我正在尝试理解 VLAN/子网的实际实现。
我目前有 3 个 HP v1910 交换机,具有以下子网/VLAN;
- 192.168.20.0/24 生产服务器(7 个虚拟和物理服务器)
- 192.168.30.0/24 生产客户端(25 台 PC)
- 192.168.35.0/24 生产打印机
- 192.168.50.0/24 WSUS 服务器
- 192.168.70.0/24 管理电脑(6 或 7 台电脑)
- 192.168.80.0/24 Hyper-V 主机(2 台服务器)
- 192.168.90.0/24 IP 电话
Switch1 上为每个子网(所有 192.168.x.1 地址)定义了一个 vlan 接口。Switch 1 连接到 Watchguard 防火墙,并从那里连接到 ISP 的基本互联网路由器。
我将它们分开(无论对错)的主要原因是为了方便限制访问。即
- 所有生产设备都互相沟通。
- WSUS 与除 IP 电话之外的所有设备进行通信
- IP 电话仅与生产 PC 或管理 PC 通话(IP 电话具有用于 voip 的专用网关)
- 管理电脑(非基于域的)无法与任何生产设备进行通信
- 管理员电脑可以访问互联网
- 生产电脑的互联网功能非常有限(仅提供生产服务,不提供浏览等)
- 数据服务器无法访问互联网
- WSUS 可以访问 Internet
- Hypver-v 仅与服务器子网(DC 所在的位置)和 WSUS 通信
一切运行正常,直到我想创建更多 VLAN。v1910 最多只能创建 8 个 VLAN 接口。
我是否只需在交换机 2 上创建接下来的 x 个 VLAN,我是否把事情搞得太复杂了?还是我期望太高,需要更好的硬件?
谢谢
答案1
v1910 上的 8 个 VLAN 接口限制是为了路由目的。如果您有其他东西做路由,那么您可以根据需要创建任意数量的 VLAN。
我可能会考虑在拓扑顶部放置一个更大的交换机 - 它可以满足所有 VLAN 的所有 L3 路由需求,并将交换机以中心辐射型拓扑连接到该交换机。
然后,您将 Watchdog 连接到顶部交换机,并将所有所需的 VLAN 中继到该交换机以进行互联网访问等。