使用 WAN 和 LAN 配置交換機

我目前正在從頭開始配置網路交換機（HP procurve-8212）。首先，我嘗試配置一個簡單的 LAN 和 WAN 連接。我有一個 Internet 提供商，它為我提供了一個可用於 WAN 訪問的網關。

所以我對這里關於交換機本身 IP 地址的一些基本概念有點困惑。因此，很明顯，如果要被網路上的其他設備訪問（除了直接串列連接），交換機本身需要一個 IP 地址。現在，為交換機設置 IP 地址很容易，但我不清楚交換機的 IP 地址應該是內部 LAN 地址，如 10.0.0.1 或其他東西，還是外部WAN IP 地址在我的 Internet 提供商分配給我的靜態 IP 範圍內。或者第三，如果我需要配置多個 VLAN，一個用於 LAN，一個用於 WAN - 或者以上所有可能都是可能的，但存在不同的權衡/安全影響。

因此，為了簡單地試驗一個基本配置，我為交換機分配了一個 LAN 地址 10.0.0.1，並為覆蓋 10.0.0.0 到 10.255.255.255 的 /8 網路提供了一個子網遮罩 255.0.0.0。（我稍後會更改這一切，但我只是嘗試使用基本配置。）我給交換機一個由我的 ISP 提供的網關地址。所有這些都是單個預設 VLAN 的一部分。

這適用於 LAN 端。我使用靜態 IP 配置連接到交換機的所有設備，現在所有設備都可以 ping 交換機，也可以相互 ping 通。

但是，我無法使 WAN 訪問正常工作。我的理解是交換機應該配置為使用我的ISP提供的網關，然後任何連接到交換機的設備都應該使用交換機本身的地址作為網關。（同樣，稍後我將添加一個中間防火牆，但現在我只是在試驗一個基本配置。）

所以我的理解是，給定一台連接到交換機的任意電腦，如果我為該電腦靜態分配 LAN IP，然後將該電腦配置為使用交換機的 LAN IP 地址作為其網關，那麼電腦應該能夠上網（因為交換機是它的網關，交換機的網關是ISP提供的網關。）

但是，我無法從連接到交換機的電腦上 ping 任何實際的 Internet 地址。（我的 DNS 還沒有工作，但是我從智能手機獲取了 google.com 的 IP 地址，然後嘗試 ping 那個地址，但它不起作用。）

同樣，我可以 ping 交換機的 IP 地址（這是一個 LAN IP），我還可以通過 LAN ping 任何 IP 地址，但我無法從連接到交換機的任何設備訪問 Internet。

因此，這裡有多個混淆點，因此我很難將其提煉成一個連貫的問題，但我這樣做的最佳嘗試是：

1. 交換機的 IP 地址應該是 LAN 還是 WAN 地址（或者兩者都有什麼含義），應該如何配置交換機，以便連接到交換機的任何設備都可以訪問 Internet？
2. 我的問題本身是否表明我在這裡遺漏了一些關鍵概念？我懷疑我可能在這裡遺漏了一個關鍵概念，（也許我需要指定路由規則或預設路由？）但由於我不知道那個概念是什麼，所以很難提出一個關於它的具體問題。

我的問題本身是否表明我在這裡遺漏了一些關鍵概念？

是的。您正在處理交換機：它不是路由器。您可以使用 L2 用於

• 專用網路
• 公共網路
• 兩者都使用 VLAN。

像 HP Procurve 8212 這樣的 L3 交換機還能夠

• 專用網路之間的路由
• 公共網路之間的路由。

但是您不能在這裡將其用作網關，因為它不會在公共網路和專用網路之間進行網路地址轉換(NAT)。您的路由器應該這樣做。

網路通常根據“層”來處理。每一層都建立在最後一層之上。

電線使電力四處移動；這稱為第 1 層，或“物理”層。這是你可以用手指觸摸的東西。

交換機移動乙太網幀；這稱為第 2 層，或“數據鏈路”層。這一層對 IP 地址或路由器一無所知。（最近，這是一個“第 2 層交換機”。）

路由器四處移動 IP 數據包，這稱為第 3 層，或“網路”層。網關是路由器的另一個術語。（最近，“第 3 層交換機”成為路由器的另一個術語。它變得令人困惑。）

很籠統地說，您可以將乙太網電纜視為道路，將乙太網框架視為道路上的車輛，將交換機視為與交通信號的交叉口。IP 數據包將是車輛內的貨物，路由器將是運輸清單。開關和框架（車輛和道路和紅綠燈）在一起，但貨物和清單超出了設計道路的人的範圍。（這不是一個完美的類比。）

名義上，交換機（第 2 層交換機）完全不知道網路/IP 層。只需要給一台交換機（二層交換機）分配一個IP地址來管理它。更便宜的交換機不受管理，並且根本沒有與之關聯的 IP 地址。

從概念上講，將託管交換機（第 2 層交換機）視為第 2 層設備，其中裝有一台小型電腦。開關部分移動幀周圍；該電腦用於管理，並使用一條很小的乙太網電纜插入內部交換機埠。（這不是一個完美的類比。）

目前尚不清楚您的 ISP 為您提供的網關/路由器是什麼樣的，即物理埠和 IP 地址配置。他們可能在網關上做路由，他們也可能在做 NAT；或兩者兼而有之，或兩者都不是。所以我不能說得很好。

如果您在網關的乙太網埠（委託子網）上有公共的、可路由的 IP 地址，由您的 ISP 提供，那麼您就可以在 Internet 的一個小角落放任何您想要的東西。這很可能是您在交換機上的一個 VLAN 中放置的東西。

然後，您可能會希望在某個地方為您的專用網路安裝防火牆，可能帶有 NAT。該模型交換機確實具有一些基本的路由功能（第 3 層交換機），但我相信它甚至缺乏 NAT 功能，並且肯定沒有任何我可以信任的防火牆。

因此，通常您會使用另一台設備充當防火牆，然後將其插入交換機。您可以將網關/路由器和防火牆都放在同一個公共/WAN/任何 VLAN 上，並在該 VLAN 上為防火牆分配一個公共 IP 地址。

然後，您將在防火牆和交換機之間建立另一個連接，用於隔離的私有/本地/任何 VLAN。這可以使用第二條電纜和交換機埠，或者，如果防火牆支持它，您可以將所有 VLAN 放在連接防火牆的一根電纜上（有時稱為“棒上的路由器”）。

如果您需要更具體的答案，請提出更具體的問題。:-)

引用自：https://serverfault.com/questions/885387