我有两个 VLAN,用于“客户端”的 VLAN1 和用于(网络)服务器的 VLAN2。两个 VLAN 在以太网通道中都有两个端口(一台 Cisco 交换机)。我想将透明 (WAF) 设备置于 VLAN 之间的桥接模式,以便监控/阻止流量。在 Cisco 设备(或消除此类问题)的情况下,可以采用什么方法来实现这一点。
例如,如果我使用两个物理交换机,并通过透明设备桥接接口连接中继端口(和绑定),我可以看到流量。
我很好奇,是否可以在 VLAN 之间的一个交换机中进行,如果是,我应该搜索什么名称或方法?
谢谢!
正如 Ron Trunk 指出的那样,桥接 VLAN 在结果中可能会出现问题。Cisco 提供用于网络监控的 SPAN。您可以将来自一个或多个接口或 VLAN 的流量镜像到您连接监控设备的接口。还有 RSPAN 可让您将镜像流量跨第 2 层传输到不同的交换机,而 ERSPAN(用于选择设备)将封装镜像流量,以便它可以跨第 3 层。
本地 SPAN:将流量从交换机上的一个或多个接口镜像到同一交换机上的一个或多个接口。
远程 SPAN (RSPAN): SPAN 的扩展,称为远程 SPAN 或 RSPAN。RSPAN 允许您监控来自分布在多个交换机上的源端口的流量,这意味着您可以集中您的网络捕获设备。RSPAN 的工作原理是将来自 RSPAN 会话的源端口的流量镜像到专用于 RSPAN 会话的 VLAN。然后将此 VLAN 中继到其他交换机,从而允许跨多个交换机传输 RSPAN 会话流量。在包含会话目标端口的交换机上,来自 RSPAN 会话 VLAN 的流量被简单地镜像出目标端口。
封装远程 SPAN (ERSPAN):封装远程 SPAN (ERSPAN),顾名思义,为所有捕获的流量带来通用路由封装 (GRE),并允许它跨第 3 层域进行扩展。
ERSPAN 是 Cisco 的专有功能,目前仅适用于 Catalyst 6500、7600、Nexus 和 ASR 1000 平台。ASR 1000 仅在快速以太网、千兆以太网和端口通道接口上支持 ERSPAN 源(监控)。
要控制 VLAN 之间的流量,您可以在路由器上使用 ACL 之类的东西来路由 VLAN 之间的流量。
您可以在一台交换机上桥接两个 VLAN,方法是将它们与 WAF 进行物理连接。
您可以将网络服务器的 VLAN 拆分为具有不同子网的两个 VLAN,例如从一个 /24 创建两个 /25。并通过防火墙“线路上的颠簸”桥接在一起。但是如何解决这个问题是特定于交换机或网络设备的。我认为 Cisco Catalyst 是可能的,但不幸的是我没有找到合适的图表。