我有一台CISCO SG-300-52交换机进入Layer3模式,3台SG-300-52进入二层模式。 目前,它们都使用链路聚合与生成树环路连接在一起。 我在此设置上运行192.168.0.0/16子网。 Gentoo DHCP服务器为所有客户端分配IP地址(基于MAC的固定DHCP)。 一切都在这个Layer2networking完美的作品。
我想在整个networking上设置几个VLAN,因为我想分离出来的子网stream量出于安全原因。 我的问题:
是否有可能将VLAN分隔开来,但同时让所有VLAN都能够与我的Gentoo服务器(在任何端口上)进行通信。 另外我想有几个pipe理员电脑能够与任何VLAN中的任何设备进行通信。 基本上我可以总结为:
VLAN10 – “pipe理员”VLAN。 包含服务器和pipe理员计算机 – 可以与networking中的任何设备通话。
VLAN 20 – “常规”VLAN。 包含不应该能够与任何其他VLAN通信的设备。
VLAN 30 – “常规”VLAN。 包含不应该能够与任何其他VLAN进行通信的设备。
我还想制作一个非常严格的安全VLAN,并且不允许特定VLAN内的设备甚至可以相互通话 – 只能使用“admin”VLAN。
在同一时间,我想保持我的Gentoo服务器为DHCP服务器 – >所以所有的客户端应该从我的服务器获得IP地址。
设置它是真的吗?
尼古拉。
您可以(每个都有不同的IP地址)将其连接到configuration为“trunk”的交换机端口(在端口上标识为“allowed”的三个VLAN),服务器计算机将能够与客户端在每个VLAN中。 如果您不希望代表VLAN中的客户端在VLAN之间路由数据包,请确保在Linux计算机上不启用IP转发。
VLAN接口充当虚拟networking接口。 为了所有的意图和目的,服务器的行为就好像它有三个networking接口,而不是一个。