Dell PowerConnect 2824 VLAN隔離問題
我們有一個環境,其中有 4 台 Hyper-V 伺服器通過 Dell PowerConnect 2824 交換機連接到兩個 Cisco PIX 冗餘防火牆。
現在,沒有VLAN也可以,但是我想隔離一些流量,所以我需要在虛擬機的特定介面上設置一個VLAN標籤,然後讓流量離開這個特定VLAN的交換機埠標記,然後到達防火牆,但在進入埠時,它需要被取消標記,以便防火牆可以處理它,就好像它是一個普通的未標記數據包一樣。
所以我需要讓這些數據包在任何埠上帶有 VLAN 標籤,但只允許在兩個特定埠上進入(此時 VLAN 標籤被剝離)
正常的未標記數據包應該不受影響。
我對 VLAN 不是很有經驗,所以我想知道這是否可能。可以在此處找到有關交換機的一些文件:
http://support.dell.com/support/edocs/network/pc28xx/en/ug/html/switch.htm#wp1208025
謝謝!
不,您的建議違背了 VLAN 的目的。假設有一種方法可以使此工作正常進行,那麼一旦它擊中物理開關,您就會失去隔離。
你可以做幾件事,所有這些都需要對你的網路和/或醜陋進行不同程度的改造。
訪問埠
首先,也可能是最簡單的方法是創建 VLAN,然後將第二個乙太網從交換機添加到 Hyper-V 盒作為正常訪問埠(未標記),然後為此流量設置單獨的虛擬網路。您還必須向防火牆添加另一個介面,以連接到交換機上的另一個正常訪問埠並從那里路由/防火牆。
混合中繼/接入埠
您將設置一個中繼到防火牆並使用防火牆上的子介面或虛擬介面來處理帶有 VLAN 標記的數據包。然後,您將有兩個訪問埠連接到 Hyper-V 盒,每個 VLAN 一個。
您可以交換它,以便 Trunk 連接到 Hyper-V 機器,並將訪問埠連接到防火牆。
四處穿梭
您可以設置到防火牆和 Hyper-V 盒子的中繼,並在防火牆上設置子介面,根據這些 VLAN 在 Hyper-V 盒子上分離網路。