|
||
|
New Member
加入日期: Oct 2008 您的住址: 恆春郡海角七號
文章: 7
|
vlan 切割應用問題請教
公司的Switch是Layer 3的,有切割Vlan的功能,
因之前發生數次廣播風暴,故在考量切割Vlan ... 但碰上了一點問題,Google Vlan得到的多是理論, 好像較少實務上的討論? 我的網路架構是這樣,一部實體防火牆連接一台Switch, 那台Switch再往下串其他Switch,連接各個電腦,所有電腦都透過防火牆出去, 防火牆只有提供一個RJ45到Switch ... 那麼實務上應該怎麼應用呢? (我只用packet tracer玩過router接vlan,沒實際碰過實體機器, paket tracer也沒有提供透過防火牆連接的方法,同台機器好像不能串接) 假設 環境是 一台實體防火牆 接三部24 port switch 防火牆只有提供一個RJ45對內 .. 架構如下 防火牆RJ45接到Switch 1 的第1 Port Switch 1 的第2 Port串到Switch 2的第1 Port Switch 2 的第2 Port串到Switch 3的第1 Port Switch 1 切割三個Vlan Port 1 到 Port 5 Default,Port 6 到 Port 15 Vlan 1 Port 16 到 Port 24 Vlan 2 .... 那是不是要在Switch 1的Port 3,拉一條網路線串到Switch 1的Port 6, 那麼連接在Vlan 1底下的所有電腦才可以對外 .. 要在Switch 1的Port 4,拉一條網路線串到Switch 1的Port 15, 那麼連接在Vlan 2底下的所有電腦才可以對外 .. 這樣接Vlan 1跟Vlan 2 跟 Default 不是又形成一個LAN, 那麼不就失去了切割Vlan阻擋廣播風暴的意義? 又切割了Vlan,不同Vlan間將無法使用網芳, 勢必需要一部File Server接在Default讓大家存取資源, 那麼這樣的非Lan的網路傳輸速度如何計算? 勞煩先進前輩幫助在下解惑,感激不盡。 |
|||||||
2008-10-15, 10:47 AM
#1
|
|
|
Elite Member
  
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
多部switch 串接請注意spanning tree的問題, 以避免loop發生.
不管你的switch 是具備device wide spanning tree or per vlan spanning tree. managed switch可能會自動block loop port, 若否, switch就易發生網路風暴. 你的問題很簡單, 就是看有沒有一個layer3 switch 接FW下面就可以解決你的問題. 純的layer 2 是隔開的沒錯, 但是你也要考慮各vlan是不是需要相通. 若要,就需要有layer3 設備 或是FW跟你的switch可以支援vlan trunking. 讓各vlan tag帶上來給FW來做交換也可. (如果流量不大,而且你的FW是route or NAT mode就行.) |
||
|
2008-10-15, 11:42 AM
#2
|
|
|
Major Member
 
加入日期: Nov 2002 您的住址: 台北
文章: 188
|
照樓主的說法,你想要切vlan至少還要在一台普通switch才有辦法
架構為 防火牆 > 普通switch >可切vlan switch 例如vlan 切3個,1~8 為vlan1、9~15為vlan2 、16~24為vlan3 vlan1到vlan3各拉一條到普通switch 至於不同vlan要通網芳,你是L3 switch就不會有不通的問題 |
|
2008-10-15, 11:55 AM
#3
|
|
|
New Member
加入日期: Oct 2008 您的住址: 恆春郡海角七號
文章: 7
|
FireWall 是NAT mode
Switch 共9部全是 D-Link 的 DES-3526 我是看之前的文件有打算更新Layer 3的Switch 後來似乎是買L2的 確定的答案要再找時間進機房去親眼確認  若以L2 Switch的架構而言 .. 接法是否如我所說那樣? 各vlan間不需要通網芳(不同vlan間的資料傳輸不多,打算透過FileServer來解決需求).. 但都需要透過FireWall連外 .. 若跟FireWall不同Vlan的PC 其NAT功能會否影響? 謝謝 ... |
|
2008-10-15, 01:30 PM
#4
|
|
|
