我有一台 CISCO SG-300-52 交换机处于第 3 层模式,还有 3 台 SG-300-52 交换机处于第 2 层模式。目前,它们都使用链路聚合通过生成树环路连接在一起。我192.168.0.0/16在此设置上运行子网。有一个 DHCP 服务器为该网络中的客户端分配 IP 地址。在这个第 2 层网络中,一切都运行正常。
我想在网络上设置几个 VLAN,因为出于安全原因,我想将子网流量彼此隔离。我的问题是:
是否可以将 VLAN 彼此分开,但同时允许所有 VLAN 与服务器通信。此外,我希望有几台管理计算机能够与任何 VLAN 中的任何设备通信。基本上我可以总结如下:
VLAN10 - “管理”VLAN。包含服务器和管理计算机 - 可以与网络中的任何设备通信。
VLAN 20 - “常规” VLAN。包含不应与任何其他 VLAN 通信的设备。
VLAN 30 - “常规” VLAN。包含不应与任何其他 VLAN 通信的设备。
另外,我想创建一个具有非常严格安全性的 VLAN,并且不允许该 VLAN 内的设备相互通信 - 仅与“管理员”VLAN 通信。
同时我想让 DHCP 保持正常工作。
這個設定是真的嗎?
答案1
您可以(每个都有不同的 IP 地址)将其连接到配置为“中继”的交换机端口(端口上已将三个 VLAN 标识为“允许”),这样服务器计算机将能够与每个 VLAN 中的客户端进行通信。如果您不希望 Linux 计算机代表 VLAN 中的客户端在 VLAN 之间路由数据包,请确保不要在 Linux 计算机上启用 IP 转发。
VLAN 接口充当虚拟网络接口。无论出于何种目的,服务器都将表现得好像有三个网络接口,而不是一个。