Cisco
不同 VLAN 配置的設備互動
我有一個現有的防火牆+交換層,它被分成每個客戶端的 VLAN,具有自己的編號策略等。該層通過中繼埠互連,因此在一個交換機上編號的 VLAN 在任何其他交換機上都可以使用。
我的一個客戶現在想在他們的 VLAN 中引入負載均衡器。該設備還指定 VLAN(例如,將管理流量與平衡流量分開)。我們仍然要求他們的流量與所有其他客戶端分開(這就是我們首先擁有 VLAN 的原因),所以我打算為他們分配標準的訪問交換機埠,分配給他們的 VLAN,就像我們會這樣做一樣只是另一台伺服器。
我的實驗室裡沒有足夠的測試設備來對此進行全面檢查,所以我的問題是,它真的有用嗎?
進一步來說:
- 具有自己的 VLAN 策略的 VLAN 定義設備插入使用我的 VLAN 策略的接入埠會導致任一策略的交叉污染嗎?
- 來自該 VLAN 定義設備的流量是否只被封裝了兩次,首先是使用它自己的 VLAN 標籤,然後是使用交換層的 VLAN 標籤,並且可以合理地預期它會正確展開(例如,用於回复流量)?
- 鑑於伺服器也將連接到交換層中同一客戶端 VLAN 上的訪問埠,負載均衡器與伺服器通信是否有任何困難?
- 即使我正在尋找平衡器駐留在交換層的接入埠上,我是否必須分配平衡器的 VLAN 編號以明確地與交換層的 VLAN 一致或偏離?
- 相反,如果我希望使用同一個平衡器為多個客戶端提供負載平衡服務,是否只是將 VLAN 編號配置為一致並將互連的交換機和平衡器埠配置為中繼埠的情況?
(如果重要的話,有問題的設備都是思科:防火牆+交換層的ASA5540+Cat2960,平衡器的ACE4710)
附加物
Cisco ACE 負載平衡器可以選擇在埠上標記 VLAN 或使用未標記的訪問埠。你不會有這個配置的問題。您可能必須為 ACE 的管理埠創建一個新 VLAN,並將伺服器群置於僅交換 VLAN 之後。來源