我可以根據兩個不同的標準對我的網路進行分段嗎?
我在一所擁有多個校區的學校工作,我想用 VLAN 對我的網路進行分段。因此,電話在一個 vlan 上,列印機在另一個 vlan 上,等等。我認為按校園分段也會很好。這似乎是某種嵌套的 vlan,其中有一個用於高中的 vlan,然後用於 HS 中的電話,等等。
除了嵌套的 vlan,我還考慮過讓中繼只監聽他們校園的流量。
這可能嗎,如果可以,我該如何實施?或者,我是否必須為每個校區的每個段創建一個單獨的 vlan 空間(例如 HS 列印機、MS 列印機、Elem 列印機等)?我仍然是vlans的新手,但正在慢慢學習。
嵌套 VLAN 是一回事,但它們就像在隧道內建構隧道一樣,您必須擁有可以支持它的設備(如果需要,還需要許可)。更好的方法是將特定子網分配給特定園區,然後跨子網鏡像您的 VLAN 分配。這將允許跨多個校園的一致 VLAN 使用,同時將流量本地化到特定子網/校園。它也更簡潔,並且在所有第 2 層交換機上都原生支持。
例如
嵌套 VLAN 並不是真正必要的,而且在您的場景中它有點過分了。
您應該在位置之間使用路由連結,而不是交換連結。這樣一來,VLAN 就不會跨越多個位置,從而允許您重複使用它們的 ID。但是,我不建議這樣做 - 通常最好不要複製 VLAN ID,而是使用通用方案。
例如,您可以將位置 1 上的 VLAN 110 和位置 2 上的 VLAN 210 用於相同目的。這樣,如果有必要,您*可以跨位置使用通用 VLAN 計劃。*對不同的子網使用重複的 ID 會迫使您重新編號 VLAN,這並不好玩。
關於按校園劃分會很好- 你不應該這樣做,因為它很好或因為你可以。您應該這樣做以提高網路安全性。規劃不同的安全區域 - 例如 VoIP、物理安全(電子門、警報系統)、伺服器、儲存、員工訪問、學生訪問、物聯網設備……並使用 VLAN 分隔這些區域。在區域之間配置嚴格的防火牆規則,以控制區域之間的路由。從預設拒絕所有流量開始,實際上只需要允許。記錄好。