Назад | Перейти на главную страницу

Несколько VLAN в одной подсети

Возможно ли иметь несколько VLAN в одной подсети с одним и тем же адресом шлюза (TMG)?

Я хочу избежать большого количества подсетей (и vNIC в TMG), чтобы изолировать наборы из нескольких хостов.

IP: 10.0.0.1         (TMG server)       VLAN:1 ~ 3

IP: 10.0.0.11 ~ 20   (Hosts group 1)    VLAN:1

IP: 10.0.0.21 ~ 30   (Hosts group 2)    VLAN:2

IP: 10.0.0.31 ~ 40   (Hosts group 3)    VLAN:3

Обратите внимание, что я не хочу, чтобы они подключались друг к другу, поэтому маршрутизация ARP / между vlan (внутри подсети) не требуется.

Шлюз работает на виртуальной машине в ESXi 5, я могу передать виртуальные локальные сети на виртуальную машину, используя VGT или диапазон виртуальных локальных сетей, но я не знаю, как OS / TMG должна их обрабатывать.

Конечно, вы можете это сделать, но это не рекомендуется.

В виртуальных локальных сетях используется программное обеспечение для имитации отдельных физических локальных сетей. Таким образом, каждая VLAN является отдельным широковещательным доменом и отдельной сетью.

Как вы определили, маршрутизация между этими виртуальными локальными сетями будет затруднена, поскольку они находятся в одной подсети. Если все адреса разные, можно маршрутизировать трафик с использованием очень большого количества правил, которые не соответствуют реальной конфигурации подсети и запутают любого, кто унаследует это от вас. Однако вполне допустимо использовать одни и те же подсети RFC1918 в разных физических сетях. Возможно, вы даже можете сделать все адреса одинаковыми.

Другое ограничение, которое следует иметь в виду, и, возможно, более актуальное, заключается в том, что если какой-либо из этих хостов вообще должен подключаться к чему-либо, их маршрутизация в эту сеть также будет затруднена. Вам почти наверняка придется использовать NAT и настроить правила NAT так, чтобы каждая из этих VLAN имела отдельный внешний адрес. Если эта конфигурация не запутает ОС хоста, она наверняка запутает любого администратора, пытающегося с ней работать.

Существует много, много, много адресов RFC1918, и редко возникает реальная потребность в сохранении адресов таким образом. В крайне маловероятном случае, если вы их не используете, вы даже можете использовать диапазон адресов RFC6598. 100.64.0.0/10 (который обозначен как частный диапазон для NAT операторского уровня, и хотя это не его предполагаемое использование, если вы достаточно велики, чтобы израсходовать целые / 8, / 16 и / 12, кроме того, вы, вероятно, могли бы сделать аргумент, что вы фактически являетесь интернет-провайдером для этих устройств).