我想从本地网络中分离出几台主机并将它们放在防火墙后面。我想使用 VLAN 来“物理地”分离它们,而不是只使用不同的子网。我的想法是使用支持 VLAN 的交换机,并像这样构建网络:
P1 和 P2、P3 和 P4 是四个不同的主机,它们属于两个独立的“物理”网络(VLAN 1 和 2)。它们应该受到 P5 上的防火墙/网关的保护。
P5 应该充当防火墙/网关,控制分离的主机和现有网络之间的数据。它只有一个网卡需要连接现有网络(无VLAN)和两个VLAN。
P6 是现有网络的上行链路。
我现在的问题是:
- 这个想法能否按预期工作(给定正确的配置) - 即,P5 上的主机可以有多个 IP/成为多个网络的一部分,只有一个 NIC,它充当分离主机和现有主机之间的网关/防火墙网络,如果没有我没有考虑过的陷阱/缺陷可能允许绕过防火墙的网络之间的数据流?
- 我猜交换机需要能够支持标记的 VLAN(而不仅仅是基于端口的 VLAN),因为 P5?
是的,是的。
这是我家里的设置。P5 连接到运行 Linux 并执行路由、防火墙和充当 DHCP 和 DNS 服务器的小型 PC。
是的,这会奏效。确保您也为 192.168.10.0/24 子网创建了一个 VLAN - 在支持 VLAN 的交换机上,一切都是 VLAN。
在 P5 中继上,您需要标记所有 VLAN 或保持单个 VLAN 未标记。务必在防火墙上匹配交换机的配置,包括 VLAN 和 SVI 或“路由”L3(子)接口。
正如@NiKiZe 所指出的,VLAN 1 在某些交换机上具有特殊含义(尤其是作为管理 VLAN),因此请确保在有效使用它之前了解这一点。