Идеальна ли моя конфигурация VLAN для двух подсетей, одна из которых содержит гипервизор?

Я не уверен, что моя VLAN настроена правильно или эффективно. У меня уже давно есть переключатель уровня 3 (Extreme Summit x450e-48p). Честно говоря, я просто подключил все к нему и использовал его без управления. Перед коммутатором стоит мой межсетевой экран Cisco ASA 5510 (это мой шлюз 192.168.200.1). Как я уже сказал, в прошлом я просто все подключал к переключателю, и мне это даже не удавалось.

Недавно у меня появился виртуальный хост Nutanix Hyper Converged. Передовой опыт требовал, чтобы хост находился в собственной VLAN отдельно от широковещательного домена. Поскольку у меня уже был крайний коммутатор (уровень 3), я решил, что после некоторых исследований смогу создать 2 сети VLAN и добиться этого. Я вошел в коммутатор и заметил, что заводские настройки включают один стандартный vlan (метко названный Default). Он был немаркирован и включал все порты. Мне нужно было 9 портов для хоста Nutanix, поэтому я создал VLAN под названием “Nutanix” и пометил его как VLAN 10. Я добавил 9 портов в Nutanix VLAN. Итак, теперь у меня было две VLAN (Default и Nutanix). Согласно документации крайнего коммутатора, двум виртуальным локальным сетям необходимо было настроить маршрутизацию Intervlan, чтобы они могли общаться друг с другом, поэтому я включил это. Конфигурация vlan ip выглядит следующим образом:

Name            VID     Protocol Addr       
---------------------------------------------------------------------------------------------
Default         1       192.168.200.2  /24   (this is where my domain controller resides)
Nutanix         10      10.1.10.2      /24  
---------------------------------------------------------------------------------------------

Я настраиваю свой DHCP-сервер (который всегда был в vlan по умолчанию) для обслуживания области в 10.1.10.0 подсеть. После того, как все было настроено и подключено, я подключил ноутбук к своему Nutanix подсеть, но она никогда не получит IP-адрес из области dhcp. В конце концов, мне пришлось воспользоваться поддержкой Cisco, чтобы получить помощь с межсетевым экраном. Они помогли мне настроить маршрут на cisco к обеим VLAN. Интерфейс lan на cisco (eth0/1) является «разделенным» (отсутствие лучшего термина). Это похоже на два интерфейса, eth0/1 для меня Default vlan (ip 192.168.200.1) и eth0/1.10 для меня Nutanix vlan (ip - 10.1.10.1). Вот как это выглядит на ASA:

show int ip brief
Ethernet0/1                192.168.200.1  
Ethernet0/1.10             10.1.10.1    

Затем мы подключили ПОРТ 1 к крайнему коммутатору и подключили его к eth0/1 на моем cisco. Он был транкирован для обоих вланов, отмечен на Nutanix vlan и без тегов на Default. Я действительно думаю, что в этом моя проблема (объясню через мгновение). Они сказали мне, что мне нужно убедиться, что коммутатор находится в режиме уровня 2 (я делаю это, отключая IP-маршрутизацию на коммутаторе), и Cisco будет обрабатывать маршрутизацию.

Итак, мой вопрос: это лучшая конфигурация? Похоже, мой коммутатор должен быть уровнем 3 и управлять маршрутизацией. Я просто хочу, чтобы мой брандмауэр защищал мою сеть и пропускал вещи, если у них есть список доступа. Мой Default клиенты vlan должны иметь eth0/1 адрес интерфейса в качестве шлюза (192.168.200.1) и Nutanix клиенты vlan должны иметь eth0/1.10 адрес интерфейса (10.1.10.1) в качестве шлюза для выхода в Интернет. Кажется, все работает (DHCP, Интернет и т. Д.). На моем хосте виртуальной машины, когда я создаю виртуальную машину, я должен выбрать, в какой сети я хочу, чтобы машина была, и ей назначается соответствующая область. Мои серверы, являющиеся виртуальными машинами, будут на моем Default vlan, но виртуальный хост на самом деле находится на моем Nutanix vlan.

Основная проблема, с которой я столкнулся, связана с некоторыми службами маршрутизации и удаленного доступа. Я могу создать новую виртуальную машину, установить на нее Server 2012 или 2016, установить на нее роль маршрутизации и удаленного доступа и перезагрузиться. Когда дело доходит до службы управления удаленным доступом, она никогда не запускается и не зависает, из-за чего я никогда не смогу настроить маршрутизацию и удаленный доступ. Я пробовал несколько разных установок сервера, и каждый раз возникала одна и та же проблема. Я думаю, что у него проблемы с подключением к моему контроллеру домена, который находится на Default Vlan (помните, мои виртуальные машины находятся на Default vlan, ВНУТРИ виртуального хоста, который находится на Nutanix VLAN). Это может быть связано с тем, что моим контроллером домена по-прежнему является Server 2008 R2, а сервером RRAS - 2016. Я планирую продвинуть свой домен до 2016 года, но я чувствую, что конфигурация VLAN будет преследовать меня в будущем. Простите за длинный пост. Суть в том, что эта конфигурация vlan идеальна? Я думаю, что мой коммутатор должен быть настроен для уровня 3 и обрабатывать маршрутизацию ... брандмауэр должен просто сканировать входящий трафик и выполнять свою работу. Я ДУМАЮ, это будет означать, что мои IP-адреса интерфейса vlan (192.168.200.2 и 10.1.10.2) будут моим шлюзом для их соответствующей подсети (это может быть неверно).

Изменить: я забыл включить важную вещь, которая может помочь, - это тот факт, что все порты 39-44 помечены для обоих VLANS. Причина, по которой я думаю, что это может быть проблема с VLAN, заключается в том, что внутри моего гипервизора настроены две сети: одна с тегами для Nutanix VLAN (тег 10) и один для Default VLAN (с тегом 1). В моем cisco eth0 / 1 НЕ помечен для Default VLAN. Вот почему я думаю, что было бы лучше, если бы коммутатор обрабатывал всю маршрутизацию и маршрутизацию intervlan (и ретранслятор DHCP, если на то пошло, он способен на все это). Я просто не знаю, как настроить cisco таким образом. Это просто привязка порта eth0 / 1 к Default VLAN, а также Nutanix VLAN?

Прошу прощения за длинный пост, я ценю, если вы зашли так далеко. Вот небольшая диаграмма сети, если это поможет: