我需要将具有多个 WAN 的分支机构连接到多个设备:
wan1 调制解调器
- 公网 IP:2.2.2.2
- 私有 IP:192.168.20.1
- VLAN 标签:20
wan2 调制解调器
- 公网 IP:3.3.3.3
- 私有 IP:192.168.30.1
- VLAN 标签:30
wan3 调制解调器
- 公网 IP:4.4.4.4
- 私有 IP:192.168.40.1
- VLAN 标签:40
设备 1
- 物理接口 eth1
- 接口 1 IP:192.168.20.100,VLAN 标签 20
- 接口 2 IP:192.168.30.100,VLAN 标签 30
- 接口 3 IP:192.168.40.100,VLAN 标签 40
设备 2
- 物理接口 eth1
- 接口 1 IP:192.168.20.101,VLAN 标签 20
- 接口 2 IP:192.168.30.101,VLAN 标签 30
- 接口 3 IP:192.168.40.101,VLAN 标签 40
每个 WAN 调制解调器只有一个可用的 LAN 接口。
我想将三个调制解调器中的每一个连接到单个交换机,并像上面一样标记流量,以便多个设备可以根据需要访问 WAN。
我对 VLAN 完全不熟悉,所以我可能没有抓住重点,但这种配置(在我的测试中)似乎不需要任何交换机配置 - 所有设备只需要同意 VLAN 标签。
为什么有人需要这种配置的托管或“智能”交换机?我为什么会考虑购买一台?
答案1
智能/托管交换机的核心原因是实际实现 vLAN。如果您使用“哑”交换机或集线器,则无法保证该设备确实将流量限制在每个 vLAN 中的参与设备上。
举个简单的例子。假设我们在一台交换机上有三个设备(A、B 和 C)。A 和 B 在一个 vLAN 中;B 和 C 在另一个 vLAN 中。如果是“哑”交换机,则广播流量将转发到所有端口(A 的广播流量将到达 C;反之亦然)。如果是“集线器”而不是交换机,则所有流量都将发送到所有设备。
下一个重要问题是您是否在意。如果您完全信任 A、B 和 C 能够互相查看和通信,那么这种配置实际上没有任何“危害”。A 和 C 知道他们不应该在对方的 vLAN 上交谈,因此不会这样做。当您不能完全信任其中一个或另一个时,就会出现问题,例如其中一个是互联网连接的 CPE 的情况。此时,您必须希望没有恶意数据包通过互联网、vLAN 跳跃或任何必要的方式传输,以危害您的网络。
使用没有智能/托管交换机的 vLAN 具有与过载子网(在同一广播域上使用两个不重叠的子网)相同的安全性。如上所述,缺乏安全性不一定是个问题,尽管您也无法获得分段广播域的好处。一个小的潜在问题是,在这个网络上工作的其他人可能会根据某些 vLAN 配置的存在对安全性做出某些假设 - 错误的假设或其他假设,也可能导致安全问题。
答案2
如果您的 WAN 调制解调器全部使用 VLAN 标记的帧进行通信,那么您就不需要托管交换机(只要您的非托管设备以不变的方式传递标记的帧即可)。
但是,许多 WAN CPE(路由器/调制解调器/等)无法设置标签,或者由 ISP 管理,ISP 不会以这种方式配置它们。在这种设置中,每个调制解调器都有一个到托管交换机的未标记连接,然后托管交换机将 VLAN 标记应用于帧,并通过标记的中继端口将其传递给路由器或其他设备。