我相信这是一个非常基本的/常见的networking问题。 我有一个Web服务器和两个数据库服务器共同位于一个数据中心。 我已经发布了10个公共IP地址,并且我有一个10端口的1-GBit思科交换机(支持L2和L3模式)。
目前,这3台服务器都连接到交换机,并configuration了公网IP,没有VLAN,交换机上也没有使用任何高级function。 Web服务器使用2个额外的NIC来交换到2个数据库服务器,每个数据库服务器都独立连接到交换机并可通过公共IP访问。
现在我需要添加更多的Web服务器,所以我需要在交换机上设置一个私有的内部networking( 192.168.1.xxx ),这样所有的服务器都可以相互通信,但是我也需要能够访问每个服务器服务器通过公共IP,例如远程桌面pipe理,我也偶尔需要访问超过1433接口与SQL Server。
我的问题是,这可以做只是使用开关,或者我需要一个路由器? 每个服务器至less有2个NIC,每个服务器需要2个连接到交换机,一个用于内部IP范围,一个用于外部访问?
对不起,如果我错过了任何有关的细节。
你所要求的是可以用VLAN实现的。 甚至有可能在一些不受pipe理的交换机上执行,但是pipe理型交换机会给你更多的select。
您可以将您的公共IP保留在未标记的VLAN上,这意味着公共IP段将照常工作,不需要对交换机另一侧的路由器进行configuration更改。
然后在每个主机上为VLAN标签创build一个虚拟接口,并将这些接口用于您的内部网段。 例如,如果使用Linux,则使用的命令可能是vconfig add eth0 10 ,它将创build一个名为eth0.10的接口,并发送和接收VLAN标记号为10的数据包。然后可以在每个主机上显示这些虚拟接口,就好像它们是物理接口一样。
如果它是一个能够切换标记数据包的非pipe理型交换机,那就没有什么更多了。
如果是托pipe交换机,则默认情况下可能不允许标记的数据包。 在这种情况下,您必须在交换机configuration中的每个端口上启用VLAN标记。 pipe理交换机,但你有一些其他的select。
如果交换机上有备用端口,则可以select将这些端口用于当前通过交叉电缆连接的端口。 在连接之前,您需要在交换机上configurationVLAN。
您可以将所有当前使用的端口configuration为使用VLAN 1作为untagged,使用VLAN 2作为tagged。 您可以configuration下一个要插入的端口,将VLAN 2标记为untagged,将VLAN 1标记为tagged。
然后,您可以将每个端口连接到交换机,而不是通过交叉电缆。 这样,您就可以开始使用VLAN,而无需立即重新configuration服务器。
您添加的下一台服务器可能只有一个networking连接,可以访问这两个VLAN。 在这一点上,你必须决定哪个VLAN是不加标签的,如果有的话。
你会想要一个防火墙。 就像Cisco ASA 5505防火墙一样,您可以将NAT公开到私有IP地址, 并允许您使用已分配的全部IP地址块。
当您为主机重新IP时,您仍然可以在交换机上维护VLAN,并通过思科ASA运行受Internet影响的stream量。