今天我接到一个项目,为一个出租多个办公套件的朋友解决一个网络项目。以租金为所有套房提供互联网服务。最初设置所有东西的人采用了一个光纤连接并将其放入 BSD 服务器。
所以基本上正在发生的事情是 BSD 服务器充当所有办公套件的 NAT 和防火墙。它为每个套件分配了一个静态私有 IP,然后租户使用标准路由器为他们的所有机器提供服务。
这可行,但它是双 NAT,因此一些租户在某些服务方面存在问题。
我想将其简化为单个 NAT 系统,并将每个套件都放在他们自己直接使用的 IP 子网上(无需额外的路由器)。问题是,如果有人变得聪明,他们可以简单地更改 IP 并侵入另一个套件的网络。
主要问题是我不能拥有 DHCP 服务器,因为它将为整个复杂系统提供服务,而不仅仅是一个子网。我需要在每个子网上有一个 DHCP 服务器(或可以服务多个子集的单个服务器)。
实现我需要的最佳方法是什么?我将假设VLAN是要走的路,但我对它们了解不多。虽然我一直想学习如何建立 VLAN。我知道我需要一个托管交换机,但我不知道 VLAN 是在第 2 层还是第 3 层隔离的。
我最终以便宜的价格购买了一些 Cisco Catalyst 3500 XL,并为每个套件提供了自己的 VLAN。然后我制作了一个带有 802.1q 封装的中继端口,并将其馈送到带有可以解码 802.1q 的 NIC 的 BSD 服务器。
它就像一个魅力,每个 vlan 都有自己的子网,防火墙规则阻止 vlan 间路由以保持每个人隔离。
我将密切关注流量以使服务器端的 100mbps 足够,我可能必须选择 3550 并进行链路聚合。
谢谢您的帮助!