背景:
我有 2 台 Powerconnect 62xx 交换机,它们与外界之间堆叠了一个 Watchguard XTM-26。目前,连接到交换机的所有设备都在同一个 VLAN 中,默认网关是 watchguard。
我们最近安装了 Polycomp SoundPoint 335 Voip 手机。由于端口限制,计算机插入电话,电话插入墙上。
由于各种原因,我想将语音流量分割到其自己的 VLAN 上。Powerconnect 交换机有一个不错的“语音 VLAN”功能,似乎正是这样做的:它会自动检测来自电话的数据包,并在交换机上用我选择的 VLAN ID 标记它们。
我遇到问题的地方是我的 DHCP 服务器。目前,DHCP 服务器位于连接到数据 VLAN 的 Windows Server 2008 R2 计算机上。最初我想我只使用 IP Helper/DHCP 中继。启用 DHCP 中继后,DHCP Discover 广播将从语音 VLAN 中拦截,并转换为从我的交换机到数据 VLAN 上的 DHCP 服务器的单播 UDP 数据包。DHCP 服务器处理该请求,然后尝试使用单播 DHCP Offer 数据包进行响应,该数据包指向语音 VLAN 上的虚拟路由器的 IP。
从数据 VLAN 上的 DHCP 服务器到语音 VLAN 虚拟路由器的数据包从未到达语音 VLAN,原因很明显:IP 位于本地子网之外,因此它会被转发到默认网关(在 watchguard 上),然后被反弹回来。
问题:
戴尔代表告诉我,配置 VLAN 之间以及 Watchguard 之间的限制路由会有问题,我的最佳选择是采用完整的单板路由器配置。(VLAN 之间和外部网络之间的路由均由 Watchguard 处理。)这是准确的吗?VLAN 之间唯一需要路由的流量是 DHCP 数据包,因此实际上不存在瓶颈问题。
是否有任何合理的方法可以在托管交换机上配置路由,以便往返于 dhcp 服务器的 udp 流量通过 VLAN 路由,而子网外的所有其他流量则转发到 watchguard?我已经设置了似乎可以实现这一点的路由,但似乎从来没有正常工作。
答案1
您有一个三层交换机...
- 这可以通过在交换机上启用路由来实现。
- 在语音VLAN上创建VLAN接口和IP地址。
- 对于需要跨 VLAN 进行通信的任何事物,默认 gw 都应该是该接口 ip。
- 数据网络也一样。您的默认网关应该是交换机。
- 在语音 VLAN 中为您的 DHCP 服务器 IP 添加辅助地址。
- 为交换机添加一条 0.0.0.0/0 到 Watchguard 防火墙的路由(例如,任何不直接连接或具有特定路由的东西都有防火墙的下一跳)。
我手边没有 Dell L3 交换机,但 HP ProCurve 数据/语音路由表如下所示,其中:
Firewall/internet gateway is: 192.1.2.250
Voice VLAN 210 - Device default gw is: 172.16.120.1
Data VLAN 201 - Devices default gw is: 192.1.2.1
continental-core# sh ip route
IP Route Entries
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.1.2.250 201 static 1 1
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
172.16.120.0/24 Continental ... 210 connected 1 0
192.1.2.0/24 Continental ... 201 connected 1 0