出于安全原因,我想分离一些 LAN 主机。
但大多数主机需要与一个或多个公共服务器通信: - Internet 网关 - DHCP+DNS 服务器 - 文件服务器 - ...
我可能会定义 VLAN 并让每个服务器加入一个(或多个?)VLAN。
问:我是否需要第 3 层交换机(例如 Cisco SG250)或者是否可以选择使用第 2 层交换机(Cisco SG200)来工作。
至少 Internet 网关没有 VLAN 选项,因此将网关端口设为 TRUNK 是不可能的。对于大多数其他机器(如 DHCP 服务器)也是如此。
我猜第 2 层还不够。也许我可以让一个交换机端口成为多个 VLAN 的成员 (?),但即使这样可行,如果主机位于不同的 VLAN 上,来自 DHCP 服务器 (或网关) 的消息至少不会返回到主机。
如果第 3 层是我的解决方案:这是否意味着我必须为每个 VLAN 设置不同的子网并构建一些路由规则?
答案1
简单来说 - 如果您想要拥有多个 VLAN 并在它们之间进行通信 - 您需要一个第 3 层设备。如果是交换机,您将为每个 VLAN 创建一个交换机虚拟接口 (SVI),为其分配一个 IP 地址并启用路由。这将是您的终端设备的网关。每个 VLAN 都是一个不同的子网。
如果您想使用路由器,您应该查看 Router on a Stick 设计。如果您想摆脱硬件解决方案,您可以尝试安装一些路由设备或类似的东西。
希望有所帮助。
问候,雷伊
答案2
第 2 层交换机无法跨 VLAN 连接。它只能将边缘设备连接到一个 VLAN(或使用中继端口连接到多个 VLAN)。
您需要一个三层交换机或路由器来实现 VLAN 间通信。如果您需要控制通信,请确保它支持正确的 ACL 或防火墙规则。
Internet 网关和客户端可以位于不同的 VLAN 上:客户端使用中间路由器作为默认网关,而中间路由器又使用 Internet 网关作为默认网关。
对于 DHCP,您可以在交换机上设置辅助地址(某些 L2 也支持此功能),以便它们将 DHCP 请求路由到另一个 VLAN 上的 DHCP 服务器。
如果第 3 层是我的解决方案:这是否意味着我必须为每个 VLAN 设置不同的子网并构建一些路由规则?
没错。每个子网都位于自己的 VLAN 中,路由器或 L3 交换机在子网之间路由。路由器上的规则允许或拒绝您想要或不想要的通信。