我有一台Cisco ASA 5505,现在可以为10.10.0.X上的30台左右机器提供服务。
我想将这些机器中的一部分分离到一个VLAN中,以便它们不能将stream量发送到不属于受限VLAN的所有其他计算机。
不属于隔离组的计算机仍应能够启动与隔离计算机的连接。
所以这就像一个非军事区,除非我希望我不必把隔离的机器放在不同的子网上。
这是可能的还是我需要让每个VLAN在不同的子网?
请原谅我的新手身份这个东西。 我正在尝试学习。
Vlans是根据定义第2层。它是为了所有的意图和目的,如把机器放在两个独立的networking上。 因此,在这种情况下,您希望机器位于不同的子网上,并且在单独的vlans上,将ASA充当两个“区域”之间的中介路由器。然后,您将在ASA上设置ACL,以阻止stream量启动到第一个子网从第二个。
这是处理你正在做的事情的正确方法。 你可以在同一个vlan中使用两个独立的子网来做到这一点,但是这样会不太安全。
ASA平台可以在透明模式下使用,所以有可能做你想做的事情(尽pipe我承认我对ASA知之甚less)。
但是,这不会是一个推荐的configuration; 如果你想要这种隔离,最好的办法就是将它们重新编号为一个新的子网。