模仿非托管桌面交换机的 VLAN

网络工程 VLAN hp-procurve
2021-07-12 17:38:51

我想用 HP 5406 zl 上的 VLAN 替换一个简单的五端口非托管桌面交换机。我需要将我们的 Internet 连接分配到两个防火墙,并认为我可以减少一个运行在机架上的硬件并使用 VLAN 而不是前面提到的桌面交换机。我设置了 VLAN 并且它可以工作,但是当我 ping 一个外部站点时,它每 10 个数据包就会超时一次。如果我将 Internet 线路插入物理五端口交换机并完全绕过 5406,则一切正常。所以,这似乎与VLAN有关。当我使用 VLAN 和桌面交换机时,Tracert 遵循正确(且相同)的路由。

我不希望交换机上的其他 VLAN 能够路由到/从这个 VLAN 路由,所以我没有给它一个 IP 地址。我只是想让它盲目地将流量传入/传出我们的防火墙,防火墙执行所有数据包过滤并提供对我们网络其余部分的 Internet 访问。这是我在 5406 的配置报告中查看 VLAN 配置时的样子:

vlan 4 
name "wan1" 
untagged C20,C22,C24 
no ip address 
exit

报告没有显示的一件事是 VLAN 的默认网关设置为 IP,这是交换机的默认路由。但是,我认为这无关紧要,因为 tracert 表明它无论如何都不会向该 IP 发送流量,这是不应该的。

我尝试过的其他可能值得一提的事情:如果我将 Internet 线路插入非托管交换机,然后将非托管交换机连接到 5406 上的 vlan,我可以将我的笔记本电脑连接到该 vlan,并且连接工作正常。如果我从图片中取出非管理型交换机并将 Internet 线路直接插入 vlan,它会再次开始超时。所以,总结一下:

Works: Internet -> unmanaged switch -> vlan (5406) -> ping from laptop
Works: Internet -> unmanaged switch -> ping from laptop
Doesn't work (times out frequently): Internet -> vlan (4506) -> ping from laptop

我们欢迎所有的建议!

3个回答

您的 VLAN 配置不应导致任何问题。我会检查其中一个涉及的端口是否存在双工不匹配。

有一些(可能)类似于旧检查点防火墙集群和 Cisco 交换机的东西 - 两个防火墙都会显示相同的 MAC 地址,因此交换机会在两个地方看到一个 MAC。这在非托管集线器/交换机上可以正常工作,但托管交换机会反对。如果我没记错的话,解决方案是在交换机配置中为防火墙添加静态 mac 条目。

我同意杰里米的观点。我认为非托管交换机实际上掩盖了您的网络问题。检查 5400 交换机日志中是否存在与该端口相关的错误。生成树问题和广播限制是我要检查的第一件事。显示您的端口计数器和交换机配置可能有助于我们提出其他有用的建议。

其它你可能感兴趣的问题
上一篇无线天线极化 下一篇河床广域网优化器未收到流量