VLAN 連接問題和標記
我正在嘗試將現有的平面 LAN 拆分為幾個單獨的 VLAN。我似乎可以按照我的意願進行所有工作和路由,但我遇到了網際網路連接問題。區域網路的快速概述:
1x PowerConnect 6248(第 3 層)
4x 5448(第 2 層)
現有 LAN(現為 vLAN99)192.168.0.x/24
SnapGear SG580 防火牆是此 vLAN 192.168.0.251 上的主網關
新的 VLAN:
10.0.10.x/24 - 網關 10.0.10.254 - 在 6248 上設置的虛擬介面 10.0.11.x/24 - 網關 10.0.11.254 - 在 6248 上設置的虛擬介面 10.0.12.x/24 - 網關 10.0.12.254 - 在 6248 上設置的虛擬介面從每個 5448 到 6248,我有 4 個埠中繼 (LAG + LACP) - 每個“中繼”都標記在我需要向下路由的每個 VLAN 上,每個 LAG 中的所有埠都設置為“中繼”模式。所有現有的伺服器和工作站都設置為 vLAN99,並且無論您插入哪個交換機,它都能完美執行。偉大的開始。我在 6248 上設置了 IP-Helper 並將其指向我們的 DC。我還設置了 3 個新的 DHCP 範圍來匹配新的子網。我可以將任何交換機上的埠設置為 vLAN10、vLAN11 或 vLAN12,它們會獲得分配給它們的正確 IP。我可以看到新的租約。PC 可以很好地訪問伺服器、映射驅動器、列印等 - 真棒
但是他們沒有上網!
他們可以解決IP的罰款。我可以進入 cmd 提示符,ping 任何網址並解析它需要去的 IP - 雖然沒有響應。他們可以ping各自的網關(6248上的虛擬介面),他們可以ping通192.168.0.251的SnapGear防火牆。我可以進入 Snapgear 並 ping 回子網網關。有些事情不太對勁,讓我抓狂!
另外,只是為了澄清一下我的想法。標記和未標記埠。從我所有的閱讀中,您可以標記您希望多個 vLAN 訪問的埠。
所以我的干線 (LAG) 在我需要訪問這些幹線的每個 vLAN 中都被標記了。
伺服器需要將它們的埠設置為“通用”並為您要訪問這些埠的每個 vLAN 標記並對其本機 vLAN 進行 UNTAGGED?即我的 DC 在 vLAN99 中,所以在那個 vLAN 中它是未標記的,但在 vLAN12 中它是標記的,以便 vLAN12 中的 PC 可以訪問它?這就是它目前的設置方式,我在 vLAN12 中的筆記型電腦可以訪問伺服器並訪問 DHCP、共享等,只是沒有網路訪問權限。
我的防火牆在 vLAN99 中,在該 vLAN 上未標記,但在 vLAN10、vLAN11 和 vLAN12 中已標記。
我所有的 PC 都設置為“訪問”,無論它們在哪個 vLAN 中,並且無論它們位於哪個 vLAN,它們都設置為“未標記”,即 vLAN12 中的所有 PC 都設置為未標記。
非常感謝任何幫助或想法;)
當我從受影響的 vLAN 上的任何 PC 執行跟踪時,我得到“無法從 10.0.x.254 訪問的目標熱”,這是該子網 6248 上的虛擬介面。但是我可以正常訪問內部網路的其餘部分並 ping SG580 防火牆。在 SG580 上,我定義了返回 6248 的路由,SG580 可以 ping 6248 上的正確介面。
我只是有一種懷疑的感覺,這與我標記和取消標記埠的方式有關….
我只是有一種懷疑的感覺,這與我標記和取消標記埠的方式有關….
如果所有 ping 都在網路中正常工作,則您可能已正確配置了標記
幾個問題需要澄清
您希望新 VLAN 上的設備如何連接到 Internet。1) 第一跳 6248,然後通過 snapgear 防火牆 2) 第一跳 snapgear 防火牆
如果 1) 那麼在 6248 中是否有指向 snapgear 的預設路由 如果 2) 那麼 PC 的預設網關需要是 snapgear 上的 IP(相同的 VLAN)
您說“他們可以解決 IP 問題”。如何在新 VLAN 上的 PC 上配置名稱伺服器?這是網際網路 IP 地址還是本地 IP 地址。
如果是網際網路(通過 snapgear),那麼我建議您需要查看您的防火牆規則。如果是本地的話我猜你需要看看6248上的路由