iT邦幫忙

0

vlan與tag的設定與問題

ISP
|
|
|
(SWITCH-0A)
||
||________(SWITCH-1B)-----PC1B1/PC1B2/....
|
|
|________________(SWITCH-1C).....SERVER1C1/SERVER1C2/PC1C3/...

如我的圖所示

  1. ISP給我幾個不同的網段,可能32個,有好幾組(網段1/網段2/網段3/網段4/...)。

  2. 我希望在(SWITCH-0A)的地方,設定(網段1/網段2/...)經由(SWITCH-0A)的第1個port連到(SWITCH-1B)

  3. 我希望在(SWITCH-0A)的地方,設定(網段3/網段4/...)經由(SWITCH-0A)的第2個port連到(SWITCH-1C)

  4. 然後在(SWITCH-1B)和(SWITCH-1C)在設定VLAN,讓某些port只會通過特定IP或是網段,再讓底下的SERVER和IP去存取這些IP來做連線

  5. 另外,是否有辦法怎樣設定需你IP,或怎樣比較安全的方式(當然得要比較好設定才行),讓我可以從INTERNET連回去管理這些SWITCH。

如果這樣的話,我知道要用VLAN設定,但是我看到有tag這東西,但是仍沒有很懂設定tag的確切意義。

有人可以告訴我該怎麼設定/規劃嗎?

我是用3com 4500 3CR17561-91這台。謝謝你了。

4
門神JanusLin
iT邦超人 1 級 ‧ 2011-02-19 20:32:58

ISP給你的區段IP跟vLan應該是無關的
tag的封包簡單來講是帶標記的封包
同tag的才能看到同tag的

4
yach
iT邦新手 4 級 ‧ 2011-02-20 20:55:19

看您的敘述就知道您對網路概念不是很懂
依照您的需求,就是在core switch(3com 4500)上去切您所需的VLAN
往下接的SWITCH-1B、SWITCH-1C這兩個port設定為Tag
當然SWITCH-1B、SWITCH-1C這兩台switch往Core串的Port也是設為Tag.

有個簡單的觀念您可以記牢...「接Switch設tag,接電腦設untag」
當然也是有不一樣的時候...但大致上的環境是這樣設

另外您的簡易架構沒有看到Firewall..建議ISP下來接一台Firewall
在Firewall上可以設定一切安全規則,您所說的虛擬IP也必須在這邊轉換

另外ISP提供您的單位這麼多網段莫非是學校?...:)

看更多先前的回應...收起先前的回應...
wwssw iT邦新手 5 級 ‧ 2011-02-21 00:32:07 檢舉

所以意思是說

由上而下整個串接下來的switch,如果SWITCH-1B有設定vlan001、vlan002,而SWITCH-1C有設定vlan003、vlan004、vlan005、vlan006。那是不是(SWITCH-0A)上也要設定vlan001、vlan002、vlan003、vlan004、vlan005、vlan006?然後連結這3台switch的4個port,都得設定tag ?

謝謝你了。

yach iT邦新手 4 級 ‧ 2011-02-22 00:16:46 檢舉

基本架構是這樣沒有錯,但您必須先確定您的SWITCH-0A是否為Layer3 Switch..否則VLAN1~6是不能互通的,不然就是需要在SWITCH-0A到ISP之間有一台Firewall或Router幫你做各VLAN的路由!

yach iT邦新手 4 級 ‧ 2011-02-22 00:25:00 檢舉

剛剛幫您查了一下文件,3com 4500是L3 Switch沒有錯
那這樣的架構就沒有問題!^^

tony334 iT邦新手 5 級 ‧ 2011-02-23 08:42:36 檢舉

如果不用firewall在前端做IP轉換,有什麼方式可以遠端管理switch是比較安全的方式嗎?謝謝你了。

6
尼克
iT邦高手 1 級 ‧ 2011-02-21 10:46:58
wwssw iT邦新手 5 級 ‧ 2011-02-21 10:50:28 檢舉

這篇我有看過,只是仍沒有很肯定了解...

0
adolph
iT邦新手 2 級 ‧ 2012-03-01 09:22:24

針對第五點,你可以用VPN連回去,用Putty管理所有的Switch。

我要發表回答

立即登入回答