我要:
a)将多个部门划分成VLAN,希望完全限制他们之间的访问(销售人员不需要与支持工作站或打印机进行通信,反之亦然)或b)通过VLAN的某些IP地址和TCP / UDP端口 – 即允许销售VLAN仅在端口443上访问服务器VLAN中的CRM Web服务器。
在端口方面,我需要一个48端口交换机和另一个24端口交换机来配合现有的两个24端口二层交换机(Linksys)。 我正考虑使用D-Links或HP Procurves,因为思科已经超出了我们的价格范围。
问题1:
根据我的理解(如果我错了,请纠正我),如果服务器(VLAN10)和销售(VLAN20)都在同一个48端口交换机(或两个堆叠的24端口交换机)上,那么交换机“知道”每个设备属于哪个VLAN和端口,并在它们之间交换数据包; 此时我也可以使用ACL来限制VLAN之间的访问。 它是否正确?
问题2:
现在让我们说支持(VLAN30)在不同的交换机(Linksys之一)上。
我假设我需要中继(标记)交换机#2的VLAN交换#1,所以交换机#1看到交换机#2的VLAN30(反之亦然)。 一旦交换机#1可以“看到”VLAN30,我假设我可以应用ACL,如问题#1所述。 它是否正确?
问题3:
一旦交换机#1可以看到所有的VLAN,我可以实现看似“三层”的ACL过滤,只限制某些TCP / UDP端口和IP地址(例如,只允许3389到terminal服务器,192.168。 10.4 / 32)。 我说“貌似”,因为一些第2层交换机提到了通过ACL限制端口和IP地址的能力; 我(可能是错误地)认为,为了有第三层ACL(包过滤),我需要至less有一个第三层交换机充当核心路由器。
如果我的假设不正确,那么您需要一个三层交换机来进行VLAN间路由还是VLAN间交换? 通常只有当你的部门之间需要更高级别的数据包过滤能力吗?
请记住,从根本上讲,如果两个主机在不同的子网中configuration了IP地址,则这些主机将需要通过一个或多个路由器与其各自子网中的接口进行通信,以便进行通信。 “三层交换机”不过是一个能够创build暴露于VLAN广播介质的虚拟接口的路由器。
#1 – 为了概念化VLAN,想象每个VLAN中的端口是一个物理上独立的交换机。 在一个无缺陷的VLAN实现中(VLAN之间的stream量不能“泄漏”)就是有效的行为 – 每个VLAN作为一个单独的交换机。 在第2层应用的ACL将仅命名MAC(并且,如果交换机支持准层1 ACL,端口)。 任何命名IP地址,TCP端口等的ACL都不是二层ACL。 (可能有交换机具有“第2.5层”function,因此他们检查IP数据包的有效负载,但实际上无法路由数据包,但是我会对这些事情保持警惕。
re:#2 – VLAN标记允许多个VLAN的stream量在单个端口上进行,通常称为“中继”。 您可以将它们概念化为将两个设备之间的连接虚拟地细分为更小的“端口”,每个端口都承载单个VLAN的stream量。 没有办法通过使用多个非中继端口来实现“中继”function,但是使用中继端口和标记数据包,可以在不使用大量数字的情况下,在物理上不相关的交换机之间承载多个VLAN的stream量用于交换机间链路的物理端口。
#3 – 在不同子网之间路由IP(不pipeVLAN如何 – 在VLAN和子网之间有1:1的关系通常很方便,但这不是必须的),需要路由function。 如果你需要在不同的子网之间路由IP,那么你需要一个路由器。 它可以是交换机中的embedded式第3层实体,也可以是“棒上的路由器”。 任何可以在不同子网间路由IP的东西都是路由器。 回复:ACLs – 就像我在#1-中所说的那样 – 我会对“准层3”function的设备保持警惕。 要么是路由器,要么不是。
一些体面的背景问题:
在同一个交换机上有两个子网会有什么影响?
最好的方法来分割stream量,Vlan或子网