VLAN 網關和路由

這是出於假設目的 - 更多的是學習問題而不是生產問題。

如果我有配置了少量 VLAN 的交換機（第 3 層，可以說是 Procurve）。讓我們說：

DEFAULT VLAN  10.1.1.0/24
VLAN10        172.16.30.0/24
VLAN100       192.168.1.0/24

有兩個防火牆 - FW01 和 FW02：

FW01 IP: 10.1.1.1
FW02 IP: 10.1.1.2

我想要VLAN10並VLAN100用於FW01網際網路（因為這是一條更快的線路，可以說）

我想DEFAULT VLAN使用它，FW02因為它的上傳量更大（為了爭論）。

幾個問題：

1）。首先，交換機的預設網關是什麼？( Default VLAN)

2）。我將在哪裡/如何為其他 VLAN 配置額外的預設網關。假設 DHCP 將交換機作為預設網關，因為這將啟用 VLAN 間路由。

3）。交換機如何知道每個 VLAN 數據包使用哪個預設網關？

謝謝！

這並不像你想像的那麼容易。回答你的第一個和第三個問題：

• **預設網關始終與介面的 IP 地址位於同一子網中。**預設網關用於離開您的本地子網，因此如果它不在同一個子網中，則電腦不知道如何到達該子網。因此，對於通過 FW02 的預設 vlan，它的預設網關將是10.1.1.2
• 標準路由僅基於目標 IP。路由器和交換機在查找目標 IP 地址方面速度很快，但大多數硬體都沒有考慮到源 IP 地址。

現在，您可以通過兩種方式做到這一點：

1. 終止防火牆上的 VLAN。FW01 上 VLAN 10 和 VLAN 100 中的兩個（子）介面。這些 VLAN 中的預設網關將是您為 FW01 提供的 IP，例如分別為 172.16.30.1 和 192.168.1.1。
2. 使用基於策略的路由。如果您的第 3 層交換機有能力，您可以根據策略進行路由。其中一項策略可能是源地址。但請注意：由於這主要無法在硬體中完成，因此所有內容都將由通用 CPU 承擔，從而在負載下削弱網路性能。

現在，回答您的第二個問題：在 IPv4 中，您只有一個預設網關。您可以添加幾條路線，但這會很快變得難以管理。因此，您要做的是：終止兩個防火牆上的所有 VLAN，並配置第二層冗餘協議，例如 VRRP。然後，您配置預設 VLAN 的優先級，以便 FW02 對該 VLAN 處於活動狀態，並為 VLAN 10 和 VLAN 100 配置優先級，以便 FW01 對該 VLAN 處於活動狀態。如果一個防火牆死了，另一個將接管，導致頻寬減少，但幾乎沒有網路中斷。

在這種情況下，預設網關將是您在配置 VRRP 時分配的虛擬 IP 地址。有關範例，請參見wikipedia 條目。

引用自：https://serverfault.com/questions/495516