У меня есть один коммутатор CISCO SG-300-52 в режиме Layer3 и 3 x SG-300-52 в режиме Layer 2. В настоящее время все они связаны друг с другом петлями связующего дерева с использованием агрегации ссылок. Я бегаю 192.168.0.0/16 подсеть в этой настройке. Существует DHCP-сервер, назначающий IP-адреса клиентам в этой сети. В этой сети Layer2 все работает отлично.
Я хочу настроить несколько виртуальных локальных сетей в сети, поскольку я хочу отделить трафик подсетей друг от друга по соображениям безопасности. Мой вопрос:
Можно ли отделить VLAN друг от друга, но в то же время разрешить всем VLAN связываться с сервером. Также я хочу иметь несколько административных компьютеров, которые должны иметь возможность общаться с любым устройством в любой VLAN. В основном я могу резюмировать это как:
VLAN10 - «админская» VLAN. Содержит серверный и административный компьютеры - может разговаривать с любым устройством в сети.
VLAN 20 - «обычный» VLAN. Содержит устройства, которые не должны взаимодействовать с другими VLAN.
VLAN 30 - «обычный» VLAN. Содержит устройства, которые не должны взаимодействовать с другими VLAN.
Кроме того, я хотел бы создать одну VLAN с очень строгой безопасностью и не позволять устройствам в этой VLAN даже разговаривать друг с другом - только с VLAN «администратора».
И в то же время я хочу, чтобы DHCP работал.
Реально ли его настроить?
Вы можете (каждый с другим IP-адресом) подключить его к порту коммутатора, настроенному как «магистраль» (с тремя виртуальными локальными сетями, которые вы определили как «разрешенные» для порта), и серверный компьютер сможет взаимодействовать с клиентов в каждой VLAN. Убедитесь, что вы не включили переадресацию IP на машине Linux, если вы не хотите, чтобы он маршрутизировал пакеты между VLAN от имени клиентов в этих VLAN.
Интерфейсы VLAN действуют как виртуальные сетевые интерфейсы. Сервер для всех намерений и целей будет действовать так, как если бы он имел три сетевых интерфейса вместо одного.