我们有几台服务器在主机托管上,现在正尝试利用 Cisco ASA 5505 作为路由器和 Cisco 3750x 系列交换机来重新组织网络。
网络拓扑如下:
uplink
|
+----------+
| ASA 5505 |
+----------+
|
|(trunk vlan10,101,102)
|
+-----------+
| 3750x |
+-----------+
|
|
|
+--------------------------+
| Server N |
| 192.168.10.10 : vlan10 |
| 192.168.101.10 : vlan101 |
| 192.168.102.10 : vlan102 |
+--------------------------+
3750x 配置存在问题,因为我们需要将三个不同的子网(vlan 10、101、102)提供给“服务器 N”。 “服务器 N”有来自不同子网(vlan101 和 102)的多个 IP 分配给同一个 NIC。此外,它还具有主板控制器,带有来自 vlan10 的另一个 IP。 BMC 共享 NIC - 因此从服务器到交换机只有一个物理链路。
由于 3750x 不允许在没有中继的同一端口上允许多个 VLAN - 配置交换机以允许此配置的最佳方法是什么?
更新日期 2014-02-24:
最初的问题是很久以前提出的,所以让我发布我发现的解决方案,而无需弄乱主干并重新编译系统。
我使用静态路由通过 VLAN 传输流量到服务器辅助地址。
对于上述配置,NIC 有三个子网。我们将其中一个视为主子网并包含在 VLAN 配置中。其他两个将是路由子网。
以下是简单的配置:
interface Vlan1
ip address 192.168.10.1 255.255.255.0
!
ip route 192.168.101.0 255.255.255.0 192.168.10.10
ip route 192.168.102.0 255.255.255.0 192.168.10.10
这样,您就可以向您的服务器添加多个辅助子网。
但是,我认为这不是配置它的最佳方式,因为它将次级子网排除在 VLAN 之外 - 因此它不像我们想要的那样安全。但这是我向专业人士提出的下一个问题。
答案1
中继通向服务器的接口。
答案2
尽管通常存在 1 对 1 的第 2 层到第 3 层的映射(又称 VLAN 到 IP 网络映射),但您不必这样做。
如果您确实不需要中继,那么在单个 VLAN 内存在多个 L3 网络可能比较合适。但是,请记住,这可能存在安全风险,因为要绕过 ASA 上 L3 网络之间的防火墙规则,只需要主机更改其 IP 设置,因为它们都在同一个 VLAN 中。
当然,您需要自行决定合适的解决方案。但是,如果您熟悉在两个交换机服务器上配置 VLAN 中继,那么您可以确信您的决定不是由于偏向走捷径而做出的。
答案3
好吧,我不会浪费时间告诉你你做错了,但有一种方法可以实现你想要的,那就是烧毁你的 3750 上的端口:)
设置以下内容:VLAN10 上的端口 1 VLAN101 上的端口 2 VLAN102 上的端口 3
第四个 VLAN 上的端口 4-7,我们称之为 103。
现在...将端口 1 连接到端口 4,将端口 2 连接到端口 5,将端口 3 连接到端口 6,将端口 7 连接到您的服务器。
瞧...您刚刚将三个 VLAN 重新桥接在一起了...好耶。
这完全是“错误的做法”,但我想这确实能让你得到你想要的东西,所有三个广播域重新合并在一起。你的 ASA 可能会对你生气,我警告过你了。