У нас несколько экзотическая установка. Некоторые устройства, подключенные к коммутатору cisco, должны управляться третьей стороной, и мы не хотим предоставлять этой третьей стороне полный доступ к нашей сети. Эти устройства не имеют собственной маршрутизируемой подсети, они являются частью подсети, в которой находится коммутатор. К сожалению, это нельзя изменить.
Мы пришли к следующему решению (которое не работает):
Мы не можем заставить это решение работать, маршрутизатор ретранслирует пакеты с одного интерфейса на другой, где ceisco отклоняет его из-за неправильного vlantag.
Мы попытались настроить vlantagging на маршрутизаторе (используя это как ссылку: http://blog.butchevans.com/2010/02/to-tag-or-not-to-tag-that-is-the-question/), но похоже, что трафик не попадает на плату маршрутизатора.
Можем ли мы изменить настройки Cisco, чтобы принимать или игнорировать неправильные теги vlan, или как нам настроить маршрутизатор?
Заранее спасибо!
«мост между вланами» - это своего рода оксюморон, не так ли? Объединенные / объединенные сети VLAN - это просто еще одна отдельная VLAN. Какой смысл разбивать VLAN на пару и просить затем снова соединить их (таким образом, объединить)? :-) Решать проблему верхнего уровня (сети) на L2 вроде как нецелесообразно. )
должно управляться третьей стороной
Установите для них binat, чтобы они получали доступ к некоторым дополнительным IP-адресам, которые ваш маршрутизатор переводит на внутренние. Вы бы смогли их контролировать, не так ли?
Вы упомянули маршрутизатор и брандмауэр. Можно ли просто настроить переадресацию портов на брандмауэре? Таким образом, новый администратор может перейти к http: // межсетевой экран: 8080 / и это будет отображаться на your.internal.device: 80? Вероятно, это было бы более простым решением, чем пытаться объединить сети VLAN. Было бы полезно узнать больше о возможностях устройства, доступных для решения проблемы, поскольку похоже, что вы можете сделать это, не добавляя дополнительных устройств в свою сеть.
Я знаю, что это поздно (мягко говоря), но это может пригодиться как указатель для кого-то в будущем.
Практически на любом достаточно современном коммутаторе Cisco есть какая-то версия private VLAN (PVLAN). Идея PVLAN заключается в том, чтобы хосты внутри данной VLAN не могли общаться друг с другом, если это явно не разрешено. В PVLAN есть три типа портов:
1.) Беспорядочный - порт, настроенный как неразборчивый, может отправлять и получать на любой порт в VLAN. Порт вашего маршрутизатора, скорее всего, будет беспорядочным.
2.) Изолированный - может отправлять трафик только на случайные порты.
3.) Сообщество - может отправлять трафик на другие порты в том же сообществе и на разные порты.
В вашем сценарии все хосты, упомянутые в одной VLAN. Блоки с внешним управлением будут настроены как изолированные, а остальные - в общем сообществе. Ваш маршрутизатор / шлюз будет беспорядочным портом.
Фактическая реализация этого будет зависеть от используемой платформы коммутатора, но принципы останутся прежними ...