Я пытался составить схему сети, но с треском провалился ... сожалею
По сути, вам нужно либо получить коммерческий класс, маршрутизатор с поддержкой VLAN, либо получить маршрутизатор с поддержкой микропрограммы DD-WRT или OpenWRT , который ни один из ваших маршрутизаторов не способен в соответствии с базой данных оборудования любого веб-сайта.
С этого момента есть несколько способов настроить это, но вот несколько общих правил, которые я использую ... Оставьте IP-адрес маршрутизатора по умолчанию как "VLAN администратора", вы не будете получать к нему доступ из любого места, но будете физически подключены к порту 1-3 маршрутизатора (я объясню порт 4 позже), оставив его по умолчанию 192.168. 1.0/24 и маршрутизатор 192.168.1.1, поэтому к нему можно получить доступ в целях обслуживания.
Затем создайте подсети /VLAN, маршрутизатор будет хранить IP-адрес в КАЖДОЙ подсети, поэтому у него будет несколько IP-адресов и областей DHCP. В этом примере мы будем использовать VLAN 10 для вашей зоны "DMZ" (не настоящую DMZ, если у вас будут обычные хосты, но она будет работать для этой цели) и VLAN 20 для вашей частной локальной сети.
В маршрутизаторе вы создадите VLAN 10 и назначите маршрутизатору IP-адрес 192.168.10.1/24 и соответственно создадите область DHCP, затем сделайте то же самое с VLAN 20, используя 192.168.20.1/24 и другую область DHCP для этой сети.
В назначениях VLAN перейдите к порту Ethernet 4 и добавьте VLAN 10 и 20 в качестве помеченных VLAN ... это будет "нисходящая линия" к коммутатору.
В вашем управляемом коммутаторе настройте порт 1 как немаркированный в VLAN 1 (вы можете пропустить эту часть, если безопасность представляет собой реальную проблему, она станет проблемой, если произошла неправильная конфигурация коммутатора или он потерял свою конфигурацию), и разрешить помеченный трафик в VLAN 10 и 20. Теперь сопоставьте порты, если необходимо, как нетегированные, с необходимой VLAN, чтобы порт, к которому подключен ваш MS-сервер, был не тегирован в VLAN 10, а большинство пользователей будет подключено к порту коммутатора, который установлен как немаркированный в VLAN 20.
В этом сценарии маршрутизатор управляет всей конфигурацией VLAN/ подсети, включая маршрутизацию между VLAN и переадресацию портов (назначения "DMZ"), и коммутатор в основном обрабатывает назначения подсети отдельным хостам.
Таким образом, на "текстовой" картинке это будет выглядеть так:
Сторона WAN: ISP -> Кабельный модем -> Маршрутизатор
Транспортная сторона: порт 4 маршрутизатора (соединен с VLAN 1, 10 и 20) -> порт коммутатора 1
Сторона коммутатора: порт X назначается без тегов VLAN в зависимости от необходимой сети
Затем, если вам нужно расширить, вы либо настраиваете другой порт на маршрутизаторе, например, порт 4, и подключаете другой другой коммутатор, либо создаете другой магистральный порт на коммутаторе с помеченными VLAN и нисходящей связью с аналогичным портом на новом коммутаторе.
В этом случае ни в коем случае не требуется 2 маршрутизатора. Вы можете настроить IP-адреса и маски подсети по мере необходимости, те, которые я использовал, только для справки.
