最佳实践(?):2 个公开可用的子网 VLAN 和 VLAN 间路由

网络工程 路由 转变 局域网 纳特 子网
2022-02-12 21:14:46

如果我想根据我们拥有的可用设备实现以下目标,我正在寻找一些关于什么是“最佳实践”的专家网络建议。

设备:

  • SonicWALL TZ 105
  • 惠普 V1910-48G

目标:

  • 2 个外部子网 VLAN,可通过 SonicWALL 的 DNAT 向 Internet 提供服务,即 192.168.1.0/24 和 192.168.10.0/24。
  • 这两个外部子网中的主机可以访问 Internet。
  • 这两个外部子网中的主机可以相互路由/通信。
  • 会有其他“私有”子网 VLAN(存储、备份、管理等),但这些当然不需​​要外部路由或可达。

到目前为止,我已经阅读了两套关于如何设置的思路。

第一个是通过在 SonicWALL 上创建子接口(VLAN 感知)端口和中继到交换机来“发夹”路由通过 SonicWALL。我相信这被称为Router-on-a-stick?

第二个是在交换机和防火墙之间创建一个单独的“路由”域(子网),因此实际上会有三个子网 VLAN:防火墙和交换机之间的 192.168.0.0/24 和前面提到的两个 VLAN 间子网 192.168.1.0/24和 192.168.10.0/24。

我可能破坏了这些示例并弄错了一些术语,但基本上,确保安全性、可扩展性等的最佳实践是什么?另外,我不介意知道权宜之计,以防万一我无法“正确”设置它。

PS 到目前为止,我已经尝试过前一种设置,但只成功地让一个外部子网 VLAN 能够访问互联网。

1个回答

这取决于您将这两个外部子网之间移动多少数据。如果您允许 HP 直接在这些子网之间进行路由,则您可以在它们之间拥有与为它们配置的端口一样多的 1GB 流。使用“router-on-a-stick”(我一直称它为 vlan-on-a-stick,但概念相同),vlan 之间的总吞吐量将被限制为 1GB(排除了这样做的可能性) SonicWALL 和 HP 之间的 lacp 中继)。

在执行此方法时,第三个 vlan 将被视为“传输网络”,并且随着网络的增长,实现动态路由协议或在网络中添加更多路由器(如果需要)更容易实现.

HP 交换机将充当您的第 3 层核心,您将在 3 个 VLAN 中的每一个中都有一个 IP 地址。SonicWALL 只需要一个到传输网络的访问端口,并且它在该网络上拥有自己的 IP。

从那里,HP 中的一条默认路由语句指向 SonicWALL 的中转网络 IP 地址,SonicWALL 中的两条静态路由(一个用于您的每个“外部”子网)指向 HP 的中转网络 IP。

简单的按钮是简单地运行到 SonicWALL 的 vlan 中继,并在您要路由的每个 vlan 上放置一个地址。我过去就是这样做的,如果你不打算处理繁忙的流量,它是完全可行的,而且很容易配置。

如果您可以在尝试建立公交网络时发布一些路线声明,我相信有人可以帮助您解决这个问题。

其它你可能感兴趣的问题
上一篇直接通过端口号检索 MAC 地址(使用 SNMP) 下一篇我是否必须配置支持 2 级 LACP 的交换机才能在具有 LACP 冗余交换机的网络上正常工作