一个 48 端口交换机(或两个堆叠的 24 端口交换机)上,据我所知,交换机“知道”每个设备属于哪些 VLAN 和端口,并将在它们之间交换数据包;我还可以应用 ACL 来限制 VLAN 之间的访问。这样对吗?
问题2:
现在假设支持(VLAN30)位于不同的交换机(Linksys 交换机之一)上。
我假设我需要将交换机 #2 的 VLAN 中继(标记)到交换机 #1,这样交换机 #1 就能看到交换机 #2 的 VLAN30(反之亦然)。一旦交换机 #1 可以“看到”VLAN30,我假设我就可以应用问题 #1 中所述的 ACL。这样对吗?
问题 3:
一旦交换机 #1 可以看到所有 VLAN,我是否可以实现看似“第 3 层”的 ACL 过滤,即仅在某些 TCP/UDP 端口和 IP 地址上限制对服务器 VLAN 的访问(例如,仅允许 3389 访问终端服务器 192.168.10.4/32)。我说“看似”是因为一些第 2 层交换机提到了通过 ACL 限制端口和 IP 地址的能力;我(也许是错误的)认为,为了拥有第 3 层 ACL(数据包过滤),我需要至少有一个第 3 层交换机充当核心路由器。
如果我的假设不正确,那么在什么情况下您需要使用第 3 层交换机进行 VLAN 间路由和 VLAN 间交换?通常只有当您的部门之间需要更高级别的数据包过滤功能时才需要吗?
答案1
请记住,从根本上讲,如果两台主机配置了不同子网中的 IP 地址,则这些主机需要通过一个或多个路由器进行通信,这些路由器的接口位于各自的子网中。“第 3 层交换机”只不过是一种能够创建虚拟接口的路由器,这些虚拟接口暴露给 VLAN 的广播介质。
回复:#1 - 要概念化 VLAN,只需想象每个 VLAN 中的端口都是物理上分散的交换机。在无缺陷的 VLAN 实现中(流量不能在 VLAN 之间“泄漏”),这是有效的行为——每个 VLAN 都充当单独的交换机。在第 2 层应用的 ACL 将仅命名 MAC(如果交换机支持准第 1 层 ACL,则命名端口)。任何命名 IP 地址、TCP 端口等的 ACL 都不是第 2 层 ACL。(可能有些交换机具有“第 2.5 层”功能,它们可以检查 IP 数据包的有效负载,但实际上无法路由数据包,但我对此类事情持谨慎态度。)
回复:#2 - VLAN 标记允许在单个端口(通常称为“中继”)上传输多个 VLAN 的流量。您可以将它们概念化为将两个设备之间的连接虚拟细分为较小的“端口”,每个端口都传输单个 VLAN 的流量。使用“中继”可以做到的事情,您无法通过使用多个非中继端口来实现,但使用中继端口和标记数据包,您可以在物理上分散的交换机之间传输多个 VLAN 的流量,而无需使用大量物理端口进行交换机间链路。
回复:#3 - 在不同子网之间路由 IP(与 VLAN 无关——通常 VLAN 和子网之间有 1:1 的关系很方便,但这不是必需的)需要路由功能。如果您需要在不同的子网之间路由 IP,则需要路由器。它可以是交换机中嵌入的第 3 层实体,也可以是“单片路由器”。任何可以在不同子网之间路由 IP 的东西都是路由器。回复:ACL - 就像我在 #1 中所说的那样——我会对执行“准第 3 层”功能的设备保持警惕。它要么是路由器,要么不是。
几个不错的背景问题: