我有以下设置,使用两个通过长以太网电缆互连的标准廉价交换机:
|------ SWITCH #1
| [ ] Equipment with public IP 217.x.x.101 (subnet 217.x.x.96/29)
| [ ] Equipment with private IP 10.0.0.1 (subnet 10.0.0.0/24)
| [ ] Free port
| [ ] Free port
| [ ] Free port
| [ ] Ethernet cable going to Switch #2
|------
^
|
|
v
|------ SWITCH #2
| [ ] Ethernet cable going to Switch #1
| [ ] Free port
| [ ] Free port
| [ ] Free port
| [ ] Equipment with private IP 10.0.0.2 (subnet 10.0.0.0/24)
| [ ] Router with public IP 217.x.x.102 (subnet 217.x.x.96/29) with internet access
考虑到:
- 我不需要网络 10.0.0.0/24 和 217.xx96/29 来进行通信,也不需要 10.0.0.0/24 设备来访问互联网。
- 我只需要 10.0.0.1 和 10.0.0.2 之间能够通信;并且 217.xx101 与 217.xx102 之间(并且能够通过 .102 访问互联网)
这个设置“正确”吗?它会按预期工作吗?
从我非常有限的网络知识来看,我认为这种设置应该没有问题,不需要使用托管交换机或任何高端设备。
答案1
你可以使用任意数量的 IP 网络,交换机在第 2 层(也称为“链路层”)上运行,而不关心更高层,例如“网络层”(IP),它是 OSI 模型中的第 3 层。
话虽如此,有些交换机具有第 3 层功能,但这只是附加功能,而非主要功能。如果您想要隔离这两个网络,并且不允许其中一个块的主机与另一个块的主机通信,则需要使用托管交换机。
在您的设置中,任何主机都可以设置任何 IP 并不受限制地分配给任何网络。使用托管交换机,您可以创建 VLAN 并隔离网络以增加安全性。如果您不需要这样做,那么当前的设置完全没问题。
答案2
您需要 VLAN 支持才能分离流量。此功能具有以下功能:
- 传统管理交换 - $$$
- “智能”开关 - $$
- SDN——OpenFlow 交换机 - $$ - $$$$
另一个解决方案是使用 IPsec。