Я не уверен, что моя VLAN настроена правильно или эффективно. У меня уже давно есть переключатель уровня 3 (Extreme Summit x450e-48p). Честно говоря, я просто подключил все к нему и использовал его без управления. Перед коммутатором стоит мой межсетевой экран Cisco ASA 5510 (это мой шлюз 192.168.200.1). Как я уже сказал, в прошлом я просто все подключал к переключателю, и мне это даже не удавалось.
Недавно у меня появился виртуальный хост Nutanix Hyper Converged. Передовой опыт требовал, чтобы хост находился в собственной VLAN отдельно от широковещательного домена. Поскольку у меня уже был крайний коммутатор (уровень 3), я решил, что после некоторых исследований смогу создать 2 сети VLAN и добиться этого. Я вошел в коммутатор и заметил, что заводские настройки включают один стандартный vlan (метко названный Default
). Он был немаркирован и включал все порты. Мне нужно было 9 портов для хоста Nutanix, поэтому я создал VLAN под названием “Nutanix”
и пометил его как VLAN 10. Я добавил 9 портов в Nutanix
VLAN. Итак, теперь у меня было две VLAN (Default
и Nutanix
). Согласно документации крайнего коммутатора, двум виртуальным локальным сетям необходимо было настроить маршрутизацию Intervlan, чтобы они могли общаться друг с другом, поэтому я включил это. Конфигурация vlan ip выглядит следующим образом:
Name VID Protocol Addr
---------------------------------------------------------------------------------------------
Default 1 192.168.200.2 /24 (this is where my domain controller resides)
Nutanix 10 10.1.10.2 /24
---------------------------------------------------------------------------------------------
Я настраиваю свой DHCP-сервер (который всегда был в vlan по умолчанию) для обслуживания области в 10.1.10.0
подсеть. После того, как все было настроено и подключено, я подключил ноутбук к своему Nutanix
подсеть, но она никогда не получит IP-адрес из области dhcp. В конце концов, мне пришлось воспользоваться поддержкой Cisco, чтобы получить помощь с межсетевым экраном. Они помогли мне настроить маршрут на cisco к обеим VLAN. Интерфейс lan на cisco (eth0/1
) является «разделенным» (отсутствие лучшего термина). Это похоже на два интерфейса, eth0/1
для меня Default
vlan (ip 192.168.200.1) и eth0/1.10
для меня Nutanix
vlan (ip - 10.1.10.1). Вот как это выглядит на ASA:
show int ip brief
Ethernet0/1 192.168.200.1
Ethernet0/1.10 10.1.10.1
Затем мы подключили ПОРТ 1 к крайнему коммутатору и подключили его к eth0/1
на моем cisco. Он был транкирован для обоих вланов, отмечен на Nutanix
vlan и без тегов на Default
. Я действительно думаю, что в этом моя проблема (объясню через мгновение). Они сказали мне, что мне нужно убедиться, что коммутатор находится в режиме уровня 2 (я делаю это, отключая IP-маршрутизацию на коммутаторе), и Cisco будет обрабатывать маршрутизацию.
Итак, мой вопрос: это лучшая конфигурация? Похоже, мой коммутатор должен быть уровнем 3 и управлять маршрутизацией. Я просто хочу, чтобы мой брандмауэр защищал мою сеть и пропускал вещи, если у них есть список доступа. Мой Default
клиенты vlan должны иметь eth0/1
адрес интерфейса в качестве шлюза (192.168.200.1) и Nutanix
клиенты vlan должны иметь eth0/1.10
адрес интерфейса (10.1.10.1) в качестве шлюза для выхода в Интернет. Кажется, все работает (DHCP, Интернет и т. Д.). На моем хосте виртуальной машины, когда я создаю виртуальную машину, я должен выбрать, в какой сети я хочу, чтобы машина была, и ей назначается соответствующая область. Мои серверы, являющиеся виртуальными машинами, будут на моем Default
vlan, но виртуальный хост на самом деле находится на моем Nutanix
vlan.
