我的拓扑结构如下:
<--> VLAN 1
------------- --------------------------
Internet <--> | Router / FW | <---> | Switch (VLANs + Subnets) | <--> VLAN 10
------------- --------------------------
<--> VLAN 192
目前,我有m0n0wall防火墙/网关(路由器)和第 3 层戴尔 Poweconnect 6200 系列 (6248)转变。
- 路由器 LAN 接口的 IP 为 10.10.1.127 / 22,因此对于 VLAN 10 10.10.0.0 / 22,我有互联网连接。
- 另外,我在 VLAN 之间设置了路由,因此我可以从任何 VLAN ping 任何 VLAN 中的任何计算机。
据我了解,我需要为路由器上的每个 VLAN 提供一个接口,以便能够为该 VLAN 提供互联网连接。我尝试插入额外的接口,并设法在其他 VLAN(我配置了接口的 VLAN)上获得互联网连接。
有没有其他的可能性/路由选项使用 1 个接口在所有 VLAN 间共享互联网?我可能有超过 4 个 VLAN 需要互联网连接。我可能会用尽 PCI 插槽,而且这还会浪费交换机上的端口。
更换路由器/防火墙?
也许应该更换路由器软件?它只是一个普通的 PC 机箱。路由器部分用于 NATing、端口转发和防火墙。
改变拓扑?
也许有其他配置选项 - 比如我可以把那个盒子放在一边,将互联网插入交换机,然后通过防火墙运行所有往返互联网的通信?你怎么称呼它 - 单根路由/防火墙?这可能吗?
答案1
由于您有一个三层交换机,您可以为您的互联网连接创建另一个 vlan,该 vlan 将连接到您的路由器。
然后,您可以将不同 VLAN 的成员分配给 Internet VLAN,以便他们可以访问 Internet。
基本上通过“ip 路由”在交换机中设置 VLAN 间路由。
交换机的默认网关将是将其连接到全球互联网或单独 VLAN 的路由器。
希望有帮助
答案2
禁用路由器上的 IP 转发或在其上实施隔离每个 VLAN 的 IP 规则。它们仍将能够访问互联网,只是除非使用外部接口,否则无法进行通信。