Major Member
加入日期: Mar 2006
文章: 155
|
不知道樓主的switch是否為cisco的
cisco的switch預設值就會開啟PVST spanning tree,你根本不用擔心loop的問題,他會自動幫你算要block哪個port。如果你很擔心封到layer3 的switch port,你只要把那台switch的priority調到0即可,這樣就只會封到access layer的port 依照你的需求,你只要把第一台switch當作vtp的server mode,然後在那台上建你所要的vlan(假設vlan 2 3 4) 然後把2 3台switch設為vtp client mode ,然後三台switch各找一個port建立trunk串起來(請記得三台switch domain name要相同) 這樣你2 3台sw就可以學到來自第一台switch的vlan 既然你已經切了3個vlan出來,那麼廣播風暴的機率自然不高... 又如果你vlan間要互通,你還需要一台router用subinterface的方式設定,或是用layer3的switch也可以做得到 此文章於 2008-10-15 01:38 PM 被 新同學 編輯. |
|
2008-10-15, 01:36 PM
#5
|
|
|
Master Member
加入日期: Mar 2004 您的住址: 亞洲.台灣.台北
文章: 2,054
|
引用:
這樣有切 嗎 ? 等於 1 的 root switch , 接 三個 switch 都還是同一個 local area network |
|
|
2008-10-15, 01:38 PM
#6
|
|
|
Master Member
加入日期: Mar 2004 您的住址: 亞洲.台灣.台北
文章: 2,054
|
目標 FW 同時屬於vlan 1/ vlan 2/ valn 3
solution 1: FW 的 ethernet port 支援 vlan tag or solution 2: switch 支援 , 同一port 可以同時 是 vlan 1/ vlan 2/ valn 3 |
|
2008-10-15, 02:11 PM
#7
|
|
|
New Member
加入日期: Oct 2008 您的住址: 恆春郡海角七號
文章: 7
|
引用:
沒錯沒錯 .. 簡單講就是要讓FW同時屬於數個vlan .. 因為這樣才能讓大家透過FW達成NAT,再透過FW出去, FW上面是ISP的ATU-R .. 其實我不太懂 vlan tag 的意思 (會再去拜google大神) 若以solution 2來講,若同一port可以屬於多個vlan, 那是否同一switch上的不同vlan間不用再透過往路線串接? |
|
|
2008-10-15, 03:49 PM
#8
|
|
|
Elite Member
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
引用:
D-Link DES 3526 很常見...managed, stackable layer 2 switch~ 不用確認了 google 查vlan tag or vlan trunk/ vlan trunking....都可以. 就是單一實體線路上跑多VLAN.各vlan彼此要區隔,就在layer2 head中帶不同的vlan ID 假設各vlan是不同subnet的情況下, 您各vlan間依舊還是不通的,跨vlan就需要路由交換, 而且一般PC是不會看懂vlan tag的, 多半需要layer3網路設備來處理. 把帶tag的這條網路連接到FW上, 在FW這個埠上設多個IP分別屬於不同vlan做gateway 最後再各自做NAT出去, 各vlan要互通就由FW 做routing, 以我知道的當今FW,沒有不能 做route/NAT mode的,幾乎也都有支援vlan tag/trunk. 剩下的把IP管好,大概就OK了. |
|
|
2008-10-15, 04:36 PM
#9
|
|
|
New Member
加入日期: Oct 2008 您的住址: 恆春郡海角七號
文章: 7
|
依敝人目前服務單位的情況來看 ..
目前大概是無法編列預算採購Router或L3 Switch, 應該說只能利用既有設備發揮其最大值, 必須花最少的錢做最多的事  總公司的PC都在同個子網路下,規劃Vlan後亦不打算重配IP, 分公司利用HiLink VPN連回總公司與總公司Server、PC做資料交換, 分公司連回來的不走防火牆出去,只對內不對外 .. 目前想到的架構是這樣 .. |
|
2008-10-15, 05:11 PM
#10
|
|
