我在一所拥有多个校区的学校工作,我想用 VLAN 来划分我的网络。因此,电话在一个 VLAN 上,打印机在另一个 VLAN 上,等等。我认为按校区划分也不错。这似乎会是某种嵌套 VLAN,其中高中有一个 VLAN,然后是高中电话的 VLAN,依此类推。
除了嵌套的 VLAN 之外,我还考虑让中继线仅监听校园的流量。
这可能吗?如果可能,我该如何实现?或者,我是否必须为每个校园中的每个段(例如,HS 打印机、MS 打印机、Elem 打印机等)创建一个单独的 vlan 空间?我对 vlan 还是个新手,但正在慢慢学习。
答案1
嵌套 VLAN 确实存在,但它们就像在隧道内建造隧道一样,您必须拥有可以支持它的设备(如果需要,还需要许可)。更好的方法是将特定子网分配给特定校园,然后在子网之间镜像您的 VLAN 分配。这将允许在多个校园之间一致地使用 VLAN,同时将流量本地化到特定子网/校园。它也更简洁,并且在所有第 2 层交换机上都得到本机支持。
例如
答案2
嵌套 VLAN 实际上没有必要,而且在您的场景中它有点过度了。
您应该在位置之间使用路由链路,而不是交换链路。这样,VLAN 就不会跨越任何位置,从而允许您重复使用其 ID。但是,我不建议这样做 - 通常最好不要重复 VLAN ID,而是使用通用方案。
例如,您可以在位置 1 上使用 VLAN 110,在位置 2 上使用 VLAN 210,以实现相同的目的。这样,您可以如果有必要,请在不同位置使用通用的 VLAN 计划。对不同的子网使用重复的 ID 会迫使您重新编号 VLAN,这很不方便。
关于按校园划分会很好- 你不应该因为这样做很好或者因为你可以这样做。你应该这样做是为了提高网络安全性. 规划不同的安全区域 - 如 VoIP、物理安全(电子门、警报系统)、服务器、存储、员工访问、学生访问、物联网设备等,并使用 VLAN 来分隔这些区域。在区域之间配置严格的防火墙规则以控制区域之间的路由。从默认拒绝所有流量开始,只有真正需要的流量才允许。记录好。