Camada 2 ou Camada 3 para separar alguns hosts (VLAN, DHCP, Gateway)

Question

Camada 2 ou Camada 3 para separar alguns hosts (VLAN, DHCP, Gateway)

#1 resposta do (2 votos)
#2 resposta do (2 votos)

2

Eu quero separar alguns hosts LAN por motivos de segurança.

Mas a maioria dos hosts precisa conversar com um ou mais servidores comuns: - Gateway de Internet - DHCP + servidor DNS - servidor de arquivos - ...

Eu poderia definir VLANs e deixar cada servidor se juntar a uma (ou mais?) VLAN.

P: Preciso de um switch de Camada 3 (por exemplo, Cisco SG250) ou há uma opção para fazer um switch de camada 2 (Cisco SG200) funcionar?

Pelo menos o Internet Gateway não possui a opção VLAN, portanto, fazer TRUNK da porta do gateway não é uma opção. O mesmo é verdadeiro para a maioria das outras máquinas, como o servidor DHCP.

Eu acho que a camada 2 não é suficiente. Talvez eu pudesse fazer um membro de porta de switch de várias VLANs (?), Mas mesmo que isso funcione, pelo menos, uma mensagem do servidor DHCP (ou gateway) não retornará aos hosts se eles estiverem em VLANs diferentes.

Se a Camada 3 é a minha solução: Isso significa que eu tenho que configurar uma sub-rede diferente para cada VLAN e criar alguma regra de roteamento?

networking dhcp routing vlan local-area-network

por stb 12.03.2018 / 23:53

2 respostas

Tags networking dhcp routing vlan local-area-network

Esforçando-se para entender por que uma VM é tão cara Migrando VMs do servidor hyper-v 2012 r2 para o servidor windows 2016

score 2 · Answer 1

Em palavras simples - Se você gostaria de ter várias VLANs e conversar entre elas - você precisa de um dispositivo de camada 3. Se isso fosse um switch, você criaria uma Switch Virtual Interface (SVI) para cada VLAN, atribuir-lhe um endereço IP e habilitar o roteamento. Isso seria um gateway para seus dispositivos finais. Cada VLAN seria uma sub-rede diferente.

Se você gostaria de ir com um roteador, você deve verificar o roteador em um design Stick. Você pode tentar instalar algum dispositivo de roteamento ou algo assim se quiser sair das soluções de hardware.

Espero que ajude.

Atenciosamente, Rey

score 2 · Answer 2

Um switch de camada 2 não pode se conectar através de VLANs. Ele só pode conectar dispositivos de borda a uma VLAN (ou a várias VLANs com uma porta de tronco).

Você precisa de um switch de camada 3 ou de um roteador para ativar a comunicação entre VLANs. Certifique-se de que ele ofereça suporte a ACLs ou regras de firewall adequadas se você precisar controlar a comunicação.

O gateway da Internet e os clientes podem estar em uma VLAN diferente: os clientes usam o roteador intermediário como gateway padrão e esse, por sua vez, usa o gateway da Internet como padrão.

Para DHCP, você pode configurar endereços auxiliares nos switches (alguns L2 também suportam isso) para rotear as solicitações DHCP para o servidor DHCP em outra VLAN.

If Layer-3 is my solution: Does this mean I have to setup a different subnet for every VLAN and build some routing rule?

Exatamente. Cada sub-rede vive em sua própria VLAN e um roteador ou switch L3 roteia entre as sub-redes. As regras do roteador permitem ou negam a comunicação que você quer ou não quer.