Назад | Перейти на главную страницу

Шлюзы VLAN и маршрутизация

Это для гипотетических целей - скорее вопрос обучения, чем вопрос производства.

Если у меня есть коммутатор (уровень 3, скажем, Procurve) с несколькими настроенными VLAN. Допустим:

DEFAULT VLAN  10.1.1.0/24
VLAN10        172.16.30.0/24
VLAN100       192.168.1.0/24

Существует два межсетевых экрана - FW01 и FW02:

FW01 IP: 10.1.1.1
FW02 IP: 10.1.1.2

я хочу VLAN10 и VLAN100 использовать FW01 для Интернета (так как это более быстрая линия, скажем так)

Я хочу DEFAULT VLAN использовать FW02 потому что у него большая загрузка (для аргументов).

Несколько вопросов:

1). Во-первых, каким будет шлюз коммутатора по умолчанию? (Default VLAN)

2). Где бы я / как мне настроить дополнительные шлюзы по умолчанию для других VLAN. Предполагая, что DHCP предоставляет коммутаторы в качестве шлюзов по умолчанию, поскольку это позволит маршрутизацию между VLAN.

3). Как коммутатор узнает, какой шлюз по умолчанию использовать для каждого пакета VLAN?

Спасибо!

Это не так просто, как вы думаете. Ответьте на свой первый и третий вопросы:

  • Шлюз по умолчанию всегда находится в той же подсети, что и IP-адрес интерфейса. Шлюзы по умолчанию используются для выхода из вашей локальной подсети, поэтому, если он не находится в той же подсети, компьютер не знает, как достичь этой подсети. Итак, чтобы vlan по умолчанию проходил через FW02, шлюзом по умолчанию будет 10.1.1.2
  • Стандартная маршрутизация выполняется только на основе IP-адреса назначения.. Маршрутизаторы и коммутаторы быстро находят IP-адреса назначения, но большая часть оборудования не рассчитана на учет исходных IP-адресов.

Теперь вы можете сделать это двумя способами:

  1. Завершите VLAN на межсетевых экранах. Два (под) интерфейса в VLAN 10 и VLAN 100 на FW01. Шлюзами по умолчанию в этих VLAN будут IP-адреса, которые вы даете FW01, например 172.16.30.1 и 192.168.1.1 соответственно.
  2. Использовать маршрутизацию на основе политик. Если ваш коммутатор уровня 3 поддерживает эту функцию, вы можете выполнять маршрутизацию на основе политик. Одна из этих политик может быть адресом источника. Но имейте в виду: поскольку это в основном невозможно сделать аппаратно, все будет перенаправлено на общий процессор, что снизит производительность сети под нагрузкой.

Теперь, чтобы ответить на ваш второй вопрос: в IPv4 у вас есть только один шлюз по умолчанию. Вы можете добавить несколько маршрутов, но это быстро станет неуправляемым. Итак, что вы делаете: вы завершаете все VLAN на обоих брандмауэрах с настроенным протоколом избыточности второго уровня, например VRRP. Затем вы настраиваете приоритет VLAN по умолчанию так, чтобы FW02 был активен для этого, и приоритет для VLAN 10 и VLAN 100, чтобы FW01 был активен для этого. В случае выхода из строя одного брандмауэра его возьмет на себя другой, что приведет к уменьшению пропускной способности, но почти без перебоев в работе сети.

Шлюзами по умолчанию в этом случае будут виртуальные IP-адреса, которые вы назначаете при настройке VRRP. Увидеть запись в Википедии для примера.