Múltiplas VLANs na mesma sub-rede

4

É possível ter várias VLANs na mesma sub-rede, com o mesmo endereço de gateway (TMG)?

Eu quero evitar ter muitas sub-redes (e vNICs no TMG) apenas para isolar conjuntos de alguns hosts.

IP: 10.0.0.1         (TMG server)       VLAN:1 ~ 3

IP: 10.0.0.11 ~ 20   (Hosts group 1)    VLAN:1

IP: 10.0.0.21 ~ 30   (Hosts group 2)    VLAN:2

IP: 10.0.0.31 ~ 40   (Hosts group 3)    VLAN:3

Note que não quero que eles se conectem uns aos outros, portanto, o roteamento ARP / inter-vlan (dentro da sub-rede) não é necessário.

O gateway está sendo executado em uma VM no ESXi 5, posso passar os VLans para a VM usando o VGT ou o VLan Range, mas não sei como o OS / TMG deve lidar com eles.

    
por A.J. 29.06.2013 / 23:16

1 resposta

6

Claro que você pode fazer isso, mas não é o caminho recomendado.

As VLANs usam software para emular LANs físicas separadas. Cada VLAN é, portanto, um domínio de broadcast separado e uma rede separada.

Como você identificou, o roteamento entre essas VLANs seria difícil, porque elas são da mesma sub-rede. Se os endereços forem todos diferentes, é possível rotear o tráfego usando um número muito grande de regras que não correspondem à configuração real da sub-rede e confundirão qualquer um que herdar isso de você. No entanto, é totalmente permitido usar as mesmas sub-redes RFC1918 em diferentes redes físicas. Você pode até mesmo tornar todos os endereços iguais.

A outra restrição a ter em mente, e possivelmente a mais relevante, é que se algum desses hosts tiver que se conectar a qualquer coisa, rotea-los para essa rede também será difícil. Você teria que usar o NAT quase com certeza e configurar regras de NAT, de modo que cada uma dessas VLANs tenha um endereço externo separado. Se essa configuração não confundir o sistema operacional host, isso certamente confundirá qualquer administrador que tentar trabalhar nele.

Existem muitos, muitos, muitos endereços RFC1918 disponíveis e raramente há uma necessidade real de conservar endereços dessa maneira. No caso extremamente improvável de que você esteja fora deles, você pode até usar o intervalo de endereços RFC6598 100.64.0.0/10 (que é designado como um intervalo privado para NAT de operadora e, embora esse não seja o uso pretendido, se você for grande o suficiente para usar um inteiro / 8, / 16 e / 12 além disso, você provavelmente poderia argumentar que você é efetivamente o ISP para esses dispositivos).

    
por 29.06.2013 / 23:52