Я не знаю, правильная ли это настройка.
Мне нужно изолировать три порта на трех разных коммутаторах от других портов (обновление: чтобы они были отделены от других, а также имели доступ к Интернету). Думаю, VLAN - это лучший вариант ... Но мне не нужен конкретный диапазон IP-адресов для двух VLAN. Ничего страшного, если у них общий DHCP-сервер.
Это возможно? Два VLANS, созданные на коммутаторах только для сегментации (обновления как отдельных) портов. И никакого создания VLAN на роутере / DHCP-сервере, ведь это всего лишь одна большая LAN?
Я безуспешно пытался. Итак, я начал ожидать, что мне понадобится другой подход.
Мне нужно изолировать три порта на трех разных коммутаторах от других портов.
Итак, вы хотите иметь три порта, с которыми можно разговаривать ... ни с кем? Если они действительно должны иметь возможность общаться друг с другом, поместите их в одну VLAN и пометьте порты восходящего соединения.
Я думаю, VLAN - это то, что вам нужно ...
Определенно да.
Но мне не нужен конкретный IP-диапазон для VLAN.
VLAN разделяют трафик на уровне 2, IP-адреса - на уровне 3. Итак, нет, вы этого не сделаете. необходимость отдельные IP-диапазоны. Скорее всего, большинство администраторов рекомендовать это технически не необходимо.
Ничего страшного, если у них общий DHCP-сервер.
Если порт изолированные в его собственной VLAN ничто не передается никому. Думайте об этом как об отдельном переключателе. Если вам нужен DHCP, вам нужно его вставить. Если они должны иметь возможность разговаривать с чем-либо еще, пометьте / снимите метку его таким образом.
На коммутаторах созданы два VLANS, предназначенные только для сегментации портов.
Да, именно для этого и предназначены VLAN: сегментация и (иногда) изоляция. Сегмент - это полностью независимая конструкция - подумайте о нем как о виртуальном коммутаторе, у которого есть порты на других коммутаторах.
нет создания VLAN на маршрутизаторе / DHCP-сервере, ведь это всего лишь одна большая LAN?
Нет, каждая VLAN - это собственная, полностью разделенная сеть. Если вам нужны маршрутизаторы или DHCP-серверы, вам необходимо их вставить. Вы можете использовать несколько интерфейсов на своих хостах, подключать сети через маршрутизатор / брандмауэр с несколькими интерфейсами или тегированными портами или (во многих случаях) позволить коммутатору выполнять маршрутные работы. DHCP также может быть ретранслирован через помощника ip (агент ретрансляции dhcp). Сегментация почти такая же, как и разделение. Два сегмента, два сервера.
Я безуспешно пытался. Так что начните ожидать, что мне понадобится еще один подход.
Трудно представить, что именно вы пробовали, когда не рассказываете нам.
Вот что я бы сделал, если бы подключил три порта на трех разных коммутаторах, которые должны иметь возможность общаться друг с другом, если SwitchZ подключает их, используя VLAN100 в качестве «изолированной» сети и VLAN 1 по умолчанию:
SwitchA в SwitchC:
SwitchA - All ports UNTAGGED VLAN 1
SwitchA - Port1 UNTAGGED VLAN 100 <-- the 'isolation' port. Stuff you stick in here will get into VLAN100. "UNTAGGED" (HPE/Baracuda) is the same as "ACCESS" (Cisco).
SwitchA - Port24 TAGGED VLAN 100 and UNTAGGED 1 <-- The Uplink Port. It should transport VLAN 100 ("tagged") and defaulkt to 1.
SwitchZ (который соединяет аплинки)
SwitchA - All ports UNTAGGED VLAN 1
SwitchA - Port1-3 TAGGED VLAN 100 <-- the uplinks from the SwitchesA-C. Should transport VLAN100 and default to 1.
Вот и все.
Хосты в двух VLAN могут использовать один DHCP-сервер, но им потребуются разные области действия. Вам нужна отдельная IP-подсеть для каждой VLAN. Вы можете иметь один и тот же диапазон подсети в двух разных VLAN.