继续求指导，我这样设置路由器和交换机对不对

This topic created in 3744 days ago, the information mentioned may be changed or developed.

外部网线-->交换机-->路由器 eth0

路由器 eth4-->交换机（同一个）

eth0 和 eth4 是 NAT （ PAT ）的关系，就是家用路由器 WAN 和 LAN 的关系。

总的来说，目前没发现什么异常。

这样做的原因是顺便使用路由器里面的防火墙控制对交换机管理界面的访问。

请教： 1. 我这样做可以么？还有什么更好的方法么？
2. 如果交换机暴露在外网，怎么保护管理界面？

谢谢～～

交换机

路由器

eth0

eth4

2 replies • 2016-02-21 15:45:56 +08:00

benjaminzhang

Feb 21, 2016

如果我理解的没错，交换机的管理地址你是不是配在与路由器 ETH0 的接口上？而且管理地址和内网地址不在一个子网？但如果你交换机没划 VLAN 的话内网主机改个地址不就直接绕过路由器了……
如果是可网管交换机一般都有 ACL ，访问策略配在交换机里不是更简单彻底？

smallfount

Feb 21, 2016

.....额
为何要先进交换机呢?因为多 IP 吗?
如果是只为了控制交换机的管理访问, 那么完全可以直接用内部 ACL 而不应该让交换机暴露在外部
如果你交换机是只有 web 管理而没有 ACL 的...那最简单的其实是限制可以访问管理 IP 的, 这个一般都会有....
反而你让机器直接暴露在外部反而更没必要, 拓扑上还要多绕一下...浪费 2 个口...