Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Несколько VLAN на одном интерфейсе и изоляция

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Множественные VLAN на одном интерфейсе и изоляция сетей
  4. Комплексная схема настройки
  5. Предложенная конфигурация VLAN
  6. Распределение VLAN
  7. Настройка маршрутизации
  8. Пример конфигурации
  9. Заключение

Вопрос или проблема

Проблема, с которой я сталкиваюсь, заключается в следующем:

У меня есть (гипотетический) коммутатор в Физическом Местоположении 1 и другой в Физическом Местоположении 2.

Коммутатор в Физическом Местоположении 1 подключен к провайдеру (1gbe), к ближайшему серверу A (1gbe) и к коммутатору в Физическом Местоположении 2 (10gbe).

Коммутатор в Физическом Местоположении 2 подключен к ближайшему серверу B (1gbe), к ближайшему серверу C (1gbe) и к коммутатору в Физическом Местоположении 1 (10gbe).

Соединение между Коммутатором 1 и Коммутатором 2 – это один медный кабель Cat 6A.

Что я хочу достичь:

  • Сервер A и B должны иметь доступ к WAN
  • Сервер A должен иметь доступ к серверу C
  • Сервер B не должен иметь доступ к серверу C
  • Сервер C должен быть изолирован от WAN

Моя первоначальная идея решить эту проблему, очевидно, основывалась на настройке VLAN и маршрутизации между ними – для этого оба коммутатора должны быть L3-коммутаторами, верно?

Итак, как именно будет выглядеть конфигурация? Это моя первоначальная идея, но мне не хватает опыта, чтобы ее подтвердить:

  • Интерфейс 1 Коммутатора 1 (VLAN 10) <-> Сервер A
  • Интерфейс 2 Коммутатора 1 (VLAN 20) <-> Роутер провайдера
  • Интерфейс 3 Коммутатора 1 (VLAN 10,20,30) <-> Интерфейс 1 Коммутатора 2 (VLAN 10,20,30)
  • Интерфейс 2 Коммутатора 2 (VLAN 20) <-> Сервер B
  • Интерфейс 3 Коммутатора 2 (VLAN 30) <-> Сервер C
  • Маршрутизация на Коммутаторе 1: VLAN 10 <-> VLAN 20
  • Маршрутизация на Коммутаторе 1: VLAN 30 <-> VLAN 10

Однако это не решает проблему, так как Сервер C не изолирован от WAN, и я не уверен, возможно ли создавать много VLAN на одном интерфейсе. Я был бы благодарен за любую помощь в этом вопросе.

Ответ или решение

Множественные VLAN на одном интерфейсе и изоляция сетей

В данной ситуации мы рассматриваем две физические локации и их связь через коммутаторы, где необходимо настроить VLAN для управления трафиком и изоляции серверов. Основная цель — обеспечить определенные уровни доступности и изоляции между серверами и WAN.

Комплексная схема настройки

Чтобы реализовать заданные требования, необходимо применить концепцию VLAN (Virtual Local Area Network) и маршрутизации между ними. Если оба коммутатора выступают в роли уровня 3 (L3), они смогут выполнять маршрутизацию между VLAN, однако также возможно использовать маршрутизатор для управления маршрутизацией.

Предложенная конфигурация VLAN

  1. Switch 1 (Коммутатор 1)

    • Интерфейс 1 (VLAN 10) <-> Сервер A
    • Интерфейс 2 (VLAN 20) <-> Маршрутизатор ISP (допустим, этот интерфейс будет использоваться для доступа в WAN)
    • Интерфейс 3 (Trunk интерфейс, VLAN 10 и 20) <-> Switch 2 (Коммутатор 2)
    • Создание подинтерфейсов для VLAN 30 на интерфейсе, который соединяет Switch 1 и Switch 2.

  2. Switch 2 (Коммутатор 2)

    • Интерфейс 2 (VLAN 20) <-> Сервер B
    • Интерфейс 3 (VLAN 30) <-> Сервер C

Распределение VLAN

  1. VLAN 10:

    • Сервер A (доступ к WAN)

  2. VLAN 20:

    • Доступ к интернету (WAN)
    • Сервер B

  3. VLAN 30:

    • Сервер C (изолированный от WAN)

Настройка маршрутизации

Для обеспечения доступа сервера A к серверу C и одновременной изоляции сервера C от WAN, на уровне маршрутизации необходимо последующее конфигурирование:

  • Switch 1:

    • VLAN 10 (Сервер A) должен быть настроен на маршрутизацию, которая разрешает доступ к VLAN 30 (Сервер C).
    • VLAN 20 (WAN) должен быть доступен для VLAN 10, но не для VLAN 30.

  • Switch 2:

    • Установка маршрутизации, напоминающей маршрутизацию на Switch 1, чтобы обеспечить необходимую изоляцию сервисов.

Пример конфигурации

На Switch 1:

interface GigabitEthernet0/1
 switchport mode access
 switchport access vlan 10

interface GigabitEthernet0/2
 switchport mode access
 switchport access vlan 20

interface GigabitEthernet0/3
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

ip routing

interface Vlan10
 ip address 192.168.10.1 255.255.255.0

interface Vlan20
 ip address 192.168.20.1 255.255.255.0

interface Vlan30
 ip address 192.168.30.1 255.255.255.0

На Switch 2:

interface GigabitEthernet0/2
 switchport mode access
 switchport access vlan 20

interface GigabitEthernet0/3
 switchport mode access
 switchport access vlan 30

ip routing

interface Vlan20
 ip address 192.168.20.2 255.255.255.0

interface Vlan30
 ip address 192.168.30.2 255.255.255.0

Заключение

Для успешной реализации рассказанной схемы необходимо внимание к конфигурации интерфейсов и безопасности маршрутов. Очень важно протестировать настройки в изолированной среде, прежде чем внедрять их на живом оборудовании. Настройка маршрутизации между VLAN на коммутаторах уровня 3 позволяет обеспечить необходимую функциональность и изоляцию, отвечающую вашим требованиям. Эти настройки можно дополнительно оптимизировать в зависимости от конкретных требований вашей сети.

lan networking routing switch vlan
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности