今天我接到一个项目,要为一个朋友解决一个网络问题,他出租了多个办公套房。租金中包含了所有套房的互联网服务。最初设置一切的人将一根光纤连接放入了 BSD 服务器中。
因此,本质上发生的事情是,BSD 服务器充当所有办公套件的 NAT 和防火墙。它为每个套件分配一个静态私有 IP,然后租户使用标准路由器为其所有机器提供服务。
这是可行的,但它是双重 NAT,并且一些租户因此在使用某些服务时遇到问题。
我想将其简化为单个 NAT 系统,并让每个套件都使用它们直接使用的 IP 子网(无需额外的路由器)。问题是,如果有人聪明的话,他们只需更改 IP 并入侵另一个套件的网络即可。
主要问题是我无法拥有 DHCP 服务器,因为它将为整个网络提供服务,而不仅仅是一个子网。我需要在每个子网上都拥有一个 DHCP 服务器(或可以为多个子集提供服务的单个服务器)。
实现我需要的最佳方法是什么?我假设 VLAN 是可行的方法,但我对它们了解不多。虽然我一直想学习如何构建 VLAN。我知道我需要一个托管交换机,但我不知道 VLAN 是在第 2 层还是第 3 层隔离的。
答案1
我最终以低价购买了几台 Cisco Catalyst 3500 XL,并为每个套件分配了各自的 VLAN。然后我创建了一个带有 802.1q 封装的中继端口,并将其馈送到带有可以解码 802.1q 的 NIC 的 BSD 服务器。
它非常有效,每个 VLAN 都有自己的子网,防火墙规则可以防止 VLAN 间路由,从而将每个人隔离。
我将密切关注流量,以确保服务器端 100mbps 足够,我可能必须选择 3550 并进行链路聚合。
谢谢您的帮助!