我需要为客户设置新网络,该客户将租赁部分办公空间并提供共享的互联网和打印机访问权限。以下是详细信息:
- 互联网接入将由租户共享。
- 租户之间不能互相见面。
- 租户可以看到一组共享资源(打印机、扫描仪)。
- 租户可能需要使用其已关闭的 DHCP 服务器来连接 VOIP 电话或自己的 AD 域。(可选要求)
我正在寻找有关如何设置交换机和路由器以实现此目的的建议。具体来说,我不确定 VLAN 在共享资源或互联网连接时如何运行。
任何见解都将不胜感激。
答案1
将每个租户放入其自己的 vlan,并将共享资源放在单独的 vlan 中,并在它们之间设置路由。
每个虚拟局域网就像是“交换机内的交换机”。如果端口 1-4 位于 vlan10 中,而端口 5-8 位于 vlan20 中,那么就相当于在一个盒子中安装了 2 个 4 端口交换机。上行链路“组合”为中继端口。
将路由器连接到中继端口,并在路由器上设置 VLAN(每个 VLAN 都有一个“虚拟接口”,因此,与连接到它们的许多不同的交换机和接口相同,但只有一根电缆和一个真实接口),并在需要的地方设置适当的路由和防火墙(路由应该不是问题,应该立即工作,但所有租户都能够访问所有其他租户的网络,而无需某些防火墙规则/ ACL)。
设置规则以禁止从一个租户网络到另一个租户网络的连接,但允许从所有内部网络到共享资源网络的连接。
如果您需要公共地址,共享互联网连接会有点棘手,但如果您位于 nat 后面,只需在需要的所有接口上启用 nat 即可。