Я бы хотел:
a) сегментируйте несколько отделов в сети VLAN с надеждой на полное ограничение доступа между ними (отдел продаж никогда не должен разговаривать с рабочими станциями или принтерами службы поддержки и наоборот) или b) определенные IP-адреса и порты TCP / UDP в VLAN, т. е. разрешение VLAN продаж для доступа к веб-серверу CRM в серверной VLAN только через порт 443.
Что касается портов, мне понадобится 48-портовый коммутатор и еще один 24-портовый коммутатор, чтобы работать с двумя существующими 24-портовыми коммутаторами уровня 2 (Linksys); Я собираюсь использовать D-Links или HP Procurves, так как Cisco вне нашего ценового диапазона.
Вопрос 1:
Насколько я понимаю (и, пожалуйста, поправьте меня, если я ошибаюсь), если все серверы (VLAN10) и продажи (VLAN20) находятся на одном 48-портовом коммутаторе (или двух стековых 24-портовых коммутаторах), afaik, коммутатор «знает», к каким VLAN и портам принадлежит каждое устройство, и будет переключать пакеты между ними; На этом этапе я также могу применить ACL для ограничения доступа между VLAN. Это верно?
Вопрос 2:
Теперь предположим, что поддержка (VLAN30) находится на другом коммутаторе (одном из коммутаторов Linksys).
Я предполагаю, что мне нужно соединить (пометить) VLAN коммутатора №2 с коммутатором №1, поэтому коммутатор №1 видит VLAN30 коммутатора №2 (и наоборот). Как только коммутатор №1 сможет «увидеть» VLAN30, я предполагаю, что смогу применить ACL, как указано в вопросе №1. Это верно?
Вопрос №3:
Как только коммутатор №1 сможет видеть все VLAN, смогу ли я достичь, казалось бы, фильтрации ACL «Уровня 3», ограничивая доступ к Server VLAN только для определенных портов TCP / UDP и IP-адресов (скажем, разрешая только 3389 для сервера терминалов, 192.168.0.1). 10,4 / 32). Я говорю «по-видимому», потому что некоторые переключатели уровня 2 упоминают возможность ограничения портов и IP-адресов через списки ACL; Я (возможно, ошибочно) подумал, что для использования ACL уровня 3 (фильтрация пакетов) мне потребуется хотя бы один коммутатор уровня 3, действующий как основной маршрутизатор.
Если мои предположения неверны, в какой момент вам понадобится коммутатор уровня 3 для маршрутизации между VLAN или переключения между VLAN? Обычно это только тогда, когда вам нужна высокоуровневая фильтрация пакетов между вашими отделами?
Имейте в виду, что, по сути, если два хоста настроены с IP-адресами в разных подсетях, эти хосты должны будут взаимодействовать через один или несколько маршрутизаторов с интерфейсами в своих соответствующих подсетях для связи. «Коммутатор уровня 3» - это не что иное, как маршрутизатор с возможностью создания виртуальных интерфейсов, которые доступны для широковещательной среды VLAN.
re: # 1 - Чтобы концептуализировать VLAN, просто представьте, что порты в каждой VLAN - это физически отключенный коммутатор. В безупречной реализации VLAN (где трафик не может «просачиваться» между VLAN) это эффективное поведение - каждая VLAN действует как отдельный коммутатор. ACL, применяемые на уровне 2, будут называть только MAC (и, если коммутатор поддерживает ACL квази-уровня 1, порты). Любые списки ACL с именами IP-адресов, портов TCP и т. Д. Не являются списками ACL уровня 2. (Могут быть коммутаторы с функциональностью «уровня 2.5», посредством которой они проверяют полезную нагрузку IP-пакетов, не имея возможности маршрутизировать пакеты, но я бы с осторожностью относился к таким вещам.)
re: # 2 - Теги VLAN позволяют передавать трафик нескольких VLAN через один порт, обычно называемый «магистралью». Вы можете представить их как виртуальное разделение соединения между двумя устройствами на более мелкие «порты», каждый из которых передает трафик для одной VLAN. Нет ничего, что можно сделать с «транкингом», чего нельзя было бы сделать, используя несколько не транкинговых портов, но использование транковых портов и теговых пакетов позволяет передавать трафик нескольких VLAN между физически отключенными коммутаторами без использования большого количества физических портов для межкоммутаторных каналов.
re: # 3 - Маршрутизация IP между разными подсетями (независимо от VLAN - обычно удобно иметь соотношение 1: 1 между VLAN и подсетями, но это не обязательно) требует возможности маршрутизации. Если вам нужно маршрутизировать IP между разными подсетями, вам понадобится маршрутизатор. Это может быть встроенный объект уровня 3 в коммутатор или «маршрутизатор на палке». Все, что может маршрутизировать IP между разными подсетями, является маршрутизатором. re: ACL - Как я сказал в № 1 - я бы опасался устройства, которое выполняло функции «квази-уровня 3». Либо это роутер, либо нет.
Пара приличных вопросов для справки: