我正在使用 Dell Powerconnect 6248(第 3 层 48 端口千兆交换机)和 Fortigate 310。我试图在第二层模式下使用交换机,并为连接服务器的每个端口分配一个 VLAN,并将一条“中继”线路直接连接到 Fortinet。在 Fortinet 上,我设计了虚拟接口以匹配每个端口的 VLAN。这里的目标是要求服务器之间的任何通信都通过为虚拟接口定义的策略进行评估,这些策略对应于尝试通信的服务器的 VLAN。
因此,本质上,服务器 A 想要与服务器 B 通信。服务器 A 在端口 2(定义为 vlan 2)中,而服务器 B 在端口 3(定义为 vlan 3)中。防火墙连接到交换机端口 1,并且具有虚拟接口 A(定义为 vlan2)和虚拟接口 B(定义为 vlan3)。我有一个策略,允许虚拟接口 A 与虚拟接口 B 通信。所有服务器 Apackets 都应流向防火墙,然后使用新的 vlan 标记传回交换机,以到达服务器 B。
我的问题是,交换机上的端口 1 是否应定义为“TRUNK”,如果是,那么方法是什么(文档很薄弱)?这里还需要考虑其他什么吗?
谢谢!
答案1
我有几个 6224 开关,应该是类似的。
我推测“虚拟接口”是指防火墙使用 802.1q 标记 VLAN,没有未标记的虚拟接口,对吗?我还假设您将防火墙用作 VLAN 之间的路由器?
我无法让“Trunk”模式在这些交换机上工作。我不得不将交换机端口置于“General”模式。这允许您将任何 VLAN(带标签或不带标签)连接到端口。这意味着您必须小心 VLAN 如何连接到端口。它将允许您在此配置中交叉连接 VLAN。
还要注意标记/通用端口上的“默认”VLAN。理想情况下,它应该是从未在其他地方使用的 VLAN。我通常更喜欢为此使用 VLAN1,因为我过去遇到过以奇怪的方式依赖它的设备。