我们有一个有点异国情调的设置。 一些连接到Cisco交换机的设备必须由第三方pipe理,我们不想让这个第三方完全访问我们的networking。 这些设备没有自己的路由子网,它们是交换机所在子网的一部分。不幸的是,这不能改变。
我们想出了以下解决scheme(不起作用):
我们不能得到这个解决scheme的工作,路由器的数据包从一个接口转发到另一个,因为错误的vlantag ceisco拒绝。
我们尝试在路由器板上设置vlantagging(使用这个参考: http ://blog.butchevans.com/2010/02/to-tag-or-not-to-tag-that-is-the-question/)没有交通似乎击中路由器板。
我们可以改变思科设置接受或忽略错误的VLAN标签,或者我们应该如何configuration路由器板?
提前致谢!
我知道这是迟到的(稍微放缓),但是这对于将来某个人来说可能是方便的。
在几乎任何合理的现代思科交换机都有一些版本的专用VLAN(PVLAN)。 PVLAN的思想是保持给定VLAN内的主机不能相互通话,除非明确允许。 PVLAN有三种types的端口:
1.)混杂 – configuration为混杂的端口可以发送和接收VLAN中的任何端口。 你的路由器的端口可能是混杂的。
2.)隔离 – 只能发送stream量到混杂的端口。
3.)社区 – 可以将stream量发送到同一社区中的其他港口,也可以发送到混杂的港口。
在你的场景中,你将拥有在同一个VLAN中提到的所有主机。 外部pipe理的箱子将被设置为孤立的,其余的将在一个共同的社区中build立。 你的路由器/网关将是一个混杂的端口。
这个实际的实现将会根据您使用的交换平台而有所不同,但是原理保持不变。
你提到了路由器和防火墙。 是否可以在防火墙上设置端口转发? 所以新的pipe理员可能会去http://防火墙:8080 /和那将映射到your.internal.device:80? 这可能比尝试将VLAN桥接在一起更简单。 这将有助于更多地了解可用于解决问题的设备function,因为听起来像您可以在不向networking添加更多设备的情况下执行此操作。
“vlans之间的桥梁”有点矛盾,不是吗? 桥接/合并的VLAN只是另一个单独的VLAN。 有什么意思将VLAN分成一对,然后再问桥接(合并)呢? :-)解决L2上层(networking)的问题有点不合理。 )
必须由第三方pipe理
为他们设置binat,因此他们将访问一些额外的IP,这些IP会被你的路由器翻译成内部的IP。 你可以控制这些,不是吗?