Zmiana Vlan przez switch?

Wiadomość

Dee_Jay · #1

Witam.
Mam takie środowisko VM == sw1 == sw2 - ASA

= trunk
- access

na sw1 i sw2 mam statycze wpisy

arp 10.10.10.10 1234.1234.1234 arpa
mac address-table static 1234.1234.1234 vlan 100 interface gi0/1 gi0/2 gi0/3 (chyba nie istotne)

Natomiast interesuje mnie skąd bierze się na ASA wpis przypisania 10.10.10.10 -> 1234.1234.1234 - która jest wpięta accessem do sw2. Port dla ASA ustawiony ma jedynie allow vlan 200 - interfejs ASY wpięty w sw2 ma adres 10.10.10.200 (jest to port który nie występuje w komendzie mac address-table static)

Czy jest możliwość aby switch zmienił w locie vlan?
Wszystko działa mi tak jak chcę, jednak przy głębszej analizie jestem po prostu ciekawy jak to jest możliwe.

Switche to Cisco C3750 soft: 12.2(55)SE5

michal_basta · #2

Chyba nie odwaze sie zapytac, czy to przyklad z sieci produkcyjnej Twojego pracodawcy... Ale w takim razie pytanie za 100 pkt - gdzie jest 10.10.10.10 w tej sieci?

Dee_Jay · #3

Chyba nie odważę się odpowiedzieć… Jeśli zaś chodzi o adres 10.10.10.10 jest to adres LoadBalancer i znajduje się na VM – dodam, że w trunk pomiędzy VM == sw1 jest uwzględniony VLAN 100 i 200

Frant!c · #4

To ja się nie odważę zapytać, czy przypadkiem ten VM nie należy do vlanu 1 przy okazji natywnego

Dee_Jay · #5

Nie nie należy. Już trochę pogrzebałem i wiem czemu mam mac na ASA - wpis statyczny który przegapiłem. Jednak pytanie moje zostaje. ASA - sw2 -> acces vlan 200 a na sw2 mam wpis:
mac address-table static 1234.1234.1234 vlan 100 interface gi0/1 gi0/2 gi0/3...

Czy jest możliwe aby ten wpis powodował przerzucenie pakietów z vlan 200 na 100?
Myślałem, że wchodzi pakiet na port access tu jest dołożenie taga 200 i tak już zostaje. Natomiast wychodziło by na to, że takim wpisem mogę przerzucić pakiety między vlanami?

michal_basta · #6

Ale w jakim Vlanie jest 10.10.10.10? Ping z ASA do niego dziala czy nie dziala?

Dee_Jay · #7

Tak z asy jestem w stanie pingować 10.10.10.10

10.10.10.10 jest w vlan 100, natomiast ASA jest w vlan 200 i jest wpięta portem access do switcha (ale też ma adresy z puli 10.10.10.0).

Ogólnie adres LB i adres asy jest z tej samej podsieci, ale w dwóch różnych vlan'ach. Spięte to jest przez switch sw2 - który ma vlan 100 i vlan 200.

Jedyną rzeczą która je łączy na tym switchu (jak dla mnie to wpisy)

arp 10.10.10.10 1234.1234.1234 arpa
mac address-table static 1234.1234.1234 vlan 100 interface gi0/1 gi0/2 gi0/3

- czyli przypisanie adresu LB do mac, a następnie statyczne wpisanie, że ten mac ma być w innym vlan.

michal_basta · #8

A nie masz tych Vlanow gdzies zbridżowanych w obrebie VM/hypervisora?

Ten LB ma 1234.1234.1234? Nie rozumiem tego wpisu

Kod: Zaznacz cały

mac address-table static 1234.1234.1234 vlan 100 interface gi0/1 gi0/2 gi0/3

Dee_Jay · #9

LB ma adres 10.10.10.10 a ponieważ jest to adres wirtualny nie dopisany do maszyny to dlatego ma dopisany statyczny mac.

arp 10.10.10.10 1234.1234.1234 arpa
mac address-table static 1234.1234.1234 vlan 100 interface gi0/1 gi0/2 gi0/3

Co do bridgowania VLAN'ów to nie mam. Chyba, że jest jeszcze FortiMail który jednym interfejsem jest w vlan 100 a drugim w vlan 200 oba porty access. FortiMail jest w trybie transparentnym i przepuszcza ruch przez siebie i być może wpuszcza adresację z jednego vlan w drugi?

Dee_Jay · #10

Post do zamknięcia. Faktycznie vlany są zbridżowane - Fortimail jest jednym interfejsem w jednym drugim interfejsem w drugim vlan i tu jest niestety bridż. Dzięki za poświęcony czas i naprowadzenie.