我正在尝试将现有的平面 LAN 拆分成几个独立的 VLAN。我似乎一切正常,路由也按我想要的方式运行,但我遇到了互联网连接问题。LAN 简要介绍:
1x PowerConnect 6248(第 3 层)
4x 5448(第 2 层)
现有 LAN(现为 vLAN99)192.168.0.x/24
SnapGear SG580 防火墙是此 vLAN 192.168.0.251 上的主网关
新的 vLAN:
10.0.10.x/24 - 网关 10.0.10.254 - 虚拟接口设置在 6248 10.0.11.x/24 - 网关 10.0.11.254 - 虚拟接口设置在 6248 10.0.12.x/24 - 网关 10.0.12.254 - 虚拟接口设置在 6248
我有 4 个端口中继(LAG + LACP),从每个 5448 到 6248 - 每个“中继”都标记在每个我需要路由的 VLAN 上,每个 LAG 中的所有端口都设置为“中继”模式。所有现有服务器和工作站都设置为 vLAN99,并且一切都运行正常,无论您插入哪个交换机。很好的开始。我在 6248 上设置了 IP-Helper 并将其指向我们的 DC。我还设置了 3 个新的 DHCP 范围以匹配新子网。我可以将任何交换机上的端口设置为 vLAN10、vLAN11 或 vLAN12,它们会获得分配给它们的正确 IP。我可以看到新的租约。PC 可以很好地访问服务器,映射驱动器、打印等 - 太棒了
但他们不懂互联网!
他们可以很好地解析 IP。我可以进入 cmd 提示符,ping 任何网址,它解析需要访问的 IP - 但没有响应。他们可以 ping 各自的网关(6248 上的虚拟接口),他们可以 ping 192.168.0.251 处的 SnapGear 防火墙。我可以进入 Snapgear 并 ping 回子网网关。有些事情不太对劲,这让我抓狂!
另外,我只是想澄清一下。TAGGED 和 UNTAGGED 端口。从我所读到的所有内容来看,您希望多个 vLAN 访问 TAG 端口。
因此,我的中继 (LAG) 在每个 vLAN 中都被标记,我需要访问这些中继。
服务器需要将其端口设置为“常规”,并将要访问的每个 vLAN 标记为已标记,并将其本机 vLAN 标记为未标记?例如,我的 DC 在 vLAN99 中,因此在该 vLAN 中它是未标记的,但在 vLAN12 中它是标记的,以便 vLAN12 中的 PC 可以访问它?这是当前的设置方式,我的 vLAN12 中的笔记本电脑可以访问服务器并访问 DHCP、共享等,但无法访问网络。
我的防火墙在 vLAN99 中,并且在该 vLAN 上未标记,但在 vLAN10、vLAN11 和 vLAN12 中标记。
我的所有 PC 都设置为“访问”,无论它们位于哪个 vLAN,并且无论它们位于哪个 vLAN,它们都设置为“UNTAGGED”,即 vLAN12 中的所有 PC 都设置为 UNTAGGED。
非常感谢任何帮助或想法;)
当我从受影响 vLAN 上的任何 PC 执行 tracert 时,我收到“无法从 10.0.x.254 访问目标热连接”,这是该子网的 6248 上的虚拟接口。但我可以正常访问内部网络的其余部分并 ping SG580 防火墙。在 SG580 上,我定义了返回 6248 的路由,SG580 可以 ping 6248 上的正确接口。
我只是有一种怀疑的感觉,这与我标记和取消标记端口的方式有关......
答案1
我只是有一种怀疑的感觉,这与我标记和取消标记端口的方式有关......
如果网络中的所有 ping 都有效,则很可能您已正确配置标记
需要澄清的几个问题
您希望新 VLAN 上的设备如何连接到互联网。1) 第一跳 6248,然后通过 snapgear 防火墙 2) 第一跳 snapgear 防火墙
如果 1) 那么 6248 中是否有指向 snapgear 的默认路由 如果 2) 那么 PC 的默认网关需要是 snapgear 上的 IP(同一 VLAN)
您说“他们可以很好地解析 IP”。新 VLAN 上的 PC 上的名称服务器是如何配置的?这是互联网 IP 地址还是本地 IP 地址。
如果是互联网(通过 snapgear),那么我建议你需要查看防火墙规则。如果是本地,那么我想你需要查看 6248 上的路由