我有一个关于我们 DC 中的 DMZ 设计的问题。让我给你一些背景。
我们有
1 个机架 2 个 Spine 2 个叶子 L3 TOR 连接到每个 Spine 连接到叶子的 ESXI 主机 1 个 Palo ALto Active/Standby 连接到 Spines
我希望在现有 ESXI 主机上共享我的 DMZ 网络和内部 VM 网络。
所以我试图克服的问题是在我的 TOR 我将定义 SVI,s
1 管理 2 Vmotion 3 存储 4 VXLAN 5 VM 6 DMZ
如果我有 L3 TOR(SVI 配置),我如何在逻辑上将我的 DMZ VLAN 和 VM VLAN 相互通信分开,并最终让我的 VM 流量路由到 F/W,以便路由回同一主机上的 DMZ
我的一些想法是要有一个单独的 VRF??或将 L2 Vlan 从 F/W 扩展到叶子交换机
谢谢
所以基本上你的问题是你的叶子充当路由器,需要它们到达防火墙,但它们在这些 VLAN 之间路由流量,因为 SVI 可用。
就个人而言,我会说这是您的拓扑结构问题,如果您在主干/叶设置中使用 VXLAN,您会将防火墙连接到叶,然后让来自管理程序的各种 VLAN 的流量无需在覆盖网络中路由即可到达防火墙。这样您就可以通过为每个 VLAN 分配一个唯一的 VNI 来完全分离各个 VLAN 的流量。
由于您指出将这些防火墙移至叶端口不是一种选择,您可以考虑在主干和叶上添加 VTEP。这样您就可以将第 2 层上的防火墙连接到您的主机。
我知道这可能不是您正在寻找的解决方案。正如您自己所说,您可以考虑将每个 VLAN 放在其自己的路由实例 (VRF) 中。我认为这可能可行(如果所有设备都支持),因为您可以在每个 VRF 中添加到防火墙的路由,并使用这些防火墙在 VRF 之间进行路由。我不是 100% 确定它是否会起作用,我会在实验室设置中对其进行测试以确保。