我有 4 个物理上不同的网络。我们将它们称为 A、B、C 和 D。
通常情况下,这些应该是隔离的。但是,有各种机器需要访问其中任意两个。这些都配有必要的防火墙。
现在出现了一个需求,即一台机器必须能够访问所有 4 个网络。
我最初的反应是将 4 个 NIC 放入机器中,然后就大功告成了,但这似乎不太安全。以前的安装建议使用交换机来创建一个公共网络。同样,这似乎也不安全。我的问题是:
我如何实现类似于上图的网络,其中路由器是服务器,3 个 VLAN 是我的其他网络。这样:
- 该服务器可以根据特定网络的防火墙访问任何其他网络上的任何机器。
- 网络上的机器可以根据适用的防火墙访问服务器。
- 不同网络上的机器无法与另一个网络进行通信。
我并不是在寻求详细的信息,只是希望有人能给我指明正确的方向。
答案1
为什么不直接为它们创建一个新的子网(或者根据需要为每个子网创建一个新的子网)?在第 3 层上工作,不要试图在第 2 层上解决这个问题。启用路由并在防火墙路由器上进行限制,只允许那些需要的网络主机对和协议。
答案2
路由答案有效,但在 VLAN 之间创建路由会打开子网或 VLAN 之间的闸门。您必须在这些 VLAN 上设置防火墙,以保持它们隔离。您不想让学生冒险访问 IT 工作站。如果这是唯一需要访问所有 4 个 VLAN 的计算机,我会将计算机物理连接到一个交换机端口,该端口标记了所有 4 个 VLAN(其中一个未标记),然后在计算机上,您将使用 NIC 实用程序根据 VLAN 标记创建 4 个“虚拟”网卡。