Вопрос изоляции Dell PowerConnect 2824 VLAN

Question

Вопрос изоляции Dell PowerConnect 2824 VLAN

У нас есть среда с 4 серверами Hyper-V, подключенными через коммутатор Dell PowerConnect 2824 к двум резервным межсетевым экранам Cisco PIX.

Прямо сейчас все это работает без VLAN, но я хочу изолировать часть трафика, поэтому мне нужно установить тег VLAN на конкретном интерфейсе виртуальной машины, а затем позволить трафику покинуть порт коммутатора с этой конкретной VLAN пометить тегами и получить доступ к брандмауэрам, но при входе в порт его необходимо разметить, чтобы брандмауэр мог обрабатывать его так, как если бы это был обычный непомеченный пакет.

Поэтому мне нужно разрешить этим пакетам выходить с тегом VLAN на любом из портов, но разрешен вход только на два определенных порта (в этот момент тег VLAN удаляется)

Обычные непомеченные пакеты не должны быть затронуты.

Я не очень опытен с VLAN, поэтому мне интересно, возможно ли это. Некоторая документация по коммутатору может быть найдена здесь:

http://support.dell.com/support/edocs/network/pc28xx/en/ug/html/switch.htm

Спасибо!

2

vlan dell dell-powerconnect

Источник

andreialecu 12 ноя '10 в 00:18

1 ответ

Решение

Другие вопросы по тегам vlan dell dell-powerconnect

Zypher 12 ноя '10 в 02:10 2010-11-12 02:10 · Accepted Answer · 2010-11-12 02:10

Нет. То, что вы предлагаете, противоречит цели VLANing. Предполагая, что есть способ заставить это работать, вы потеряете сегрегацию, как только она достигнет физического переключателя.

Вы можете сделать несколько вещей, все из которых потребуют различных уровней переделки вашей сети и / или уродства.

Порты доступа

Во-первых, и, возможно, наиболее простым, было бы создать VLAN, а затем добавить вторую точку сброса Ethernet от коммутатора к блоку Hyper-V в качестве обычного порта доступа (без тегов), а затем настроить отдельную виртуальную сеть для этого трафика. Вам также нужно будет добавить другой интерфейс к вашему брандмауэру, чтобы подключиться к другому обычному порту доступа на коммутаторе и маршрутизировать / брандмауэр оттуда.

Порт гибридного соединения / доступа

Вы должны настроить магистраль к брандмауэру и использовать подчиненный интерфейс или виртуальный интерфейс на брандмауэре для обработки пакетов, помеченных с помощью VLAN. Затем у вас будет два порта доступа, идущих к блоку Hyper-V, по одному для каждой VLAN.

Вы можете поменять его местами, чтобы магистраль направлялась к машине Hyper-V и имела порты доступа к брандмауэру.

Сундук вокруг

Вы можете настроить соединительные линии как для брандмауэра, так и для блока Hyper-V, а также настроить подчиненные интерфейсы на брандмауэре, разделить сети на блоке Hyper-V на основе этих VLAN.