我有一个思科4948交换机,我分成了一半(半公开,半私有VLAN的NAS访问)。 在公共端,Gi1 / 0是与路由器的上行连接,G1 / 0-23在VLAN1中configuration,用于公开访问。 公有IP为xx.47.90.0 / 24,网关为xx.47.90.1(位于路由器上,并分配给路由器上的一个单独的VLAN)
端口G1 / 24-48devise为VLAN2,并设置为私人访问。 专用networking定义为10.1.40.0/24。 我在VLAN2接口上添加了10.1.40.1,并将其用作仅在专用networking(以及交换机的pipe理IP)上的服务器的默认网关。
一切正常,只要服务器有两个网卡,他们就可以连接到两个networking。 我的问题是服务器只在私人的私人VLAN无法到达公共networking。 所以我的问题
1)我是否应该使用10.1.40.1作为专用networking上的服务器的网关? 还是应该使用公共网关(xx.47.90.1),即使分配给服务器的唯一IP位于专用范围内?
2)在VLAN2(私有)上是否需要configuration允许它访问公共networking? 我见过的所有文档都是为公共IP所在的路由器编写的。 基本上我想要做的是将所有stream量路由到公用网关xx.47.90.1除了10.1.40.0/24
你是否为交换机上的VLAN1和VLAN2接口分配了一个IP地址? 你在交换机上启用了IP路由吗? 如果没有,你需要。
如果您的目标是允许VLAN1和VLAN2中的主机相互通信,并且只允许VLAN 1中的主机访问互联网,则只需要为VLAN1和VLAN2接口configuration适当的IP地址,并启用IP路由开关。
如果您还需要VLAN2中的主机访问Internet,则交换机和路由器上需要更多的configuration。
您需要在主机所在的同一子网上使用网关; 如果他们不在同一个子网上,他们将无法知道如何进入网关(不完全正确;你可以做arp-spoofing和Layer2代理,但是这很丑,不好)。
如果内部网关地址和外部网关地址都位于路由器内部,而不是路由器内部,而交换机内部则是一个内部网关地址。 你可以通过在路由器和交换机之间build立一条干线(老式定时器有时称之为ISL(Inter-Switch Link)或交叉连接或联络线)来实现这一点,将VLAN1和VLAN2分别封装在中继线,并在路由器和交换机的上行端口上同时configuration中继。
在路由器内部,您可以将网关IP编号分配给相应的VLAN虚拟接口。
为了让10.1.40 / 24中的机器走出去(或者更重要的是出门回来,你需要设置NAT(或者Linux人称为“伪装”),这将允许所有的10.1.40 / 24地址映射到xx.47.90 / 24范围内的一个或多个地址(因此上游提供商将能够知道如何处理),并保留返回stream量的状态正确的始发服务器。
由于您使用的是Cisco设备,因此您可能需要查看http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/13772-12上的说明。 pdf ,它描述了在Cisco路由器中设置NAT,尤其是标题为“ 示例:允许内部用户访问Internet ”的部分。 这将允许它们出站访问,并允许build立会话的返回stream量,但不允许入站stream量(特别是在显式过滤掉VLAN1接口或上游的源路由stream量时)。