我的网络目前有 7 个 VLAN(2 个用户、1 个语音、1 个服务器、2 个无线和 1 个用于我们的联网 A/V 设备)。我们所有的交换机都是第 3 层 Cisco Catalyst。但是,我们目前有一个单臂路由器配置 - 我们的 SonicWall 防火墙执行所有 VLAN 间路由。我们将很快迁移到 Cisco ASA。在迁移之前,我想在交换机上设置 VLAN 间路由。
我的问题是:最好只在我们的核心交换机上设置 VLAN 间路由(并将我们所有端点的网关设置到该交换机),还是应该在所有交换机上设置 VLAN 间路由(每个端点的网关都会是它所连接的开关)?
所有交换机上都已配置 VLAN 和中继端口。
在此先感谢您的帮助。
最好只在 coore 交换机上设置 VLAN 间路由。否则会很复杂,你将根据交换机为每个 vlan 设置网关,如果你有 DHCP,那将是不可能的。我看不到在每个接入交换机上设置 intervlan 路由的任何好处
最好尽可能简单地进行路由:在这种情况下,在核心 L3 交换机上。您将您的 VLAN 描述为“2 个用户、1 个语音、1 个服务器、2 个无线和 1 个 A/V”,这听起来好像除了服务器 VLAN 之外没有任何实质性的 VLAN 间流量,并且大概在您拥有的任何地方网络连接。
考虑将更高带宽的服务器直接放在核心交换机上(在正确的 VLAN 上)。到互联网的流量可能受到外部带宽而不是以太网的限制。
如果任何 VLAN 具有安全隐患(访客 wifi?),您肯定希望它简单,具有良好的日志记录。
如果您有大量流量或需要异常弹性,我只会推荐多个 VLAN 间路由。如果流量很大,请关闭(在交换机上),以提高弹性,当然还有多根电缆和生成树,也可能是 HSRP 或类似的。
如果您在网络安全设备之前执行 VLAN 间路由,您的局域网、LAN 流量将永远不会到达安全设备进行检查。设置新的 ASA 以执行 VLAN 间路由。不要在 LAN 交换机上执行 VLAN 间路由。
最好的选择是仅在核心交换机上配置 VLAN 间路由以实现优化和可扩展的网络。
交换机虚拟接口 (SVI) 在核心交换机中配置,并进一步从核心交换机连接所有接入交换机,启用核心和接入交换机之间的中继端口。进一步连接防火墙和核心交换机。在核心交换机中配置指向防火墙接口的默认路由。并在防火墙中配置指向核心交换机接口的特定路由..