Juniper EX4300 和 Aruba 7010 控制器之间的正确连接和 VLAN 配置?

网络工程 VLAN 瞻博网络 杜松 阿鲁巴
2021-07-30 18:35:43

我有一台连接到防火墙的瞻博网络 EX4300 交换机,防火墙又连接到 WAN。我有一个 Aruba 7010 控制器,我想将它连接到瞻博网络交换机。在瞻博网络交换机上,我有 4 个 VLAN,每个 VLAN 对应于以下格式的单个子网:

  • VLAN 名称 - VLAN ID - IP 范围
  • 用户局域网 - 1 - 172.0.0.1/22
  • 客人 - 2 - 172.0.4.1/22
  • 用户WiFi - 3 - 172.0.8.1/22
  • DevLAN - 4 - 172.0.12.1/22

我已将 Aruba 控制器连接到瞻博网络交换机上的端口 ge-0/0/10,并将该端口配置为中继端口,本地 VLAN 为 UserLAN,成员 VLAN 为其余 VLAN。Juniper 端口 ge-0/0/0 也配置为 UserLAN VLAN 上的中继端口,并连接到我的 IP 为 172.0.0.2/22 的防火墙。我可以从所有设备 ping 诸如 8.8.8.8 之类的公共地址,并且我可以进行 VLAN 间通信,但我只是想问问这是否是配置这些设备的正确方法?我还想知道此配置是否可以支持在 Juniper 和 Aruba 设备上使用相同的 VLAN。从 Aruba 文档中,他们说您必须在两台设备上创建具有相同名称和 ID 的相同 VLAN,但我无法删除 Aruba 设备上的 VLAN ID 1。有什么想法吗?

2个回答

您连接控制器的方式在技术上是正确的。通过使用 DOT1Q VLAN 标签,您可以允许 VLAN 1、2、3、4 内的流量从您的控制器发送和发送到您的控制器。

请记住,可能没有必要允许端口上的所有 VLAN 连接到控制器(例如 UserLAN、DevLAN),因为您可能只需要 Guest 和 UserWIFI 用于 WLAN。

只允许某个 Trunk 上的 VLAN 被称为 VLAN 剪枝,它可以增强网络的安全性和稳定性。

VLAN“名称”对于设备来说是本地重要的,不同的设备将允许使用不同长度的字符串来命名它们,因此不需要它们匹配(尽管如果它们至少相似,则在故障排除时会有所帮助)。

只要您的 VLAN 1 在 Aruba 端口上是本地的,并且与防火墙上的正确子网匹配,此拓扑应该可以正常工作。

但作为一般规则,我倾向于避免在网络中的任何设备上使用 VLAN 1,因为它经常伴随着各种特定于供应商的怪癖。

其它你可能感兴趣的问题
上一篇DIA/L3VPN 物理电路上的 VoIP QoS 下一篇与 Cisco ASA 5505 的 Azure 虚拟网络连接