更改思科管理 VLAN

tag-icon tag-icon firewall cisco vlan checkpoint
更改思科管理 VLAN

我目前有以下配置。一个 Checkpoint 防火墙(即路由器)和 12 个 Cisco 9200 交换机。SW1 连接到防火墙。我需要将 MGMT VLAN 从 VLAN20 更改为 VLAN95。在防火墙上,接口充当网络上每个 VLAN 的网关,定义如下:

  • 管理 - 192.168.2.254(VLAN20)
  • eth2 - 192.168.3.254 (VLAN30)
    ...
  • eth6.70 - 192.168.7.254 (VLAN70)
  • eth8 - 192.168.9.254(VLAN90)
  • ip 默认网关 192.168.2.254 - 在所有交换机上,VLAN20 是 MGMT 接口

所有 VLAN 都已在所有交换机上定义,但只有 VLAN20 在所有交换机的“接口 Vlan20”上具有 IP 地址。Cisco 交换机上的所有中继端口都允许来自所有 VLAN 的流量。
唯一具有 2 个 IP 地址的交换机是 SW1,它直接连接到防火墙:

  • 接口 Vlan20
    IP 地址 192.168.2.245 255.255.255.0
  • 接口 Vlan 70
    IP 地址 192.168.7.230 255.255.255.0
    到目前为止一切顺利,我可以从任何交换机和网络上的所有设备 ping 所有网关 IP 地址 (*.254)。

现在来谈谈问题。
我已将 IP 地址 192.168.95.254 分配给防火墙上的 eth5,并在每个交换机上添加了 VLAN95 和“接口 Vlan95”,但没有为“接口 Vlan95”分配 IP 地址。

  • eth5 - 192.168.95.254 (VLAN95)
    此时,我可以从任何 Cisco 交换机 ping 192.168.95.254。
    但是,只要我为任何交换机分配 Vlan95 IP 地址(假设 SW1,接口 Vlan 95 - IP 地址 192.168.95.240 255.255.255.0),我就无法再从 SW1 ping 192.168.95.254。
    此外,我无法从防火墙本身 ping 192.168.95.240。

    因此,我可以使用以下交换机配置从 SW1 ping 防火墙接口 192.168.95.254:
  • 接口 Vlan20
    IP 地址 192.168.2.245 255.255.255.0
  • 接口Vlan70
    ip地址192.168.7.230 255.255.255.0
  • 接口 Vlan95
    没有 ip 地址

但此配置不行:

  • 接口 Vlan20
    IP 地址 192.168.2.245 255.255.255.0

  • 接口Vlan70
    ip地址192.168.7.230 255.255.255.0

  • 接口 Vlan95
    IP 地址 192.168.95.240 255.255.255.0

我不明白为什么我无法从防火墙 ping 192.168.95.240(SW1,接口 Vlan95)。

防火墙的“route -n”输出:
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 Mgmt
192.168.3.0 0.0.0.0
255.255.255.0 U 0 0 0 eth2 192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth6.40
192.168.6.240 0.0.0.0 255.255.255.240 U 0 0 0 eth4
192.168.7.0 0.0.0.0 255.255.255.0 U 0 0 0 eth6.70
192.168.9.0 0.0.0.0 255.255.255.0 U 0 0 0 eth8 192.168.95.0 0.0.0.0 255.255.255.0
U 0 0 0 eth5
192.168.96.0 0.0.0.0 255.255.255.0 U 0 0 0 eth6.96

从 SW1 执行“show ip route”:

最后选用的网关是 192.168.2.254,网络为 0.0.0.0

S* 0.0.0.0/0 [0/0] 通过 192.168.2.254
192.168.2.0/24 为可变子网,2 个子网,2 个掩码
C 192.168.2.0/24 直接连接,Vlan20
L 192.168.2.245/32 直接连接,Vlan20
192.168.7.0/24 为可变子网,2 个子网,2 个掩码
C 192.168.7.0/24 直接连接,Vlan70
L 192.168.7.230/32 直接连接,Vlan70
192.168.95.0/24 为可变子网,2 个子网,2 个掩码
C 192.168.95.0/24 直接连接, Vlan95
L 192.168.95.240/32 直接连接,Vlan95

我肯定遗漏了一些东西,但不确定是什么。欢迎提出任何想法。

答案1

从 route -n 命令来看,防火墙似乎没有添加 VLAN 标记,那么该接口是否插入了 SW1 上的访问端口?如果是,那么该访问端口是否位于正确的 VLAN 中?

在添加 VLAN 95 SVI 之前,发往该网络的任何流量都会通过您的默认网关。如果接口位于 VLAN 95 中,发往该接口的流量只会尝试通过 arp 进行解析,而不会执行任何其他操作。确认 eth6 和 VLAN 95 位于同一广播域中。

相关内容