Я хочу разделить несколько хостов LAN по соображениям безопасности.
Но большинству хостов необходимо взаимодействовать с одним или более распространенными серверами: - Интернет-шлюз - DHCP + DNS-сервер - файловый сервер - ...
Я мог бы определить VLAN и позволить каждому серверу присоединиться к одной (или нескольким?) VLAN.
Вопрос: Нужен ли мне коммутатор уровня 3 (например, Cisco SG250) или есть возможность заставить работать коммутатор уровня 2 (Cisco SG200).
По крайней мере, у интернет-шлюза нет опции VLAN, поэтому сделать порт шлюза TRUNK нельзя. То же самое верно и для большинства других машин, таких как DHCP-сервер.
Думаю, уровня 2 недостаточно. Возможно, я мог бы сделать один порт коммутатора членом нескольких VLAN (?), Но даже если это работает, по крайней мере, сообщение от DHCP-сервера (или шлюза) не будет возвращаться к хостам, если они находятся в разных VLAN.
Если уровень 3 - мое решение: означает ли это, что мне нужно настроить разные подсети для каждой VLAN и создать какое-то правило маршрутизации?
Коммутатор уровня 2 не может подключаться через VLAN. Он может подключать граничные устройства только к одной VLAN (или к нескольким VLAN с магистральным портом).
Вам понадобится коммутатор уровня 3 или маршрутизатор для обеспечения связи между VLAN. Убедитесь, что он поддерживает правильные списки ACL или правила брандмауэра, если вам нужно контролировать обмен данными.
Интернет-шлюз и клиенты могут находиться в разных VLAN: клиенты используют промежуточный маршрутизатор в качестве шлюза по умолчанию, а тот, в свою очередь, использует шлюз Интернета по умолчанию.
Для DHCP вы можете настроить вспомогательные адреса на коммутаторах (некоторые L2 также поддерживают это), чтобы они перенаправляли запросы DHCP на сервер DHCP в другой VLAN.
Если уровень 3 - мое решение: означает ли это, что мне нужно настроить разные подсети для каждой VLAN и создать какое-то правило маршрутизации?
Именно. Каждая подсеть находится в своей собственной VLAN, а маршрутизатор или коммутатор L3 маршрутизирует между подсетями. Правила маршрутизатора разрешают или запрещают обмен данными, который вы хотите или не хотите.
Проще говоря - если вы хотите иметь несколько VLAN и разговаривать между ними, вам понадобится устройство уровня 3. Если это будет коммутатор, вы должны создать виртуальный интерфейс коммутатора (SVI) для каждой VLAN, назначить ему IP-адрес и включить маршрутизацию. Это будет шлюз для ваших конечных устройств. Каждая VLAN будет отдельной подсетью.
Если вы хотите использовать маршрутизатор, вам следует проверить дизайн Router on a Stick. Вы можете попробовать установить какое-нибудь устройство маршрутизации или что-то в этом роде, если хотите отказаться от аппаратных решений.
Надеюсь, это поможет.
С уважением, Рей