一部のホスト(VLAN、DHCP、ゲートウェイ)を分離するためのレイヤー2またはレイヤー3
セキュリティ上の理由から、いくつかのLANホストを分離したいと思います。
ただし、ほとんどのホストは、1つ以上の一般的なサーバーと通信する必要があります。-インターネットゲートウェイ-DHCP + DNSサーバー-ファイルサーバー-.。
VLANを定義して、各サーバーを1つ(または複数?)のVLANに参加させることができます。
Q:レイヤ3スイッチ(Cisco SG250など)が必要ですか、それともレイヤ2スイッチ(Cisco SG200)を機能させるオプションがありますか。
少なくともインターネットゲートウェイにはVLANオプションがないため、ゲートウェイポートをTRUNKにするオプションはありません。DHCPサーバーなどの他のほとんどのマシンにも同じことが言えます。
レイヤー2では不十分だと思います。おそらく、1つのスイッチポートを複数のVLAN(?)のメンバーにすることができますが、これが機能しても、少なくともDHCPサーバー(またはゲートウェイ)からのメッセージは、ホストが異なるVLAN上にある場合は返されません。
レイヤー3が私のソリューションである場合:これは、VLANごとに異なるサブネットをセットアップし、ルーティングルールを構築する必要があることを意味しますか?
レイヤ2スイッチはVLAN間で接続できません。エッジデバイスを1つのVLAN(またはトランクポートを持つ複数のVLAN)にのみ接続できます。
VLAN間通信を有効にするには、レイヤー3スイッチまたはルーターが必要です。通信を制御する必要がある場合は、適切なACLまたはファイアウォールルールをサポートしていることを確認してください。
インターネットゲートウェイとクライアントは異なるVLAN上に配置できます。クライアントは中間ルーターをデフォルトゲートウェイとして使用し、中間ルーターはインターネットゲートウェイをデフォルトとして使用します。
DHCPの場合、スイッチにヘルパーアドレスを設定して(一部のL2もこれをサポートします)、DHCP要求を別のVLAN上のDHCPサーバーにルーティングできます。
レイヤー3が私のソリューションである場合:これは、VLANごとに異なるサブネットをセットアップし、ルーティングルールを構築する必要があることを意味しますか?
丁度。各サブネットは独自のVLANであり、ルーターまたはL3スイッチはサブネット間をルーティングします。ルーターのルールは、必要な通信または不要な通信を許可または拒否します。
簡単に言うと、複数のVLANを使用してそれらの間で通信する場合は、レイヤー3デバイスが必要です。それがスイッチの場合は、VLANごとにスイッチ仮想インターフェイス(SVI)を作成し、それにIPアドレスを割り当てて、ルーティングを有効にします。これは、エンドデバイスのゲートウェイになります。各VLANは異なるサブネットになります。
ルーターを使用する場合は、Router on aStickデザインを確認する必要があります。ハードウェアソリューションから離れたい場合は、ルーティングアプライアンスなどをインストールしてみてください。
お役に立てば幸いです。
よろしく、レイ