两个客户合租一栋联排别墅;每栋别墅有“X”层。一个客户住在顶层,另一个客户住在底层。问题是,别墅内有许多 IP 安全摄像头,有些是每个网络专用的,还有大约 6 个是他们必须共享的(前门、后门等)。
以下是我对网络设计的想法。(我愿意听取您的任何想法,并欢迎您批评整个网络设计。我从不把这些话当做针对我个人的。)
潜在网络:3 个独立交换机,每个交换机都有自己的 IP 范围。10.1.10.x - 顶层 - 拥有自己的互联网路由器 10.1.11.x - 共享 IP 安全摄像头 10.1.12.x - 底层 - 拥有自己的互联网路由器
问题:需要共享 IP 摄像机的 2 个独立网络各自都有自己的互联网接入和 IP 路由器
问题:如何最好地让它们共享中间 IP 范围但不跨越到其他网络?
答案:255.255.254.0 的子网网络可能允许每个网络访问 10.1.11.x 地址。
潜在问题:10.1.12.x 网络可能存在广播问题;它将寻找位于 10.1.13.255 中的广播,而我们不会使用它……
其他网络设计理念(也是一个问题):两个“并排”的 10.1.10.x 网络可以共享 10.1.11.x 网络但不共享彼此的数据包吗?
VLAN?
问题:没有共享网络机柜...
答案1
3 个子网的一般解决方案是可行的,但您无法使用 255.255.254 的网络掩码将中间的摄像头子网与其他两个子网重叠。该特定掩码将创建两个互斥的子网 10.1.1.10/23 和 10.1.1.12/23。如果您在每对交换机之间放置一个路由器,则可以让它们在网络之间适当地路由流量。这还有一个额外的好处,就是能够在每个路由器上应用 ACL,以根据需要将两个网络的流量隔离开来。
例如:
10.1.1.10/24 --- router1 --- 10.1.1.11/24 --- router2 --- 10.1.1.12/24
| |
ISP1 ISP2
这要求每个路由器都有 3 个端口,一个连接到互联网,一个连接到私有子网,一个连接到共享子网。然后每个私有子网都可以使用路由器作为默认网关来访问互联网或共享摄像头子网。摄像头要么需要两条路由,要么让路由器 1 和路由器 2 根据需要将流量重定向到另一个网络,而每个摄像头都指向其中一个作为其默认网关。
或者,我设想可以使用 VLAN 来获得理想的结果,使用包含所有三个网络的更宽的网络掩码。每个专用网络将有一个 VLAN,摄像机是每个 VLAN 的成员。这应该可以实现所需的结果,尽管我不是 VLAN 专家,所以我可能错过了这个解决方案的某些内容。
答案2
这是另一种选择。
在每个客户端空间部署一个支持私有 VLAN 的交换机。将交换机上行连接在一起。将上行链路端口配置为中继,并根据交换机供应商使用 VTP 或 GVRP 为这些端口启用动态 VLAN 分配和创建。
创建一个私有主 VLAN、2 个社区 VLAN 和一个混杂 VLAN。将社区 VLAN 和混杂 VLAN 分配给私有主 VLAN。将客户 A 的所有端口(共享摄像头端口除外)放在一个社区 VLAN 中,对客户 B 使用另一个社区 VLAN 执行相同操作。将每个交换机上的共享摄像头端口放在混杂 VLAN 中。
为 Internet 路由器 A 分配静态 IP 10.1.10.1/23 网络,为 Internet 路由器 B 分配静态 IP 10.1.11.1/23。在 Internet 路由器 A 上配置 DHCP,以分配 10.1.10.2 - 255/23 范围内的 IP 地址,默认网关为 10.1.10.1。在 Internet 路由器 B 上配置 DHCP,以分配 10.1.11.2 - 254/23 范围内的 IP 地址,默认网关为 10.1.11.1。在此设置下,共享摄像头最终可以从任一 DHCP 服务器获得分配。如果您需要摄像头的静态 IP 地址,只需使用 10.1.10.0/23 网络中的 IP 地址,并将其从上面的 DHCP 分配中排除。
通过此配置,每个客户都能够向其网络中的设备发送流量,包括其互联网路由器、共享 IP 摄像头,但不能相互发送流量。无需防火墙或路由器访问列表。