L2 交换机 VLAN 之间的路由策略

网络工程 思科 转变 路由器 VLAN
2021-07-29 18:52:25

我想做的事:

这是小型企业网络设置。我需要两个独立的 LAN(LAN1 用于开发人员,LAN2 用于营销和经理)。还需要无线上网。所有网络都应该可以访问互联网。安全策略如下: 1- LAN1 主机无法看到或与 LAN2 主机通信。2- LAN2 可以与 LAN1 主机通信并读取或写入其磁盘。3- WLAN 只能访问 Internet,不能访问任何 LAN。

作为第一个解决方案:我虽然使用L2可管理交换机(如 D-Link DGS-1210-28 (L2) 或 D-Link DGS-3620-28SC (L3))并通过基于端口的 VLAN 在其上创建两个 VLAN . 然后使用简单的 ADSL wifi 调制解调器路由器(如 asus rt-n66u 或 cisco RV 系列路由器)共享互联网并创建 WLAN。

但我有几个问题:

  • 这行得通吗?如果是,两个 VLAN 之间的路由是由 L2 交换机本身执行的吗?我可以使用交换机配置在 VLAN 上设置这些安全规则吗?
  • 或者我应该去购买一个更先进的路由器并创建两个真正的局域网?我也有预算问题。所以一个更便宜的解决方案最适合我。

非常感谢

问候

PS:我不会提到 LAN1 上可能会有 HP 服务器和 NAS 存储。

1个回答

L2 设备无法路由,因此不能直接在其上进行 VLAN 间路由,并且在调制解调器上聚合 VLAN 将要求调制解调器设备可以中继和路由 VLAN。

我建议使用便宜的 Cisco L3(或等效的)交换机,启用 vlan 间路由,并创建 VLAN 访问控制列表来定义谁可以从哪里看到什么。您将拥有三个 VLAN...营销、开发和广域网。

您将允许两个 VLAN 访问 WAN(有状态),允许营销/管理有状态访问开发,并阻止从开发到营销的所有入站(同样阻止 WAN 到任一内部)。

其它你可能感兴趣的问题
上一篇SDN 控制器知道 Vswitch 和物理网络设备吗? 下一篇Cisco Switch Catalyst 3750:在 DHCP 池中“重新包含”IP 地址