我在使用 Allied Telesys 的 AT-GS950/24 管理型交换机时遇到了问题。我配置了多个 VLAN,它通过所有 VLAN 上的 ARP 报告其管理 IP,这导致重复 ping,因为如果 ping 来自另一个 VLAN,则防火墙似乎会根据其 VLAN 配置重复交换机的响应。
详细来说:我有一台特殊的交换机(我们现在称之为 AT),以及一台带 LEDE 的路由器,充当 VLAN 之间的防火墙(我们现在称之为 LEDE)。AT 和 LEDE 通过 VLAN 中继连接,这基本上是将每个 VLAN 设置为标记的连接。
我还有第二个交换机(现在我们称之为 SW),它也通过中继连接连接到 AT。
每个 VLAN 都有自己的 /24 子网掩码。所有 VLAN 间连接都经过 LEDE 及其防火墙,其中流量当前设置为允许任何流量。AT 已将 VLAN 1 设置为其管理 VLAN,并从 VLAN 1 的子网中设置管理 IP。
我现在遇到的现象是:位于 VLAN 1 中的计算机能够 ping 通 AT,并得到一个响应。位于不同 VLAN 中的计算机也能够 ping 通 AT,但会得到多个响应,这是由于 LEDE 路由器内部的重复造成的。
我了解到以下事实:
- AT 仅发送一个响应
- LEDE 正在复制响应,以便每个 VLAN 都有一个响应,然后将其发送到 VLAN 1 和 ping 计算机
- LEDE 在没有明确设置接口的情况下对 AT 本身进行 ping 也会导致重复响应
- LEDE 对 AT 执行 ping 操作,并将接口明确设置为 eth0.1,结果只有一个响应
- 另一个交换机 SW 根本没有造成任何重复,每个请求只有一个响应,无论哪个客户端导致 ping
- AT 以正确的方式响应了来自 LEDE 的 ARP 请求,但这些响应也被复制到了所有其他 VLAN,似乎 LEDE 正在响应一个在任何 VLAN 中都不存在的 MAC 地址。
- 这仅发生在 AT 交换机上,它是我的 VLAN 中继/以太网级联内的第一个跳。
- 除了这些现象之外,网络运行正常。交换机切换正常,LEDE 防火墙正确,一切都很好,除了让我感到相当困惑,并且我的 Icinga 实例中有一个红色勾号,该实例不在 VLAN 1 中,因此在 ping 检查中也会收到重复响应。
根据 OpenWRT 和 LEDE wiki,我确信我已经正确设置了 LEDE 中的 VLAN,但我很高兴证明我错了。
如果您需要更多信息,请询问。