Мне интересно, нужно ли мне покупать управляемый коммутатор (поддержка VLAN) для моей конфигурации, или будет работать более дешевый неуправляемый коммутатор?
У меня есть сервера с двумя NICS на каждом. Первый сетевой адаптер является общедоступным, а второй - частным. Маршрутизатор подключится к порту коммутатора 1, скажем (общедоступному). Затем общедоступный сервер 1 подключается к порту 2 на коммутаторе, а частные разъемы 1 отключаются к порту 3 на коммутаторе. Открытый интерфейс: 192.168.X.X / 255.255.0.0, а частный интерфейс - 10.0.X.X / 255.255.0.0.
Так выглядит:
** SWITCH **
Port Device Network
1 Router/Firewall 192.168.X.X
2 Server 1 Public 192.168.X.X
3 Server 1 Private 10.0.X.X
4 Server 2 Public 192.168.X.X
5 Server 2 Private 10.0.X.X
6 Server 3 Public 192.168.X.X
7 Server 3 Private 10.0.X.X
Спасибо.
Размещение общедоступных и частных сетей в 1 VLAN - это проблема безопасности. Вероятно, это сработает, но это стоит небольших вложений в полууправляемый коммутатор.
Или вы можете просто купить два неуправляемых концентратора / коммутатора, один для общедоступного и один для частного. Это немного безопаснее, поскольку нет возможности ошибочной конфигурации, смешанной с ними.
Управляемые коммутаторы хороши, если вы собираетесь ими управлять. Например, вы можете получить статистику посещаемости.
ИМХО, VLAN немного перегружены.
Переключатель - это OSI устройство уровня 2. Таким образом, он не заботится об IP-протоколе и адресах.
Без настройки VLAN коммутатор и сети должны работать правильно.
тем не мение
В зависимости от разницы в цене и того, насколько важны безопасность и конфиденциальность, я бы посоветовал переключаться между VLAN. Другая причина заключается в том, что обычно эти устройства имеют лучшую сборку и более надежную внутреннюю прошивку.
В зависимости от вашего приложения программный брандмауэр внутри ОС может быть достаточно хорош, но сетевая карта не является частной только потому, что вы помечаете ее частной. Сетевые адаптеры находятся в том же широковещательном домене, и любой сетевой адаптер в этом широковещательном домене может взаимодействовать с любым другим сетевым адаптером в этом широковещательном домене. Если вы хотите, чтобы этого не произошло, вам потребуется физическое или логическое разделение сети.