我正在使用 Dell Powerconnect 6248(第 3 层 48 端口千兆交换机)和 Fortigate 310。我正在尝试在第 2 层模式下使用交换机,并将 vlan 分配给连接服务器的每个端口和直接“中继”线连接到fortinet。在 Fortinet 上,我设计了虚拟接口来匹配每个端口的 vlan。这里的目标是要求从服务器到服务器的任何通信都通过为虚拟接口定义的策略进行评估,这些虚拟接口对应于尝试通信的服务器的 vlan。
所以本质上,服务器 A 想与服务器 B 通信。服务器 A 位于端口 2(定义为 vlan 2),服务器 B 位于端口 3(定义为 vlan 3)。防火墙连接到交换机端口1,具有虚拟接口A(定义为vlan2)和虚拟接口B(定义为vlan3)。我有一个策略,允许虚拟接口 A 与虚拟接口 B 通信。所有服务器 Apackets 都应该流向防火墙,并使用新的 vlan 标签传回交换机以到达服务器 B。
我的问题是,交换机上的端口 1 是否应该定义为“TRUNK”,如果是这样,这样做的方法是什么(文档很弱)?还有什么我需要考虑的吗?
谢谢!
我有几个 6224 开关,应该是相似的。
我假设“虚拟接口”,防火墙用 802.1q 标记 VLAN,没有未标记的虚拟接口,对吧?我还假设您使用防火墙作为 VLAN 之间的路由器?
我无法让“中继”模式在这些开关上工作。我不得不将交换机端口置于“常规”模式。这使您可以将任何 VLAN(标记或未标记)连接到端口。这意味着您必须小心 VLAN 如何连接到端口。它将允许您在此配置中交叉连接 VLAN。
还要注意标记/通用端口上的“默认”VLAN。理想情况下,它应该是一个从未在其他任何地方使用过的 VLAN。我通常更喜欢为此使用 VLAN1,因为我过去曾遇到过以奇怪的方式依赖它的装备。