我想知道是否有可能在使用 IPS 设备时设置一种方法来消除对旁路开关的需求。总而言之,我会让一个 IPS 设备充当我正在监控的连接上的虚拟线路。我还有一个旁路开关来执行此操作,以便如果 IPS 出现故障,网络连接将绕过 IPS 设备并保持连接(我知道打开失败会带来安全问题)。
VLAN 网桥是指物理连接的 2 个不同 VLAN 中的 2 个接入端口。所以,我的想法是让 IPS 设备充当 2 个接入端口之间的物理线路。此外,如果我在 2 个不同的接入端口之间有另一个具有更高 STP 成本的环路,我应该有效地进行旁路(如果 IPS 出现故障,STP 将通过切换到另一个环路来处理旁路)。当我的循环在 2 个不同的开关之间时,这个想法通常有效。
但是,我在让它在单个交换机上工作时遇到了一些麻烦。我正在用 2 个不同 vlan 中的 2 台计算机互相 ping 测试。所以,我可能只是遇到了一些 ARP 问题,如果我能解决这个问题,这会起作用,但我还不确定。
这是一个太疯狂的想法而无法工作,还是我只是错过了什么?
我不相信这在一个单一的开关上是可能的。原因是您依赖 STP 来捕获链路故障,但要返回到单个交换机上,您必须通过 BPDU 过滤或类似方法暂停正常的 STP 操作。
是否需要两个不同的VLAN?根据您运行的 STP 变体,这实际上可能会使事情变得更难。
另一件需要考虑的事情是你不能保证 IPS 故障会丢弃两个接口。例如,如果软件崩溃,但接口保持正常运行,则生成树可能无法正确重新收敛。
真正的测试将是 - 您的 IPS 是吸收 BPDU 还是透明地传递它们
它可能会起作用,但我不会使用这种解决方案来绕过生产。正确的做法(即使不是最佳实践)是在您的 IPS 设备中内置旁路。这意味着如果设备出现故障,即使没有电源,它也会充当电缆。
当然,您希望在您的设备上进行某种监控以检测中断并做出相应的响应。
希望能帮助到你。
如果 IPS 是完全透明的(中继 BPDU,本身不进行任何类型的 VLAN 映射),则可以使用 VLAN 映射/转换。
基本上,您定义了两个 VLAN,外部和内部。外部交换机端口承载外部 VLAN(可能是中继端口),内部交换机端口承载内部 VLAN。在内部交换机端口,您可以配置 VLAN 映射/转换。c6500s 将负责翻译 BPDU 信息,因此您不会遇到任何不匹配错误。
这甚至适用于冗余交换机/IPSes,第二个安装将阻止其内部块。
我已经使用 6500 Sup720 和 67xx 线路卡(它们具有应用每个端口 ASIC 的 VLAN 映射的限制)完成此操作,不能说这是否适用于其他设备。
另一个缺点是您必须为外部(上游)和内部(下游)设备处理不同的 VLAN ID,这可能会影响规划和故障排除。