L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。
小弟有些網路上的問題,想請各位大大幫我看看,這樣的設定,有沒有什麼問題?
現在的情況是公司要改網路的配置,要做到下面的四點的功能:
1.總公司樓下的門市 POS 電腦可以透過內網 VLAN2 連回總公司的 POS 伺服器,
2.樓下的門市刷卡機,透過 VLAN3 經由 ATU-R 連接 VPN 與收單銀行做授權。
3.其他門市的POS電腦,可以透過 VPN 經由 ATU-R、Switch、VLAN2連接到 POS 伺服器。
4.辦公室電腦可以經由VLAN1、Switch、與POS伺服器連線,也可以經由VLAN1、Switch分享器,連上網。
Switch切三個VLAN,一個VLAN接分享器,再接VTU-R光纖固定制,另外二個VLAN,再接ATU-R,
示意圖:
VTU-R POS伺服器 其他門市的POS電腦
│ VLAN1││VLAN2 │
│ ││ │
│ ││ │
分享器 ││ ATU-R─VPN─┴──收單銀行
VLAN1 │ ││ │
└─Switch──┘
│ │ │
辦公室電腦┘ │ └─信用卡刷卡機
VLAN1 │ VLAN3
POS電腦
VLAN2
我的想法:
分享器在VLAN1中送DHCP的封包,其他的VLAN2, VLAN3不會收到DHCP。
而有一個疑問,就是 VLAN2 與 VLAN3 ,是否需要各一條網路線,連到 ATU-R?
還是說只要一條網路線?
我在想,因為是 L2 Port Base Switch,所以,是不是要二條網路線連到 ATU-R?
先謝謝各位的回答。
個人積分:116分
文章編號:10264953
個人積分:0分
文章編號:10266109
你的vlan 2 3 都要在拉一條線路到AUT-R
對沒錯 除非你的設備是L3 SW否則vlan 2 3的封封包沒有人會幫你繞送出去
簡單說~因為你的是L2設備 沒有繞送功能~ 那你已經把你的SW切開成3個vlan
其實就是一個獨立的Lan所以你的前端因該還要有gateway讓vlan 2 3的client指向過去
其實最好的方式是 你L2前面再來一台L3的SW 把SW做trunk 這樣在L3 SW上面就會有所謂的直連路由
這樣所有vlan 就通囉~但是我想您想切vlan出來的意思就是要讓某些vlan 本來就互不通對吧
所以你可以再利用ACL來做一個access的控制...
以上大概是這樣囉~ 如有錯誤請指正 謝謝
個人積分:116分
文章編號:10266405
個人積分:0分
文章編號:10266658
chenbj1102 wrote:
謝謝您的回答,所以是...(恕刪)
您的vlan 1不是 前面不是還有一個IP分享器嗎?
這個就是vlan 1的gateway 所有在vlan1底下client的pc gateway不是都是指向他(IP分享器)嗎??
所以您vlan 2 3是不是也要有一個gateway呢(個別要有一個)??
其實L2上面最好還有個L3設備會比較好
當然您說得這樣也是可以拉~沒有不行
只是據小弟知道
一般企業大概都會有一個階層式的設計
access layer(L2)--->(L3)--->core layer
這個因該是在BCMSN裡面會上到的課程 有興趣可以看一下(小弟大概也是略讀了一點而已)
個人積分:116分
文章編號:10267052
個人積分:34分
文章編號:10267217
您的網路架構分成
WAN: ADSL IP
LAN1:vlan 1 192.168.0.0 255.255.255.0 GW: 192.168.0.1
LAN2:vlan 2 192.168.1.0 255.255.255.0 GW: 192.168.1.1
LAN3:vlan 3 192.168.2.0 255.255.255.0 GW: 192.168.2.1
您用的是Layer 2 switch,切3個vlan,所以您可以把一台switch視為3台獨立的switch,
所以您每個vlan 須要一個gateway攘您LAN1,LAN2,LAN3可以往WAN端出去(ip share做PAT)
所以您的架構上,LAN2跟LAN3要能到IP分享器的LAN端,讓ip分享器幫您做PAT上internet,這部份要看您的IP分享器的LAN端是否可設定多組ip address給LAN port用(有些牌子的ip分享器有此功能),不然就用個L3 switch取代您的L2 switch,就可以解此問題.
網路即生活,生活即網路.
個人積分:0分
文章編號:10267297
個人積分:0分
文章編號:10267414
個人積分:116分
文章編號:10268613
=> MOD 是不是也是用 IP 的方式透過 VTU-R 連出?只是網段不同,
因為電腦跟 MOD 機上盒,也是共用一個 VTU-R 連出去,
也沒有其他的 Gateway。
用這樣的想法來解釋,再加上把 VLAN 視為一個獨立的 Switch,
那這樣的話等於有三台 Switch。
VLAN1 的 Switch 則是接分享器,接 FTTB VDSL,因為要共用同一個 IP 上網。
VLAN2 的 Switch 因為是中華電信的 HiLink VPN ,因為是保留的 IP 網段,
需要多少 IP,自己設定就可以了,所以門市的每台 POS 電腦、POS 伺服器主機,
都可以有自己的 IP,
VLAN3 的 Switch 也因為是中華電信的 HiLink VPN ,也是保留的 IP 網段,
所以可以自己設定 IP ,也就是說刷卡機就跟 MOD 一樣,
VLAN2, VLAN3 再各一條網路線連到 Switch,這樣不就可以了?
所以,中華電信的業務工程師才跟我說只要有一個可以切 VLAN 的 L2 Switch即可。
是這樣說的嗎?
我也不知道怎麼解釋我的想法,不知道這樣講,各位大大懂我想表達的意思嗎?
個人積分:648分
文章編號:10269380
如果是這樣,你切 VLAN 一點意義都沒有,透過這兩個port ,VLAN1/2/3 都可以互通了,那切 VLAN 幹嘛?
我覺得你的需求應該不是 port-base VLAN 而是一般 client 帶 VLAN TAG 的 VLAN,比較符合你的需求。
不過你的每一台電腦都必須支援 packet 帶 VLAN tag,之後在 switch 設定三組 VLAN ,每一組 VLAN 分別設定各個 member,當然你要把 ATU-R 的 VLAN tag 都要加入三組 VLAN 中,這樣就可以完成你說的需求。
也許你會問,並不是每台電腦都支援 packet 帶 VLAN TAG 這樣的作法,所以,
第二種方法,也不需動用到L3 switch ,L3 switch 最主要是作 router ,用來處理這個是有點大材小用,用 L2+ switch 就可以了,支援比對 IP 也可以達成你的需求,電腦端最好設固定IP,在設定上比較好處理,動作跟第一種方法很像,只是現在是設 IP address,把 ATU-R 的 IP 分別加入三個不同的 VLAN 組別,也可以達成你的需求。
