vlan 切割應用問題請教
 

公司的Switch是Layer 3的，有切割Vlan的功能，
因之前發生數次廣播風暴，故在考量切割Vlan ...

但碰上了一點問題，Google Vlan得到的多是理論，
好像較少實務上的討論？

我的網路架構是這樣，一部實體防火牆連接一台Switch，
那台Switch再往下串其他Switch，連接各個電腦，所有電腦都透過防火牆出去，
防火牆只有提供一個RJ45到Switch ...
那麼實務上應該怎麼應用呢？

(我只用packet tracer玩過router接vlan，沒實際碰過實體機器，
paket tracer也沒有提供透過防火牆連接的方法，同台機器好像不能串接)


假設 環境是 一台實體防火牆 接三部24 port switch
防火牆只有提供一個RJ45對內 ..

架構如下 防火牆RJ45接到Switch 1 的第1 Port
Switch 1 的第2 Port串到Switch 2的第1 Port
Switch 2 的第2 Port串到Switch 3的第1 Port

Switch 1 切割三個Vlan
Port 1 到 Port 5 Default，Port 6 到 Port 15 Vlan 1
Port 16 到 Port 24 Vlan 2 ....

那是不是要在Switch 1的Port 3，拉一條網路線串到Switch 1的Port 6，
那麼連接在Vlan 1底下的所有電腦才可以對外 ..

要在Switch 1的Port 4，拉一條網路線串到Switch 1的Port 15，
那麼連接在Vlan 2底下的所有電腦才可以對外 ..


這樣接Vlan 1跟Vlan 2 跟 Default 不是又形成一個LAN，
那麼不就失去了切割Vlan阻擋廣播風暴的意義？


又切割了Vlan，不同Vlan間將無法使用網芳，
勢必需要一部File Server接在Default讓大家存取資源，
那麼這樣的非Lan的網路傳輸速度如何計算？
勞煩先進前輩幫助在下解惑，感激不盡。

多部switch 串接請注意spanning tree的問題, 以避免loop發生.

不管你的switch 是具備device wide spanning tree or per vlan spanning tree.

managed switch可能會自動block loop port, 若否, switch就易發生網路風暴.

你的問題很簡單, 就是看有沒有一個layer3 switch 接FW下面就可以解決你的問題.

純的layer 2 是隔開的沒錯, 但是你也要考慮各vlan是不是需要相通. 若要,就需要有layer3 設備

或是FW跟你的switch可以支援vlan trunking. 讓各vlan tag帶上來給FW來做交換也可.

(如果流量不大,而且你的FW是route or NAT mode就行.)

照樓主的說法，你想要切vlan至少還要在一台普通switch才有辦法

架構為 防火牆 > 普通switch >可切vlan switch

例如vlan 切3個，1~8 為vlan1、9~15為vlan2 、16~24為vlan3

vlan1到vlan3各拉一條到普通switch

至於不同vlan要通網芳，你是L3 switch就不會有不通的問題

FireWall 是NAT mode

Switch 共9部全是 D-Link 的 DES-3526
我是看之前的文件有打算更新Layer 3的Switch 後來似乎是買L2的
確定的答案要再找時間進機房去親眼確認 :ase

若以L2 Switch的架構而言 ..
接法是否如我所說那樣？

各vlan間不需要通網芳(不同vlan間的資料傳輸不多，打算透過FileServer來解決需求)..
但都需要透過FireWall連外 .. 若跟FireWall不同Vlan的PC 其NAT功能會否影響？

謝謝 ...

不知道樓主的switch是否為cisco的

cisco的switch預設值就會開啟PVST spanning tree，你根本不用擔心loop的問題，他會自動幫你算要block哪個port。如果你很擔心封到layer3 的switch port，你只要把那台switch的priority調到0即可，這樣就只會封到access layer的port

依照你的需求，你只要把第一台switch當作vtp的server mode，然後在那台上建你所要的vlan(假設vlan 2 3 4)

然後把2 3台switch設為vtp client mode ，然後三台switch各找一個port建立trunk串起來(請記得三台switch domain name要相同)

這樣你2 3台sw就可以學到來自第一台switch的vlan

既然你已經切了3個vlan出來，那麼廣播風暴的機率自然不高...

又如果你vlan間要互通，你還需要一台router用subinterface的方式設定，或是用layer3的switch也可以做得到

這樣有切 嗎 ?

等於 1 的 root switch , 接 三個 switch
都還是同一個 local area network

目標 FW 同時屬於vlan 1/ vlan 2/ valn 3

solution 1: FW 的 ethernet port 支援 vlan tag
or
solution 2: switch 支援 , 同一port 可以同時 是 vlan 1/ vlan 2/ valn 3

沒錯沒錯 .. 簡單講就是要讓FW同時屬於數個vlan ..
因為這樣才能讓大家透過FW達成NAT，再透過FW出去，
FW上面是ISP的ATU-R ..

其實我不太懂 vlan tag 的意思 (會再去拜google大神)

若以solution 2來講，若同一port可以屬於多個vlan，
那是否同一switch上的不同vlan間不用再透過往路線串接？

D-Link DES 3526 很常見...managed, stackable layer 2 switch~ 不用確認了

google 查vlan tag or vlan trunk/ vlan trunking....都可以.

就是單一實體線路上跑多VLAN.各vlan彼此要區隔,就在layer2 head中帶不同的vlan ID

假設各vlan是不同subnet的情況下, 您各vlan間依舊還是不通的,跨vlan就需要路由交換,

而且一般PC是不會看懂vlan tag的, 多半需要layer3網路設備來處理.

把帶tag的這條網路連接到FW上, 在FW這個埠上設多個IP分別屬於不同vlan做gateway

最後再各自做NAT出去, 各vlan要互通就由FW 做routing, 以我知道的當今FW,沒有不能

做route/NAT mode的,幾乎也都有支援vlan tag/trunk. 剩下的把IP管好,大概就OK了.

依敝人目前服務單位的情況來看 ..
目前大概是無法編列預算採購Router或L3 Switch，
應該說只能利用既有設備發揮其最大值，
必須花最少的錢做最多的事 :nonono:

總公司的PC都在同個子網路下，規劃Vlan後亦不打算重配IP，
分公司利用HiLink VPN連回總公司與總公司Server、PC做資料交換，
分公司連回來的不走防火牆出去，只對內不對外 ..

目前想到的架構是這樣 ..