VLAN 网关和路由

Question

这是出于假设目的 - 与其说是生产问题，不如说是一个学习问题。

如果我有配置了少量 VLAN 的交换机（第 3 层，可以说是 Procurve）。让我们说：

DEFAULT VLAN  10.1.1.0/24
VLAN10        172.16.30.0/24
VLAN100       192.168.1.0/24

有两个防火墙 - FW01 和 FW02：

FW01 IP: 10.1.1.1
FW02 IP: 10.1.1.2

我想VLAN10和VLAN100在使用FW01互联网（因为这是一个更快的生产线可以说）

我想要DEFAULT VLAN使用FW02它，因为它有更大的上传（为了争论）。

几个问题：

1）。首先，交换机的默认网关是什么？( Default VLAN)

2）。我将在哪里/如何为其他 VLAN 配置其他默认网关。假设 DHCP 将交换机作为默认网关，因为这将启用 VLAN 间路由。

3）。交换机如何知道每个 VLAN 数据包使用哪个默认网关？

谢谢！

Answer 1

这并不像你想象的那么容易。回答您的第一和第三个问题：

• 默认网关始终与接口的 IP 地址位于同一子网中。默认网关用于离开您的本地子网，因此如果它不在同一子网中，计算机将不知道如何到达该子网。因此，对于通过 FW02 的默认 vlan，其默认网关将是10.1.1.2
• 标准路由仅基于目标 IP 完成。路由器和交换机在查找目标 IP 地址方面速度很快，但大多数硬件的构建并没有考虑到源 IP。

现在，您可以通过两种方式执行此操作：

1. 终止防火墙上的 VLAN。FW01上VLAN 10和VLAN 100的两个（子）接口。这些 VLAN 中的默认网关将是您提供给 FW01 的 IP，例如分别为 172.16.30.1 和 192.168.1.1。
2. 使用基于策略的路由。如果您的第 3 层交换机有能力，您可以根据策略进行路由。这些策略之一可以是源地址。但请注意：由于这在硬件中几乎无法完成，因此一切都将交给通用 CPU，从而削弱负载下的网络性能。

现在，回答您的第二个问题：在 IPv4 中，您只有一个默认网关。您可以添加多条路线，但这会很快变得难以管理。因此，您要做的是：终止两个防火墙上的所有 VLAN，并配置第二层冗余协议，例如 VRRP。然后配置默认 VLAN 的优先级，以便 FW02 为该优先级设置为活动状态，并为 VLAN 10 和 VLAN 100 设置优先级，以便 FW01 为该优先级为活动状态。如果一个防火墙失效，另一个将接管，导致带宽减少，但几乎没有网络中断。

在这种情况下，默认网关将是您在配置 VRRP 时分配的虚拟 IP 地址。有关示例，请参阅维基百科条目。