我想将多台主机从本地网络分离出来,并将它们置于防火墙后面。我想使用 VLAN 来“物理”分离它们,而不是仅仅使用不同的子网。我的想法是使用支持 VLAN 的交换机,并像这样构建网络:
P1 和 P2、P3 和 P4 是属于两个独立“物理”网络(VLAN 1 和 2)的四台不同主机。它们应受到 P5 上的防火墙/网关的保护。
P5 应充当防火墙/网关,控制分离主机与现有网络之间的数据。它只有一个 NIC 需要连接到现有网络(无 VLAN)和两个 VLAN。
P6是现有网络上行链路。
我现在的问题是:
- 这个想法是否可以按预期工作(给定正确的配置) - 即,P5 上的主机可以拥有多个 IP /仅使用一个 NIC 成为多个网络的一部分,它充当分离主机和现有网络之间的网关 / 防火墙,并且如果没有我没有考虑到的陷阱 / 缺陷,可能允许数据绕过防火墙在网络之间流动?
- 我猜测由于 P5,交换机需要能够支持标记 VLAN(而不仅仅是基于端口的 VLAN)?
答案1
是的,是的。
这是我家里的设置。P5 连接到运行 Linux 的小型 PC,并执行路由、防火墙以及充当 DHCP 和 DNS 服务器。
答案2
是的,这样可行。请确保在支持 VLAN 的交换机上为 192.168.10.0/24 子网也创建一个 VLAN一切都是 VLAN。
在 P5 中继上,您需要标记所有 VLAN 或保持单个 VLAN 未标记。务必匹配防火墙上的交换机配置,无论是使用 VLAN 和 SVI 还是“路由”L3(子)接口。
正如@NiKiZe 所说,VLAN 1 在某些交换机上具有特殊含义(尤其是作为管理 VLAN),因此请确保在有效使用它之前了解这一点。