对于包含管理程序的2个子网,我的VLAN配置是否理想?
我不确定我的VLAN设置是否正确或有效。我已经有我的第三层开关很多年了(极端峰会x450e-48p)。老实说,我刚刚把所有的东西都插进去了,而且没有管理。在交换机之前是我的Cisco ASA 5510防火墙(它是我的网关,192.168.200.1)。就像我说的,在过去,我只是把所有的东西都插到开关上,却从来没有成功过。
最近我得到了一个Nutanix聚合虚拟主机。最佳实践要求主机在自己的VLAN上独立于广播域。由于我已经有了极端的开关(第3层),我认为通过一些研究,我可以制作2个VLAN并完成这一点。我登录到交换机并注意到工厂设置包括一个默认的vlan (恰当地称为Default)。它没有加标签,包括所有的港口。我需要为Nutanix主机提供9个端口,所以我创建了一个名为“Nutanix”的VLAN,并将其标记为VLAN 10,并将这9个端口添加到Nutanix VLAN中。所以现在我有了两个VLAN (Default和Nutanix)。根据极端交换机的文档,这两个vlans需要配置Intervlan路由,以便它们能够相互交谈,所以我启用了它。vlan配置如下:
Name VID Protocol Addr
---------------------------------------------------------------------------------------------
Default 1 192.168.200.2 /24 (this is where my domain controller resides)
Nutanix 10 10.1.10.2 /24
---------------------------------------------------------------------------------------------我设置了我的DHCP服务器(总是在默认的vlan上),以便在10.1.10.0子网中提供一个作用域。一旦配置好并插入所有内容,我就会将一台笔记本电脑连接到我的Nutanix子网,但它永远不会从dhcp范围中获得IP地址。最后,我使用Cisco支持来获得防火墙的帮助。他们帮助我在cisco上为两个VLAN配置了一条路由。思科(eth0/1)上的局域网接口是“拆分”(缺乏更好的术语)。这就像它的两个接口,eth0/1用于我的Default vlan (ip为192.168.200.1),eth0/1.10用于我的Nutanix vlan (ip为10.1.10.1)。下面是它在ASA上的表现:
show int ip brief
Ethernet0/1 192.168.200.1
Ethernet0/1.10 10.1.10.1 然后,我们在极端交换机上中继端口1,并将其连接到我的思科上的eth0/1。它对两个vlan进行集群化,在Nutanix vlan上标记,在Default上取消标记。我真的认为这就是我的问题所在(稍后会解释)。他们告诉我,我需要确保交换机处于第二层模式(我通过禁用交换机上的ip路由来做到这一点),而cisco将处理路由问题。
所以我的问题是,这是最好的配置吗?似乎我的交换机应该是第三层,并管理路由。我真的只想让我的防火墙保护我的网络,如果他们有访问列表的话,就让他们进来。我的Default vlan客户端必须有思科的eth0/1接口地址作为网关(192.168.200.1),而Nutanix vlan客户端必须有思科的eth0/1.10接口地址(10.1.10.1)作为访问internet的网关。一切似乎都正常(dhcp、internet等…)。在我的虚拟机主机中,当我创建一个虚拟机时,我必须选择我想要在哪个网络上的机器,并为它分配适当的范围。我的虚拟机服务器将在我的Default vlan上,但是虚拟主机实际上在我的Nutanix vlan上。
我遇到的主要问题是一些路由和远程访问服务。我可以创建一个新的虚拟机,在其上安装Server 2012或2016,在其上安装路由和远程访问角色,并重新启动。当它出现时,远程访问管理服务将永远不会启动和挂起,这使我永远无法配置路由和远程访问。我尝试过几个不同的服务器安装,每次都是完全相同的问题。我认为它在连接位于Default vlan上的域控制器(请记住,我的虚拟机在Default Vlan上,在Nutanix VLAN上的虚拟主机中)时遇到了问题。这可能是因为我的域控制器仍然是Server 2008 R2,RRAS服务器是2016年。我计划在未来将我的域名推广到2016年,但我觉得VLAN的配置将在未来困扰我。很抱歉寄了这么长的邮筒。底线问题是这个vlan配置理想吗?我认为我的交换机应该配置为第三层,并处理路由…。防火墙应该只扫描传入的流量并完成它的工作。我认为这将意味着我的vlan接口ip地址(192.168.200.2和10.1.10.2)将成为他们各自子网的网关(这可能是不正确的)。
编辑:一个重要的事情,我忘记了,其中可能有帮助的事实是,端口39-44都被标记为两个VLANS。我认为这可能是VLAN问题的原因是,在我的管理程序中有两个网络设置:一个标记为Nutanix VLAN (标记10),另一个标记为Default VLAN (标记1)。在我的思科上,eth0/1没有标记为Default VLAN。这就是为什么我认为如果交换机处理所有路由和intervlan路由(以及DHCP中继,它能够处理所有这些)会更好。我只是不知道怎么用这种方式配置cisco。这是否只是将eth0/1端口标记到Default VLAN和Nutanix VLAN?
很抱歉给你这么长的时间,我很感谢你能做到这一点。这里有一个网络的小图表,如果有帮助的话:
回答 1
Server Fault用户
发布于 2017-11-16 20:24:43
如果您想要在两个VLAN之间进行强大的访问控制,那么在ASA上对它们进行中继和网关,并在那里处理ACL是有意义的。您描述的这样做的方式(有一个标记的VLAN,一个本地的)将工作得很好,但可以说,思科对两个子接口的看法更优雅一些,对于更多的VLAN来说,扩展得更好。这种方法(在ASA上执行所有路由)也使路由变得更容易(基本上,除了在ASA上配置到internet的默认路由之外,您不需要配置任何路由)。但是,它确实在两个VLAN和交换机之间添加了ASA作为故障点。
如果您不太关心控制VLAN之间的路由流量,而更关心吞吐量,那么就像在第二段中描述的那样,在您的极端交换机上对它们进行网关。这将使ASA上的接口配置更容易,但您需要在极端开关上配置DHCP继电器,以使DHCP在不包含DHCP服务器的VLAN中工作(实际上,在上面的方法中,您必须在ASA上这样做)。如果您想用此设计控制VLAN之间的通信量,则必须在x450上找出ACL。
假设第二种方法和您希望互联网工作,那么要么在您的极限交换机和ASA之间添加第三个迷你VLAN,要么将ASA本机放入您现有的VLAN之一,然后在交换机上添加一个通向它的默认路由。另外,在ASA上添加一个路由到交换机后面的其他内部子网,这样它就可以在那里发送入站通信量。我想你已经让NAT工作了,如果互联网到目前为止还不错的话,否则你也需要这个。
至于Nutanix配置,如果它希望这两个VLAN都被标记/集群(即其中一个不被Nutanix框视为本机),那么您需要在开关端口上将其适当地设置为Nutanix。ASA上的设置并不重要;交换机将使用VLAN作为每个端口的标记和/或本机,它不需要在整个网络中保持一致。
https://serverfault.com/questions/882185
复制相似问题
腾讯云开发者
