Сегодня мне поручили решить сетевой проект для друга, который сдает в аренду несколько офисных помещений. Интернет предоставляется во всех апартаментах в стоимости аренды. Парень, который изначально установил все, взял одно оптоволоконное соединение и вставил его в сервер BSD.
По сути, происходит то, что сервер BSD действует как NAT и брандмауэр для всех офисных пакетов. Каждому набору назначен один статический частный IP-адрес, затем арендаторы используют стандартный маршрутизатор для обслуживания всех своих машин.
Это работает, но это двойной NAT, и из-за этого у некоторых клиентов возникают проблемы с некоторыми услугами.
Я хочу свести его к одной системе NAT и иметь каждый набор в своей собственной подсети IP-адресов, которые они используют напрямую (без дополнительного маршрутизатора). Проблема в том, что если кто-то поумнел, он мог бы просто изменить IP-адрес и вторгнуться в сеть другого пакета.
Основная проблема в том, что у меня не может быть DHCP-сервера, так как он будет обслуживать весь комплекс, а не только одну подсеть. Мне нужен DHCP-сервер (или один сервер, который может обслуживать несколько подмножеств) в каждой подсети.
Как лучше всего достичь того, что мне нужно? Я собираюсь предположить, что VLAN - это лучший вариант, но я мало о них знаю. Хотя я всегда хотел узнать, как построить VLAN. Я знаю, что мне понадобится управляемый коммутатор, но я не знаю, разделены ли VLAN на уровне 2 или уровне 3.
В итоге я купил несколько Cisco Catalyst 3500 XL по дешевке и предоставил каждому набору собственную VLAN. Затем я сделал магистральный порт с инкапсуляцией 802.1q и отправил его на сервер BSD с сетевыми адаптерами, которые могли декодировать 802.1q.
Это работает как шарм, каждый vlan получает свою собственную подсеть, а правила брандмауэра предотвращают маршрутизацию между vlan, чтобы все были изолированы.
Я собираюсь внимательно следить за трафиком, чтобы на сервере было достаточно 100 Мбит / с, возможно, мне придется выбрать 3550 и выполнить агрегацию каналов.
Спасибо за помощь!