Cisco
跨幾個交換機的 Cisco VLAN
我有一台處於第 3 層模式的 CISCO SG-300-52 交換機,以及處於第 2 層模式的 3 台 SG-300-52。目前,它們都使用鏈路聚合通過生成樹循環連接在一起。我
192.168.0.0/16在這個設置上執行子網。有一個 DHCP 伺服器為該網路中的客戶端分配 IP 地址。在這個 Layer2 網路中一切正常。我想在網路上設置幾個 VLAN,因為出於安全原因,我想將子網流量彼此分開。我的問題:
是否可以將 VLAN 彼此分開,但同時允許所有 VLAN 與伺服器通信。此外,我希望擁有幾台能夠與任何 VLAN 中的任何設備通信的管理電腦。基本上我可以總結為:
- VLAN10 - “管理” VLAN。包含伺服器和管理電腦 - 可以與網路中的任何設備通信。
- VLAN 20 - “正常” VLAN。包含不應與任何其他 VLAN 通信的設備。
- VLAN 30 - “正常” VLAN。包含不應與任何其他 VLAN 通信的設備。
另外,我想創建一個具有非常嚴格安全性的 VLAN,並且不允許該 VLAN 內的設備甚至相互通信 - 僅使用“管理”VLAN。
同時我想保持 DHCP 正常工作。
設置它是真的嗎?
您可以(每個都有不同的 IP 地址)將其連接到配置為“主幹”的交換機埠(在埠上使用您標識為“允許”的三個 VLAN),伺服器電腦將能夠與之通信每個 VLAN 中的客戶端。如果您不希望 Linux 機器代表 VLAN 中的客戶端在 VLAN 之間路由數據包,請確保不要在 Linux 機器上啟用 IP 轉發。
VLAN 介面充當虛擬網路介面。出於所有意圖和目的,伺服器將表現得好像它具有三個網路介面而不是一個。