我有一台处于第 3 层模式的 Cisco SG-300-52 交换机和处于第 2 层模式的 3 x SG-300-52。目前,它们都使用链路聚合通过生成树循环连接在一起。我192.168.0.0/16在这个设置上运行子网。有一个 DHCP 服务器为该网络中的客户端分配 IP 地址。在这个 Layer2 网络中一切正常。
我想在整个网络中设置几个 VLAN,因为出于安全原因,我想将子网流量彼此分开。我的问题:
是否可以将 VLAN 彼此分开,但同时允许所有 VLAN 与服务器通信。此外,我希望有几台管理员计算机应该能够与任何 VLAN 中的任何设备进行通信。基本上我可以总结为:
VLAN10 - “管理”VLAN。包含服务器和管理员计算机 - 可以与网络中的任何设备通信。
VLAN 20 - “常规” VLAN。包含不应与任何其他 VLAN 通信的设备。
VLAN 30 - “常规” VLAN。包含不应与任何其他 VLAN 通信的设备。
此外,我想让一个 VLAN 具有非常严格的安全性,并且不允许该 VLAN 内的设备甚至相互通信 - 仅使用“管理”VLAN。
同时我想保持 DHCP 工作。
设置它是真的吗?
您可以(每个具有不同的 IP 地址)将其连接到配置为“中继”的交换机端口(具有您在端口上标识为“允许”的三个 VLAN),并且服务器计算机将能够与每个 VLAN 中的客户端。如果您不希望 Linux 机器代表 VLAN 中的客户端在 VLAN 之间路由数据包,请确保不要在 Linux 机器上启用 IP 转发。
VLAN 接口充当虚拟网络接口。出于所有意图和目的,服务器将表现得好像它具有三个网络接口而不是一个。
| 归档时间: |
|
| 查看次数: |
178 次 |
| 最近记录: |