我有一个分配给它的/ 29子网的ADSL连接,给我6个可用的IP地址。 目前这个有一个便宜的Netgear ADSL路由器,它有一个内置的交换机。 有3个服务器连接,每个都有一个公共IP地址。 这些服务器中的每一个都在我们的DMZ中,并且与内部防火墙有第二个networking连接,但我不认为这对于这个问题很重要。
由于Netgear路由器的交换机非常简单,这三台服务器中的每一台都可以通过路由器的交换机访问其他服务器。 我需要的是将这些服务器中的每一个与其他服务器隔离开来,并且无法访问它们。
我打算用更合适的东西来replace路由器,例如思科1801,它也有一个内置的交换机,但是支持这个交换机上的VLAN。 但是,我不确定实现目标的最佳方法是什么。 我不确定该路由器上的防火墙是否适用于到其交换机的连接,或者仅适用于路由连接。 而且我觉得这里应该涉及到VLAN,但是我不确定如何!
对于使用/ 29子网实现ADSL连接要求的最佳方法是什么?在哪里连接的设备没有互相连接?
我不知道1801,我用Cisco 1811做这个。 您可以为交换机上的每个端口分配一个VLAN:
interface FastEthernet1 switchport access vlan 1 interface FastEthernet2 switchport access vlan 2 etc. interface Vlan1 ip address <IP-ADDRESS-INTERNAL-1> <NETMASK> ... interface Vlan2 ip address <IP-ADDRESS-INTERNAL-2> <NETMASK> ... etc. 这些VLAN在默认情况下是分开的。 您也可以分配一个交换机端口来访问所有的VLAN(用于监视或其他)。
要将每个VLAN链接到一个公共IP地址,您可以使用以下几个NAT规则:
ip nat inside source static <IP-INTERNAL-IP-1> <IP-EXTERNAL-IP-1> ip nat inside source static <IP-INTERNAL-IP-2> <IP-EXTERNAL-IP-2> etc.
并打开Fe0(WAN连接)上的nat:
interface FastEthernet0 ip nat outside ...
确保你购买了内置ADSL Fem0的cisco 18xx,否则你将花费很多钱在一个额外的ADSL模块上。