是否可以在同一个子网中拥有多个具有相同网关地址(TMG)的 VLAN?
我想避免拥有过多的子网(以及 TMG 中的 vNIC)仅仅为了隔离几组主机。
IP: 10.0.0.1 (TMG server) VLAN:1 ~ 3
IP: 10.0.0.11 ~ 20 (Hosts group 1) VLAN:1
IP: 10.0.0.21 ~ 30 (Hosts group 2) VLAN:2
IP: 10.0.0.31 ~ 40 (Hosts group 3) VLAN:3
请注意,我不希望它们相互连接,因此不需要 ARP/VLAN 间路由(子网内)。
网关在 ESXi 5 内的 VM 中运行,我可以使用 VGT 或 VLan Range 将 VLan 传递给 VM,但我不知道 OS/TMG 应该如何处理它们。
答案1
当然你可以这样做,但这不是推荐的方式。
VLAN 使用软件模拟单独的物理 LAN。因此,每个 VLAN 都是一个单独的广播域和一个单独的网络。
正如您所指出的,在这些 VLAN 之间路由会很困难,因为它们是同一个子网。如果所有地址都不同,则可以使用大量与实际子网配置不对应的规则来路由流量,并且会让从您那里继承此配置的任何人感到困惑。但是,在不同的物理网络上使用相同的 RFC1918 子网是完全允许的。您甚至可以将所有地址都设置为相同。
另一个需要牢记的限制(可能也是最相关的限制)是,如果这些主机中的任何一个必须连接到任何东西,将它们路由到该网络也会很困难。您几乎肯定必须使用 NAT,并设置 NAT 规则,使每个 VLAN 都有单独的外部地址。如果此配置不会混淆主机操作系统,它肯定会混淆任何试图处理它的管理员。
可用的 RFC1918 地址非常多,而且很少需要以这种方式节省地址。在极不可能的情况下,您甚至可以使用 RFC6598 地址范围100.64.0.0/10(该范围被指定为运营商级 NAT 的私有范围,虽然这不是其预期用途,但如果您足够大以至于使用整个 /8、/16 和 /12,您可能会认为您实际上是这些设备的 ISP)。