我们的设置有些奇怪。连接到思科交换机的某些设备必须由第三方管理,我们不想让第三方完全访问我们的网络。这些设备没有自己的路由子网,它们是交换机所在子网的一部分。遗憾的是,这无法更改。
我们提出了以下解决方案(但不起作用):
- 我们将这些设备所在的端口放在单独的 VLAN 上。
- 我们已经将具有两个接口的路由器板设备连接到交换机,一个接口连接到主 VLAN,另一个接口连接到设备的新 VLAN。
- 我们尝试在路由板上设置一个桥接器(与防火墙结合,因此只能进行传入连接),以便可以访问设备。
我们无法使该解决方案发挥作用,routerboard 将数据包从一个接口中继到另一个接口,而 ceisco 会因为错误的 vlantag 而拒绝它。
我们尝试在 routerboard 上设置 vlantagging(以此为参考:http://blog.butchevans.com/2010/02/to-tag-or-not-to-tag-that-is-the-question/),但似乎没有流量到达路由板。
我们可以更改思科设置以接受或忽略错误的 VLAN 标签吗,或者我们应该如何配置路由器板?
提前致谢!
答案1
我知道这已经晚了(说得委婉些),但这可能会为将来的某人提供有用的指示。
几乎任何现代 Cisco 交换机都提供某种版本的私有 VLAN (PVLAN)。PVLAN 的理念是阻止给定 VLAN 内的主机相互通信,除非明确允许。PVLAN 中有三种类型的端口:
1.) 混杂 - 配置为混杂的端口可以向 VLAN 中的任何端口发送和接收数据。您的路由器端口可能就是混杂的。
2.) 隔离 - 只能将流量发送到混合端口。
3.) 社区 - 可以将流量发送到同一社区中的其他端口以及混合端口。
在您的场景中,您将在同一 VLAN 中拥有所有提到的主机。外部管理的盒子将被设置为隔离的,而其余的将设置在公共社区中。您的路由器/网关将是一个混杂端口。
实际的实施将根据您使用的切换平台而有所不同,但原理保持不变......
答案2
您提到了路由器和防火墙。是否可以只在防火墙上设置端口转发?因此,新管理员可能会转到http://防火墙:8080/这会映射到 your.internal.device:80 吗?这可能比尝试将 VLAN 桥接在一起更简单。了解更多可用于解决问题的设备功能会很有帮助,因为听起来您无需在网络中添加更多设备即可做到这一点。
答案3
“VLAN 之间的桥接”有点自相矛盾,不是吗?桥接/合并的 VLAN 只是另一个单个 VLAN。将 VLAN 拆分成一对,然后再询问桥接(从而合并)的意义何在?:-) 在 L2 解决上层(网络)问题有点不合时宜。)
必须由第三方管理
为他们设置 binat,这样他们就可以访问一些额外的 IP,这些 IP 会被路由器转换为内部 IP。您可以控制这些 IP,不是吗?