Я использую Dell Powerconnect 6248 (48-портовый гигабитный коммутатор уровня 3) и Fortigate 310. Я пытаюсь использовать коммутатор в режиме второго уровня и напрямую назначать vlan каждому порту, к которому подключен сервер, и линии «Магистраль». подключен к фортинет. на Fortinet у меня есть виртуальные интерфейсы, разработанные для соответствия vlan для каждого порта. Цель здесь состоит в том, чтобы требовать, чтобы любая связь от сервера к серверу оценивалась политиками, определенными для виртуальных интерфейсов, которые соответствуют vlan для серверов, пытающихся обмениваться данными.
Таким образом, по сути, сервер A хочет общаться с сервером B. Сервер A находится в порту 2 (определяется как vlan 2), а сервер B находится в порту 3 (определенном как vlan 3). Брандмауэр подключен к порту 1 коммутатора и имеет виртуальный интерфейс A (определенный как vlan2) и виртуальный интерфейс B (определенный как vlan3). У меня есть политика, которая позволяет виртуальному интерфейсу A взаимодействовать с виртуальным интерфейсом B. Все серверные Apackets должны течь к брандмауэру и возвращаться на коммутатор с новым тегом vlan для перехода на сервер B.
Мой вопрос: следует ли определять порт 1 на коммутаторе как «TRUNK», и если да, то каков метод для этого (документация слабая)? есть ли еще что-нибудь, что мне нужно здесь рассмотреть?
СПАСИБО!
У меня есть пара переключателей 6224, которые должны быть похожи.
Я предполагаю, что по «виртуальному интерфейсу» брандмауэр маркирует VLAN с помощью 802.1q, без нетегированных виртуальных интерфейсов, верно? Я также предполагаю, что вы используете межсетевой экран в качестве маршрутизатора между VLAN?
Я не мог заставить работать режим «Магистраль» на этих переключателях. Пришлось перевести порт коммутатора в "Общий" режим. Это позволяет подключать к порту любую VLAN, помеченную или немаркированную. Это означает, что вы должны быть осторожны с тем, как VLAN подключены к порту. Это позволит вам перекрестно подключать VLAN в этой конфигурации.
Также будьте осторожны с VLAN по умолчанию на тегированных / общих портах. В идеале это должна быть VLAN, которая больше нигде не используется. Я обычно предпочитаю использовать для этого VLAN1, так как в прошлом я использовал оборудование, которое странным образом зависело от него.