Мне нужно подключить филиал с несколькими WAN к нескольким устройствам:
Каждый модем WAN имеет только один интерфейс LAN.
Я хотел бы подключить каждый из трех модемов к одному коммутатору, помечая трафик, как указано выше, чтобы несколько устройств могли получить доступ к глобальной сети по мере необходимости.
Я совершенно не знаком с виртуальными локальными сетями, поэтому я, вероятно, упустил суть, но эта конфигурация (в моем тестировании), похоже, не требует какой-либо настройки коммутатора - все устройства должны согласовать теги VLAN.
Зачем кому-то нужен управляемый или «умный» коммутатор в такой конфигурации? Почему я могу подумать о его приобретении?
Основная причина создания интеллектуального / управляемого коммутатора - это реализация виртуальных локальных сетей. Если вы используете «тупой» коммутатор или концентратор, это устройство не гарантирует, что трафик фактически ограничен участвующими устройствами в каждой vLAN.
Быстрый и простой пример. Допустим, у нас есть три устройства на коммутаторе (A, B и C). A и B находятся в сети vLAN; B и C находятся в другой vLAN. Если это «тупой» коммутатор, то широковещательный трафик будет перенаправляться на все порты (широковещательный трафик A достигнет C; и наоборот). Если это «концентратор», а не коммутатор, то весь трафик будет отправлен на все устройства.
Следующий важный вопрос - заботитесь ли вы. Если вы полностью доверяете A, B и C видеть и общаться друг с другом, тогда в этой конфигурации действительно нет «вреда». A и C знали бы, что они не должны разговаривать друг с другом по vLAN, и не стали бы этого делать. Проблема возникает, когда вы не можете полностью доверять тому или другому, как в случае, когда один из них - подключенный к Интернету CPE. На этом этапе вы должны надеяться, что никакие вредоносные пакеты не будут передаваться через Интернет, vLAN Hopping или что-то еще, что необходимо для компрометации вашей сети.
Использование виртуальных локальных сетей без интеллектуального / управляемого коммутатора обеспечивает полную безопасность перегруженных подсетей (с использованием двух неперекрывающихся подсетей в одном широковещательном домене). Как упоминалось выше, отсутствие безопасности не обязательно является проблемой, хотя вы также не получаете преимуществ сегментированных широковещательных доменов. Одна небольшая потенциальная проблема заключается в том, что другие люди, работающие в этой сети, могут делать определенные предположения о безопасности на основе наличия некоторой конфигурации vLAN - неправильное предположение или иначе это также может привести к проблеме безопасности.
Если все ваши модемы WAN обмениваются данными с кадрами с тегами VLAN, тогда нет, вам не требуется управляемый коммутатор (если ваше неуправляемое устройство передает кадры с тегами без изменений).
Однако многие CPE WAN (маршрутизаторы / модемы и т. Д.) Не могут устанавливать теги или управляются интернет-провайдером, который не настроит их таким образом. В этом типе настройки каждый модем имеет немаркированное соединение с управляемым коммутатором, который затем применяет тег VLAN к кадру, передавая его маршрутизатору или другому устройству через тегированный магистральный порт.