HP V1910 交换机 - 拆分为 2 个交换机

网络工程 转变 局域网
2022-02-19 21:51:47

我无法将 HP V1910 交换机拆分为两个不同的交换机。我的目标是让大部分交换机都在内部网络上,最后有几个端口在 DMZ 区域中。

我是 VLAN 的新手,因此将不胜感激。

到目前为止,这是我的设置:

VLAN 0001

未标记的会员资格:

GE1/0/1-GE1/0/40、GE1/0/49-GE1/0/52

VLAN 0002 非军事区

未标记的会员资格:

GE1/0/41-GE1/0/48

我的假设是每个端口块应该有一条上行链路/互联网电缆。在这种假设下,我在左侧有一个端口,其中一个端口通过电缆直接连接到我的 SonicWall 防火墙,在 DMZ 块上,我有一根电缆连接到 SonicWall 防火墙上的 DMZ 端口。我认为这会使两者分开,但可能是我需要一根电缆直接从康卡斯特调制解调器/路由器连接到第二个模块。或者,最后,我可能根本就应该只使用一根上行链路电缆。老实说,我不知道。在阅读其他帖子时,似乎没有人专门提到这部分,但对于像我这样的人来说,我需要这些小细节。

继续使用交换机,我还创建了第二个 VLAN 接口。它使用 DHCP 并生成了 IP 地址,并且仅当我从 SonicWall 插入 DMZ 电缆时才会这样做。如果未插入该电缆,它似乎不会生成电缆,这让我认为这是朝着正确方向迈出的一步。不幸的是,我无法通过交换机上的任何 DMZ 端口访问互联网。

我想澄清一下,我只是想拆分一个交换机,而不是将多个交换机连接在一起,以防万一。

1个回答

您将 VLAN 分配给交换机端口的方式使 1910 的行为类似于两个独立的交换机。您需要将 DMZ 端口之一连接到防火墙。

或者,您可以配置一个 VLAN 中继端口,使两个 VLAN 都处于活动状态(均已标记或一个未标记,一个已标记)并将其连接到防火墙端口。然后,需要以完全相同的方式配置该防火墙端口。

当您绑定到第二个 VLAN 的 IP 接口设置为 DHCP 时,它需要 DHCP 服务器(Sonicwall)为其分配 IP 地址。

无论如何,DMZ端口需要在防火墙上配置。您需要一个内部 IP 地址/子网以及防火墙规则,以允许连接的设备访问 Internet。此外,您可能希望规则允许内部设备访问 DMZ(或允许 DMZ 设备访问内部网络,但这不是 DMZ 的重点)。

由于 1910 能够路由并且您可能不希望内部网络和 DMZ 之间存在未经过滤的连接,因此请确保 1910 上的路由已停用。

评论后编辑:手册对此并不完全清楚,但我认为要从 VLAN 中删除路由功能,您需要删除 VLAN接口(与删除较大 HPE 交换机上的 IP 地址并行):

不同VLAN的主机之间进行通信,必须使用路由器或三层交换机进行三层转发。为此,使用了 VLAN 接口。
VLAN 接口是用于不同 VLAN 之间的三层通信的虚拟接口。它们不作为设备上的物理实体存在。对于每个 VLAN,您可以创建一个 VLAN 接口。您可以为 VLAN 接口分配 IP 地址,并将其指定为 VLAN 的网关,以转发去往与 VLAN 不同的 IP 子网的流量。

反过来:当 VLAN 接口不存在时,交换机无法路由。VLAN 仍将作为单独的 L2 网段工作,当然,您可以路由到其他地方(将默认网关设置为 Sonicwall)。

其它你可能感兴趣的问题
上一篇聚合两个宽带连接和输出互联网速度将是两个连接的总和。 下一篇无法通过 VPN 将 SSH 流量从 Internet 路由到专用服务器 - Sonicwall 到 Draytek