Cisco
vlan之間的橋接
我們有一個有點異國情調的設置。連接到 cisco 交換機的某些設備必須由第三方管理,我們不想讓該第三方完全訪問我們的網路。那裡的設備沒有自己的路由子網,它們是交換機所在子網的一部分。不幸的是,這無法更改。
我們提出了以下解決方案(不起作用):
- 我們已將這些設備所在的埠放在單獨的 vlan 上。
- 我們已經將具有兩個介面的路由器板設備連接到交換機,一個介面連接到主 vlan,另一個介面連接到設備的新 vlan。
- 我們嘗試在路由器板上設置一個網橋(與防火牆相結合,因此只有傳入的連接是可能的),因此設備是可訪問的。
我們無法讓這個解決方案發揮作用,路由器板將數據包從一個介面中繼到另一個介面,因為 vlantag 錯誤,ceisco 拒絕了它。
我們嘗試在路由器板上設置 vlantagging(使用此作為參考:http ://blog.butchevans.com/2010/02/to-tag-or-not-to-tag-that-is-the-question/ )但是似乎沒有流量到達路由器板。
我們可以更改 cisco 設置以接受或忽略錯誤的 vlan 標籤,或者我們應該如何配置路由器板?
提前致謝!
我知道這已經晚了(委婉地說),但這對於將來的某人來說可能會很方便。
在幾乎所有相當現代的 Cisco 交換機上,都有一些版本的專用 VLAN (PVLAN)。PVLAN 的想法是使給定 VLAN 內的主機無法相互通信,除非明確允許。PVLAN 中有三種類型的埠:
1.) 混雜 - 配置為混雜的埠可以發送和接收到 VLAN 中的任何埠。您的路由器埠可能是混雜的。
2.) 隔離 - 只能將流量發送到混雜埠。
3.) 社區 - 可以將流量發送到同一社區中的其他埠和混雜埠。
在您的場景中,您將在同一個 VLAN 中提到所有主機。外部管理的盒子將被設置為孤立的,而其餘的將被設置在一個共同的社區中。您的路由器/網關將是一個混雜埠。
實際實現會根據您使用的交換機平台而有所不同,但原則保持不變……