主页 / server / 问题 / 804419
Accepted
Riccardo
Asked: 2016-09-22 01:45:12 +0800 CST

多个 VLAN,一台服务器 - 所需的最低设备

  • 772

一所小学校目前有 30 台 PC 通过 wifi 接入点连接到互联网(3 个 WAN),但目前没有真正的 LAN,除了从 AP 到调制解调器的大约 8 根电缆。最后的计划是: - 购买 24p 交换机 - 购买 Windows Server 2012 - 购买网络故障转移/平衡带宽聚合器

方案:

-----------          ----------           ------------           ----------------- 
| 5 VLANs | <------> | Switch |  <------> | Failover |  <------> |  3 modems     |
-----------          ----------           ------------           -----------------

要求:

  • 每个 VLAN 都可以访问 Windows Server 2012(文件服务器、共享文件夹)

问题:

  1. 托管 L2 交换机是否足以完成此任务?
  2. 服务器是否需要多个网卡?
vlan switch windows-server-2012

1 个回答

  1. Best Answer

    原始问题的答案:

    1. 如果子网之间的所有路由都在另一个系统(您的路由器或服务器或具有 802.1q 兼容 NIC 和软件的另一台机器)上完成,则支持 802.1q VLAN 的托管 L2 交换机就足够了。如果要在交换机上进行路由,则必须购买启用 L3 的交换机。这主要取决于您的性能需求(单个系统将成为瓶颈,因为来自所有端口的所有流量都必须通过它)。
    2. 只要网卡支持 802.1q VLAN 标签,单网卡就可以做到。根据操作系统的不同,配置不同的网卡可能更容易,并且硬件成本相对较低。它还取决于您的流量模式,是 4 个单个 NIC 还是 4 个聚合 NIC 更有效。

    VLAN 有助于提高安全性吗?

    • 他们可以通过将流量隔离到不同的子网来提供帮助,但它应该与其他东西结合使用。例如,当使用 802.1q 和 802.1x (RADIUS) 时,新设备可以在第一次联系(通过无线或电缆)时验证自己(通过密码或证书),然后根据您的设置规则分配给 VLAN (访客 VLAN、教师 VLAN 等)。同样,如果您将它们与 IPSec 或任何其他 VPN 解决方案结合使用,您就会加密流量,即使在同一个子网中,也没有人可以读取/理解不适合他的流量。您可以而且应该结合不同的技术。
    • 存在目标是突破 VLAN 的攻击场景(通过错误/利用或通过利用配置不当的 VLAN 设置)。只要您正确配置 VLAN,您很可能会没事的。如果您愿意,仍然可以单独管理非常敏感的信息(气隙或使用单独的硬件)。
    • 管理和配置存在开销,因此您应该决定是否值得花时间正确配置它。如果您想要的网络拓扑,您可以充分利用它
      • 经常更改,但硬件保持固定,或
      • 复杂且与您的物理布局不同,或者
      • 物理建模是不可能的。
    • 4

相关问题