在一個 NIC 上具有多個 VLAN IP 的網關

我想從本地網路中分離出幾台主機並將它們放在防火牆後面。我想使用 VLAN 來“物理地”分離它們，而不是只使用不同的子網。我的想法是使用支持 VLAN 的交換機，並像這樣建構網路：

P1 和 P2、P3 和 P4 是四個不同的主機，它們屬於兩個獨立的“物理”網路（VLAN 1 和 2）。它們應該受到 P5 上的防火牆/網關的保護。

P5 應該充當防火牆/網關，控制分離的主機和現有網路之間的數據。它只有一個網卡需要連接現有網路（無VLAN）和兩個VLAN。

P6 是現有網路的上行鏈路。

我現在的問題是：

1. 這個想法能否按預期工作（給定正確的配置） - 即，P5 上的主機可以有多個 IP/成為多個網路的一部分，只有一個 NIC，它充當分離主機和現有主機之間的網關/防火牆網路，如果沒有我沒有考慮過的陷阱/缺陷可能允許繞過防火牆的網路之間的數據流？
2. 我猜交換機需要能夠支持標記的 VLAN（而不僅僅是基於埠的 VLAN），因為 P5？

是的，是的。

這是我家裡的設置。P5 連接到執行 Linux 並執行路由、防火牆和充當 DHCP 和 DNS 伺服器的小型 PC。

是的，這會奏效。確保您也為 192.168.10.0/24 子網創建了一個 VLAN - 在支持 VLAN 的交換機上，一切都是 VLAN。

在 P5 中繼上，您需要標記所有 VLAN 或保持單個 VLAN 未標記。務必在防火牆上匹配交換機的配置，包括 VLAN 和 SVI 或“路由”L3（子）介面。

正如@NiKiZe 所指出的，VLAN 1 在某些交換機上具有特殊含義（尤其是作為管理 VLAN），因此請確保在有效使用它之前了解這一點。

引用自：https://serverfault.com/questions/1085377