这是出于假设的目的——更多的是一个学习问题,而不是生产问题。
如果我有一个交换机(第 3 层,比如说 Procurve),并且配置了一些 VLAN。比如说:
DEFAULT VLAN 10.1.1.0/24
VLAN10 172.16.30.0/24
VLAN100 192.168.1.0/24
有两台防火墙-FW01和FW02:
FW01 IP: 10.1.1.1
FW02 IP: 10.1.1.2
我想要VLAN10使VLAN100用它FW01来上网(因为可以说这是一条更快的线路)
我希望DEFAULT VLAN使用,FW02因为它具有更大的上传量(为了论证的目的)。
几个问题:
1).首先,交换机的默认网关是什么?(Default VLAN)
2). 我应该在哪里/如何为其他 VLAN 配置额外的默认网关。假设 DHCP 分配交换机作为默认网关,因为这将启用 VLAN 间路由。
3). 交换机如何知道每个 VLAN 数据包使用哪个默认网关?
谢谢!
答案1
这并不像您想象的那么简单。回答您的第一个和第三个问题:
- 默认网关始终与接口的 IP 地址位于同一子网。默认网关用于离开本地子网,因此如果不在同一子网中,计算机就不知道如何到达子网。因此,对于要通过 FW02 的默认 VLAN,其默认网关将是
10.1.1.2 - 标准路由仅基于目标 IP 进行。路由器和交换机可以快速查找目标 IP 地址,但大多数硬件在构建时并未考虑源 IP。
现在,您可以通过两种方式执行此操作:
- 终止防火墙上的 VLAN。FW01 上的 VLAN 10 和 VLAN 100 中有两个(子)接口。这些 VLAN 中的默认网关将是您为 FW01 分配的 IP,例如分别为 172.16.30.1 和 192.168.1.1。
- 使用基于策略的路由。如果您的 3 层交换机具备此功能,您可以根据策略进行路由。其中一个策略可能是源地址。但请注意:由于这在硬件中大多无法实现,因此所有内容都将转移到通用 CPU,从而削弱负载下的网络性能。
现在,回答您的第二个问题:在 IPv4 中,您只有一个默认网关。您可以添加多个路由,但这很快就会变得难以管理。因此,您要做的就是:终止两个防火墙上的所有 VLAN,并配置第二层冗余协议,例如 VRRP。然后配置默认 VLAN 的优先级,以便 FW02 对该 VLAN 处于活动状态,并配置 VLAN 10 和 VLAN 100 的优先级,以便 FW01 对该 VLAN 处于活动状态。如果一个防火墙崩溃,另一个防火墙将接管,从而导致带宽减少,但几乎不会出现网络中断。
在这种情况下,默认网关将是您在配置 VRRP 时分配的虚拟 IP 地址。请参阅维基百科条目举个例子。