Основная проблема, с которой я столкнулся, связана с некоторыми службами маршрутизации и удаленного доступа. Я могу создать новую виртуальную машину, установить на нее Server 2012 или 2016, установить на нее роль маршрутизации и удаленного доступа и перезагрузиться. Когда дело доходит до службы управления удаленным доступом, она никогда не запускается и не зависает, из-за чего я никогда не смогу настроить маршрутизацию и удаленный доступ. Я пробовал несколько разных установок сервера, и каждый раз возникала одна и та же проблема. Я думаю, что у него проблемы с подключением к моему контроллеру домена, который находится на Default
Vlan (помните, мои виртуальные машины находятся на Default
vlan, ВНУТРИ виртуального хоста, который находится на Nutanix
VLAN). Это может быть связано с тем, что моим контроллером домена по-прежнему является Server 2008 R2, а сервером RRAS - 2016. Я планирую продвинуть свой домен до 2016 года, но я чувствую, что конфигурация VLAN будет преследовать меня в будущем. Простите за длинный пост. Суть в том, что эта конфигурация vlan идеальна? Я думаю, что мой коммутатор должен быть настроен для уровня 3 и обрабатывать маршрутизацию ... брандмауэр должен просто сканировать входящий трафик и выполнять свою работу. Я ДУМАЮ, это будет означать, что мои IP-адреса интерфейса vlan (192.168.200.2 и 10.1.10.2) будут моим шлюзом для их соответствующей подсети (это может быть неверно).
Изменить: я забыл включить важную вещь, которая может помочь, - это тот факт, что все порты 39-44 помечены для обоих VLANS. Причина, по которой я думаю, что это может быть проблема с VLAN, заключается в том, что внутри моего гипервизора настроены две сети: одна с тегами для Nutanix
VLAN (тег 10) и один для Default
VLAN (с тегом 1). В моем cisco eth0 / 1 НЕ помечен для Default
VLAN. Вот почему я думаю, что было бы лучше, если бы коммутатор обрабатывал всю маршрутизацию и маршрутизацию intervlan (и ретранслятор DHCP, если на то пошло, он способен на все это). Я просто не знаю, как настроить cisco таким образом. Это просто привязка порта eth0 / 1 к Default
VLAN, а также Nutanix
VLAN?
Прошу прощения за длинный пост, я ценю, если вы зашли так далеко. Вот небольшая диаграмма сети, если это поможет:
Если вам нужен строгий контроль доступа между двумя виртуальными локальными сетями, имеет смысл соединить их и связать их с ASA и работать с ACL там. То, как вы описали это (с одной тегированной VLAN, одной собственной), будет работать нормально, но, возможно, то, что Cisco говорит о двух субинтерфейсах, немного более элегантно и лучше масштабируется для большего количества VLAN. Этот подход (выполнение всей маршрутизации на ASA) также упрощает маршруты (в основном вам не нужно настраивать ничего, кроме маршрута по умолчанию в Интернет на ASA). Однако он добавляет ASA как точку отказа между двумя VLAN и коммутатором.
Если вы меньше заботитесь об управлении маршрутизируемым трафиком между VLAN, а больше о пропускной способности, то подключите их к коммутатору Extreme, как описано во втором абзаце. Это упростит настройку интерфейса на ASA, но вам потребуется настроить ретрансляцию DHCP на коммутаторе Extreme, чтобы DHCP работал в VLAN, которая не содержит DHCP-сервер (на самом деле вам придется сделать это на В любом случае ASA в методе выше). Если вы хотите управлять трафиком между сетями VLAN с такой конструкцией, вам необходимо определить списки ACL на x450.
Предполагая второй подход и вы хотите, чтобы Интернет работал, либо добавьте третью мини-VLAN между вашим коммутатором Extreme и ASA, либо поместите ASA изначально в одну из ваших существующих VLAN и добавьте к нему маршрут по умолчанию на коммутаторе. . Также добавьте маршрут на ASA к другим внутренним подсетям за коммутатором, чтобы он мог отправлять туда входящий трафик. Я думаю, у вас уже работает NAT, если до сих пор все в порядке с Интернетом, иначе вам это тоже нужно.
Что касается конфигурации Nutanix, если она ожидает, что обе сети VLAN будут тегированы / соединены (т.е. одна из них НЕ считается родной для блока Nutanix), вам необходимо установить это соответствующим образом на переключательпорт в сторону Nutanix. Настройка ASA не имеет значения; коммутатор будет использовать VLAN как тегированные и / или собственные для каждого порта, это не обязательно должно быть согласовано во всей сети.