我正在为我的 SMB 网络在基本默认的交换机配置上设置 VLAN。他们有 5 台瞻博网络 ex2200 交换机,它们都在同一个子网上,并且只有一个默认 vlan。我想通过 junos 集群交换和 VLAN 进行交换机堆叠。
到目前为止,只有一个交换机物理连接到我的 netgate/pfsense 防火墙网关设备,它也位于同一子网中,充当我们 LAN 中所有节点的 DHCP 服务器和默认网关(10.235.17 中的 254 个 IP 地址。* **/24)。
其余交换机全部合并到主交换机的端口中,并从该中心点向外辐射。
我不确定的是我计划在第 3 层的 netgate 中配置 vlan,还是在第 2 层的交换机上实现它?
我应该在第 3 层的 netgate 中配置 vlan,还是在第 2 层的交换机上实现它?
两个都。
在交换机上配置 VLAN 可以将这些子网相互分离,因此如果没有路由器/网关,它们就无法相互通信。
从中心交换机,将到 pfSense 的链路配置为 VLAN 中继,并标记所有 VLAN。在 pfSense 上,为每个 VLAN 配置一个(第 3 层)子接口。这样,您可以将 pfSense 用作 VLAN 之间的网关并控制该流量。
或者(特别是当需要比 pfSense 处理更多的带宽时),您可以配置中心交换机以在 VLAN 之间进行第 3 层转发(路由),使用适当的 ACL 进行流量控制 - 不确定 EX 2200,但 L3 交换机ACL 通常是无状态的,因此可能需要任一方向的规则。
如果您希望防火墙能够限制各种 VLAN 之间交换的流量,您应该在防火墙上进行第 3 层配置。
如果您不希望对 PC 或电话与其他 VLAN 中的服务器或安全摄像头进行通信进行任何限制,您可以在交换机上执行第 3 层。
有一个权衡。正如您很可能知道的那样,您的防火墙的接口带宽和转发容量都比交换机少。