У меня есть 2 коммутатора Powerconnect 62xx, соединенных стеком Watchguard XTM-26 между ними и внешним миром. В настоящее время все устройства, подключенные к коммутатору, находятся в одном и том же vlan, а шлюз по умолчанию - сторожевой.
Недавно мы установили телефоны Polycomp SoundPoint 335 Voip. Из-за ограничений портов компьютеры подключаются к телефонам, а телефоны подключаются к стене.
По разным причинам я хотел бы сегментировать голосовой трафик на собственном vlan. Коммутаторы Powerconnect имеют приятную функцию «Voice Vlan», которая, кажется, делает именно это: она автоматически обнаруживает пакеты, поступающие с телефонов, и маркирует их на коммутаторе идентификатором vlan, который я выбрал.
Где я столкнулся с проблемами, так это с моим DHCP-сервером. В настоящее время DHCP-сервер находится на компьютере с Windows Server 2008 R2, подключенном к Data VLAN. Сначала я решил, что буду использовать IP Helper / DHCP Relaying. При включенной ретрансляции DHCP широковещательные рассылки DHCP Discover перехватываются из голосового vlan и преобразуются в одноадресные UDP-пакеты с моего коммутатора на DHCP-сервер по vlan данных. Сервер DHCP обрабатывает запрос, а затем пытается ответить пакетом одноадресного DHCP-предложения, направленным на IP-адрес виртуального маршрутизатора по голосовой vlan.
Пакет от DHCP-сервера в vlan для данных к виртуальному маршрутизатору voice vlan никогда не попадает в голосовой vlan по довольно очевидной причине: IP-адрес находится за пределами локальной подсети, поэтому он пересылается на шлюз по умолчанию (на страже наблюдения) который затем возвращает его обратно.
Представитель dell сказал мне, что настройка ограничивающей маршрутизации между виртуальными локальными сетями, а также со сторожевым устройством будет проблематичной, и что мой лучший вариант - использовать полную конфигурацию маршрутизатора на палке. (Маршрутизация между vlan и внешней сетью все обрабатывается Watchguard.) Это точно? Единственный трафик, который необходимо маршрутизировать между vlan, - это пакеты DHCP, так что проблем с узким местом нет.
Есть ли какой-либо разумный способ настроить маршрутизацию на управляемом коммутаторе так, чтобы трафик udp к и от сервера DHCP маршрутизировался через vlan, а все остальное вне подсети перенаправлялось на сторожевую охрану? Я установил маршруты, которые, похоже, позволят добиться этого, но это никогда не работает должным образом.
У вас есть переключатель уровня 3 ...
У меня нет под рукой коммутатора Dell L3, но таблица маршрутизации данных / голоса HP ProCurve выглядит следующим образом, где:
Firewall/internet gateway is: 192.1.2.250
Voice VLAN 210 - Device default gw is: 172.16.120.1
Data VLAN 201 - Devices default gw is: 192.1.2.1
continental-core# sh ip route
IP Route Entries
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.1.2.250 201 static 1 1
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
172.16.120.0/24 Continental ... 210 connected 1 0
192.1.2.0/24 Continental ... 201 connected 1 0