我目前正在从头配置网络交换机(HP procurve-8212)。首先,我尝试配置一个简单的 LAN 和 WAN 连接。我有一个 Internet 提供商,它为我提供了一个可用于 WAN 访问的网关。
所以我对这里关于交换机本身的 IP 地址的一些基本概念有点困惑。因此,显然,如果要由网络上的其他设备访问交换机本身(除了直接串行连接),交换机本身需要一个 IP 地址。现在,为交换机设置 IP 地址很容易,但我不清楚交换机的 IP 地址是应该是内部 LAN 地址,如 10.0.0.1 之类的,还是外部的WAN IP 地址在我的互联网提供商分配给我的静态 IP 范围内。或者第三种情况,如果我需要配置多个 VLAN,一个用于 LAN,一个用于 WAN - 或者以上所有情况都是可行的,但存在不同的权衡/安全影响。
因此,为了简单地试验基本配置,我为交换机分配了一个 LAN 地址 10.0.0.1,并为覆盖 10.0.0.0 到 10.255.255.255 的 /8 网络分配了一个子网掩码 255.0.0.0。(我稍后会更改这一切,但我只是想尝试基本配置。)我为交换机分配了一个由我的 ISP 提供的网关地址。所有这些都是单个默认 VLAN 的一部分。
这在 LAN 端有效。我为连接到交换机的所有设备配置了静态 IP,现在所有设备都可以 ping 交换机,也可以互相 ping。
但是,我无法使 WAN 访问正常工作。我的理解是,应将交换机配置为使用我的 ISP 提供的网关,然后连接到交换机的任何设备都应使用交换机本身的地址作为网关。(同样,稍后我将添加中间防火墙,但现在我只是在尝试基本配置。)
所以我的理解是,给定一台连接到交换机的任意计算机,如果我静态地为该计算机分配一个 LAN IP,然后将该计算机配置为使用交换机的 LAN IP 地址作为其网关,那么该计算机应该能够访问 Internet(因为交换机是其网关,而交换机的网关是 ISP 提供的网关。)
但是,我无法从连接到交换机的计算机 ping 任何实际的 Internet 地址。(我的 DNS 尚未运行,但我从智能手机获取了 google.com 的 IP 地址,然后尝试 ping 该地址,但不起作用。)
再次,我可以 ping 通交换机的 IP 地址(这是一个 LAN IP),也可以 ping 通 LAN 上的任何 IP 地址,但我无法从连接到交换机的任何设备访问互联网。
因此,这里有多个令人困惑的地方,所以我很难将其提炼成一个连贯的问题,但我最好的尝试是:
交换机的 IP 地址应该是 LAN 还是 WAN 地址(或者两者的含义是什么),以及如何配置交换机以便连接到交换机的任何设备都可以访问互联网?
我的问题本身是否表明我在这里遗漏了一些关键概念?我怀疑我可能在这里遗漏了一个关键概念(也许我需要指定路由规则或默认路由?),但由于我不知道这个概念是什么,所以很难提出一个关于它的具体问题。
答案1
我的问题本身是否表明我在这里遗漏了一些关键概念?
是的。你正在处理的是交换机:它不是路由器。你可以使用 L2,它
- 专用网络
- 公共网络
- 两者都使用 VLAN。
HP Procurve 8212 等 L3 交换机还能够
- 私有网络之间的路由
- 公共网络之间的路由。
但你不能在这里用它作为网关,因为它不行网络地址解读(NAT)在公用网络和专用网络之间进行通信。您的路由器应该可以做到这一点。
答案2
网络通常以“层”的形式来处理。每一层都建立在上一层的基础上。
电线传输电流;这被称为第 1 层,或“物理”层。这是你可以用手指触摸的东西。
交换机负责传输以太网帧;这被称为第 2 层,或“数据链路”层。这一层对 IP 地址或路由器一无所知。(最近,这被称为“第 2 层交换机”。)
路由器负责移动 IP 数据包,这被称为第 3 层,或“网络”层。网关是路由器的另一个术语。(最近,“第 3 层交换机”成为路由器的另一个术语。这很容易让人混淆。)
简单来说,你可以将以太网电缆视为道路,将以太网帧视为道路上的车辆,将交换机视为带有交通信号灯的交叉路口。IP 数据包将是车辆内的货物,而路由器将是装运清单。交换机和帧(车辆、道路和交通信号灯)是相辅相成的,但货物和清单不在道路设计人员的考虑范围内。(这不是一个完美的比喻。)
名义上,交换机(第 2 层交换机)完全不知道网络/IP 层。只需为交换机(第 2 层交换机)分配一个 IP 地址即可对其进行管理。较便宜的交换机不受管理,并且根本没有与之关联的 IP 地址。
从概念上讲,将托管交换机(第 2 层交换机)视为内部装有微型计算机的第 2 层设备。交换机部分负责传输帧;计算机用于管理,并使用微型以太网电缆插入内部交换机端口。(这不是一个完美的类比。)
不清楚 ISP 给您的网关/路由器是什么样子的,即物理端口和 IP 地址配置。他们可能在网关上进行路由,也可能在进行 NAT;或者两者都有,或者两者都没有。所以我对此不太清楚。
如果您在网关(委派子网)的以太网端口上拥有公共、可路由的 IP 地址(由 ISP 提供),那么您就拥有了互联网的一小块空间,可以在上面放置任何您想要的东西。这很可能就是您放在交换机上的一个 VLAN 中的东西。
然后,您可能需要在某个地方安装防火墙,可能带有 NAT,用于您的专用网络。该型号交换机确实具有一些基本的路由功能(第 3 层交换机),但我认为它甚至缺乏 NAT 功能,而且肯定不具备任何我信任的防火墙功能。
因此,通常情况下,您需要使用另一台设备充当防火墙,并将其插入交换机。您需要将网关/路由器和防火墙都放在同一个公共/WAN/任何 VLAN 上,并为防火墙分配该 VLAN 上的公共 IP 地址。
然后,您需要在防火墙和交换机之间建立另一个连接,用于隔离的私有/本地/任何 VLAN。这可以使用第二条电缆和交换机端口,或者,如果防火墙支持,您可以将所有 VLAN 放在一条电缆上连接到防火墙(有时称为“单根路由器”)。
如果您需要更具体的答案,请提出更具体的问题。:-)
答案3
您缺少的是支持 NAT 的网关/防火墙。您需要一台具有多个网络端口的服务器,运行 pfsense 或 Untangle 之类的程序、Watchguard 或 Sonicwall 之类的设备,或者 HP MSR-50 或 Cisco ISR 之类的真实路由器。
完成上述操作后,您可以在新路由器/防火墙上设置一个接口,使用来自 ISP 的外部地址,将其连接到 ISP 调制解调器,并在连接上设置 NAT。然后,您可以将内部地址分配给交换机和防火墙上的另一个端口,并将两者连接起来。在设置网络的其余部分时,让您的 dhcp 服务器将防火墙的内部地址作为默认网关分发出去。
如果涉及多个 VLAN,则需要确定防火墙或交换机是否将处理 VLAN 间流量。这将决定您是否需要在防火墙上添加其他(可能是虚拟的)接口(也配置在该交换机端口上),以及 dhcp 服务器为路由器/默认网关地址分发的内容,以及交换机中的其他配置项。