我有一个带有托管交换机的家庭网络。为了更好的安全性,我想把我的 ISP 给我的 DSL 调制解调器/网关放在一个单独的 VLAN 上,然后在另一台机器上为我的本地网络做 NAT。
对于 DSL 调制解调器,我认为这只是意味着我将把它放在一个 VLAN 上(这应该意味着我可以将它置于暴露我的公共 IP 的路由模式)。对于其他机器,我将它们放在另一台机器上(或者我可以将它们留在默认 VLAN 上吗?)。对于 NAT 机器,事情要复杂一些。我是否将交换机配置为在两个 VLAN 上都有该端口,然后在操作系统中设置子接口?
我的主要目标是,除了 NAT 盒之外的所有机器都不应该知道它们甚至在 VLAN 上,并且将设备插入到 NAT 盒或调制解调器以外的交换机端口应该就像插入普通家庭一样网络。
在不知道您正在使用哪个交换机的详细信息的情况下,解决此问题的一般方法是将您的 DSL 调制解调器以访问模式(仅从单个 VLAN 中删除的未标记/标记的数据包)粘贴在端口上,VLAN 成员资格为 1000 ,而您的所有内部机器都将具有不同的 VLAN 成员身份(例如 1001)。然后,您的 NAT 盒子将以中继模式连接到您的交换机,并在两个 VLAN 中都具有成员资格。您可以选择将一个 VLAN 设为默认的未标记 VLAN,或者都不选择 - 您的选择(如果您的交换机允许这样做)。
在 NAT 盒的操作系统中,设置 VLAN 接口之间的路由。对于 Linux,假设您对 eth0 上的中继端口使用如上所述的标记 VLAN,您将必须在 eth0.1001/eth0.1000 接口上执行 NAT。如果您选择将 VLAN 1001 作为该中继端口的默认未标记 VLAN,那么您将需要 NAT eth0/eth0.1000。