Router
VLAN/子網設計
我試圖了解 VLAN/子網的實際實現。
我目前有 3 台 HP v1910 交換機,具有以下子網/VLAN;
- 192.168.20.0/24 生產伺服器(7 個虛擬和物理伺服器)
- 192.168.30.0/24 個生產客戶端(25 台 PC)
- 192.168.35.0/24 生產列印機
- 192.168.50.0/24 WSUS 伺服器
- 192.168.70.0/24 台管理員電腦(6 或 7 台電腦)
- 192.168.80.0/24 Hyper-V 主機(2 台伺服器)
- 192.168.90.0/24 IP 電話
在 Switch1 上為每個子網(所有 192.168.x.1 地址)定義了一個 vlan 介面。交換機 1 連接到 Watchguard 防火牆,並從那裡連接到 ISP 的基本網際網路路由器。
我拆分這些(正確或錯誤)的主要原因是為了更容易限制訪問。IE
- 所有生產的東西都互相交談。
- WSUS 可與 IP 電話以外的所有設備通話
- IP 電話僅與 Prod PC 或 Admin PC 通話(IP 電話有專用網關輸出用於 voip)
- 管理員 PC(非基於域)無法與任何產品進行通信
- 管理員電腦可以訪問網際網路
- 生產 PC 的網際網路非常有限(僅生產服務,不瀏覽等)
- 數據伺服器無法訪問網際網路
- WSUS 可以上網
- Hypver-v 僅與伺服器子網(DC 所在的位置)和 WSUS 對話
在我想創建更多 VLAN 之前,這一切正常。v1910 最多只能創建 8 個 VLAN 介面。
我只是在交換機 2 上創建下一個 x 數量的 VLAN,我是否過於復雜了?還是我期待太多,需要一些更好的硬體?
謝謝
v1910 上的 8 個 VLAN 介面限制用於路由目的。如果你有其他東西做你的路由,那麼你可以根據需要創建盡可能多的 VLAN。
我可能會考慮在您的拓撲頂部放置一個更大的交換機 - 一個可以為您的所有 VLAN 完成所有 L3 路由需求的交換機,並將您的交換機連接到中心輻射型拓撲中的那個交換機。
然後,您將您的看門狗連接到您的頂部交換機,並將所有需要的 VLAN 中繼到用於網際網路訪問等的 VLAN 中。