今天,我得到了一个项目,以解决一个朋友出租多个办公套房的networking项目。 互联网是提供给所有套房的租金成本。 最初设置所有东西的人用一根光纤连接并将其放入BSD服务器。
所以基本上发生的事情是,BSD服务器充当所有办公套件的NAT和防火墙。 它有一个静态私有IP分配给每个套件,租户然后使用一个标准的路由器来为他们所有的机器服务。
这是有效的,但是这是一个双重的NAT,一些租户因为这个问题而有一些服务问题。
我想把它减less到一个单一的NAT系统,并让每个套件都在自己的IP子网上,直接使用(不需要额外的路由器)。 问题是,如果有人变得聪明,他们可以简单地改变IP并侵入另一个套件的networking。
主要的问题是,我不能有一个DHCP服务器,因为它将服务于整个复杂而不仅仅是一个子网。 我需要在每个子网上有一台DHCP服务器(或者一台可以服务多个子集的服务器)。
什么是最好的方式来实现我所需要的? 我将假定VLAN是要走的路,但是我不太了解它们。 虽然我一直想学习如何build立一个VLAN。 我知道我将需要一个托pipe交换机,但我不知道是否VLAN分隔在第二层或第三层。
我最终以低廉的价格购买了几台Cisco Catalyst 3500 XL,并为每个套件提供了自己的VLAN。 然后,我用802.1q封装做了一个trunk端口,并把它送到一个可以解码802.1q的NIC的BSD服务器。
它的作用就像一个魅力,每个vlan都有自己的子网,防火墙规则可以防止vlan间的路由,保持每个人的隔离。
我将密切关注stream量,使服务器端的100mbps足够,我可能不得不select3550,并进行链路聚合。
谢谢您的帮助!