我有一个现有的防火墙+交换层,它被分成每个客户端的 VLAN,具有自己的编号策略等。该层通过中继端口互连,以便在一个交换机上编号的 VLAN 在任何其他交换机上都可以被遵守。
我的一位客户现在想在他们的 VLAN 中引入一个负载平衡器。此设备还指定 VLAN(例如,将管理流量与平衡流量分开)。我们仍然要求他们的流量与所有其他客户端分开(这就是我们首先拥有 VLAN 的原因),因此我打算为他们分配标准访问交换机端口,分配给他们的 VLAN,就像我们将其视为另一台服务器一样。
我的实验室里没有足够的测试设备来对此进行全面检查,所以我的问题是,它真的有效吗?
进一步来说:
- 将具有自己的 VLAN 策略的 VLAN 定义设备插入具有我的 VLAN 策略的接入端口,是否会导致任一策略的交叉污染?
- 来自该 VLAN 定义设备的流量是否只被封装两次,首先使用其自己的 VLAN 标签,然后使用交换层的 VLAN 标签,并且可以合理地预期正确展开(例如对于回复流量)?
- 鉴于服务器也将连接到交换层中同一客户端 VLAN 上的接入端口,负载均衡器与服务器通信是否会遇到困难?
- 即使我正在寻找驻留在交换层的接入端口上的平衡器,我是否必须分配平衡器的 VLAN 编号以与交换层的 VLAN 明确一致或不同?
- 相反,如果我希望使用相同的平衡器为多个客户端提供负载平衡服务,那么是否只需配置 VLAN 编号以使其一致,并将互连的交换机和平衡器端口配置为中继端口?
(如果有关系的话,所讨论的设备都是思科的:防火墙+交换层的 ASA5540+Cat2960,平衡器的 ACE4710)
附加物
答案1
Cisco ACE 负载平衡器可以选择在端口上标记 VLAN,或使用未标记的访问端口。这种配置不会有问题。您可能必须为 ACE 的管理端口创建一个新的 VLAN,并将服务器场置于仅交换的 VLAN 之后。来源