这是一个令人讨厌的难题。
一些背景信息:我有一台 Sophos UTM ASG220 作为多个网络的网关设备,配有一台 Cisco 2960 网络交换机,以及大量运行 KVM 并托管多个客户的 Red Hat 6.6 服务器,这些客户机位于不同的网络子网上。
UTM 的 LAN 接口配备了多个虚拟接口(其本质上实际上是一个精简的、优化的 RHEL 类型 Linux 机器),作为除安装期间创建的主网络之外的所有网络子网的网关。
我在交换机上定义了 VLAN,KVM 主机有绑定接口(模式 1,基于 RHN 支持建议)、为每个网络配置的 VLAN 子接口和桥接器,每个客户机都连接到其相应的桥接器并设置了 8021q。无需 UTM,VLAN 流量在交换机、KVM 主机和客户机之间顺利传输,我没有遇到任何问题。
话虽如此,但实际发生的事情如下:
我成功在 Sophos UTM 上创建了新的 VLAN 接口(但使用不同的 IP 地址)来替换用作 LAN 网关地址的现有虚拟 IP 地址。(例如,对于测试网络,虚拟接口网关地址为 10.11.0.253,预计替换它的新 VLAN 接口为 10.11.0.254)。
VLAN 到位后,客户机和 kvm 主机首先能够 ping 交换机、新 VLAN 网关接口和旧虚拟网关接口。但如果我尝试移除/删除网关的虚拟接口(例如 10.11.0.253),则网络开始变得异常。
交换机的 VLAN 地址(例如 10.11.0.7)无法 ping 通或访问 VLAN 上的客户机(例如,一个客户机是 10.11.0.36),但它可以访问 kvm 主机 VLAN 桥接器(例如 10.11.0.4)地址,并且可以访问 Sophos 网关(10.11.0.254,新的 VLAN 地址)。
即使恢复网关虚拟接口 (10.11.0.253),这种情况仍会持续一段时间。访客可以在同一个 VLAN 上互相访问,但无法 ping 交换机 VLAN 接口地址,也无法 ping 其 VLAN 网关地址,也无法将流量路由到其他外部网络,但 LAN DNS 服务器除外(奇怪的是),它们位于完全不同的子网 (192.168.2.0)!DNS 服务器是 10.11.0.0 访客可以看到的 192.168.2.0 子网中唯一的 IP 地址!
当这一切发生时,arping 对所有网络机器/设备都做出了完美的响应。
即使重新启动交换机并打开和关闭网关网络接口后,这种情况仍会持续一段时间。
然后一切又开始工作了(但是在网关虚拟接口和 VLAN 接口都启动的情况下,我关闭虚拟接口,将其重新启动,然后对 VLAN 接口执行相同的操作。)
我很想知道发生了什么,以及如何解决这个问题。感谢您阅读这篇非常长的帖子!
答案1
整理好了。显然,当 ASG 在同一个子网中有两个接口时(一个接口是 VLAN 接口,另一个是常规附加接口),它会感到困惑。此外,KVM 客户端的 libvirtd 交换机端口 (vnetX) 还存在一些问题,无法显示在正确的 VLAN 桥接接口上(不得不学习一些 brctl-fu),但现在一切都按计划进行。
但我很好奇,规划将 KVM 客户机从未标记的 VLAN 网络迁移到标记的 VLAN 网络的最佳方法是什么。