请教这样的网络结构会有什么问题？奇怪

GunKing

如下图所示：\r\n1号线连接CISCO4002的FE1\\1\\1和防火墙的网口1，其中1-16口为VLAN 100,里面的PC　　IP为192.168.0.1-100/24，GATWAY为2600的接口地址192.168.0.254　\r\n\r\n2号线连接CISCO4002的FE1\\1\\24和防火墙的网口2，其中17-24口为VLAN 200,里面的PC　　IP为192.168.0.200-250/24，GATWAY为2600的接口地址192.168.0.254\r\n\r\n防火墙网口1,2,3做桥，IP为192.168.0.253/24\r\n\r\nCICO2600接防火墙的网口3的地址为192.168.0.254\r\n\r\n|---------------|                              \r\n|CISCO4002 |\r\n|---------------|\r\n    |          　|\r\n    | 1       　|2\r\n    | 号         |号\r\n    | 线         |线\r\n    |          　|\r\n    |          　|\r\n    |          　|\r\n|---------------|                              \r\n|FireWall　　|\r\n|---------------|\r\n         |\r\n         |\r\n         |       \r\n|---------------|                              \r\n|CISCO2600|\r\n|---------------|\r\n\r\n请问这样子配置后，VLAN100.和VLAN200能互相访问吗？会出现些什么问题？\r\n这是不是所谓的一个交换机当2个交换机来用??\r\n

bingosek

不可以访问，你2个vlan最好是不在同一个网段内，具有不同的网关

sleepcats

在4002上划分vlan,分配不同的IP地址段,启用三层路由,设置一个三层端口连接防火墙,再连接路由器,这样的结构应该挺好的.

GunKing

用户不这么想,用户的老大就说:可以把1个交换机通过划VLAN当做2个交换机用,然后其中一个VLAN的服务器群就可以就接防火墙的DMZ了 ........

sleepcats

一个vlan连接DMZ也可以,我就是这样做的,但是两个vlan的ip必须是两个网段,然后设置防火墙就可以了.拓扑没有问题.

ttvast

这样的结构想法很好啊，根本不需要调整内部任何pc的网络设置和逻辑的网络结构，防火墙的网桥模式就是派这个用处的。\r\n不过问题可能会出在，2个VLAN通过网桥连接起来以后，由于4002经常会往外边发一些广播信息包而这些信息包被网桥转发到另外的一个vlan上去。\r\n这样4002会在1口上看到自己的设备的mac地址，也有可能在24口上看到自己的mac地址，这样一来，交换机会认为出现了环而disable那个首先收到自己mac的地址。

ssffzz1

原帖由 ttvast 于 2006-12-30 22:37 发表\r\n这样的结构想法很好啊，根本不需要调整内部任何pc的网络设置和逻辑的网络结构，防火墙的网桥模式就是派这个用处的。\r\n不过问题可能会出在，2个VLAN通过网桥连接起来以后，由于4002经常会往外边发一些广播信息包而 ...

\r\n\r\n应该不会的.两个VLAN可以正常访问.

GunKing

用户不可能调整IP段，我不太理解就是会不会出现环路？

ttvast

晕那。楼主，你不会动手实验一下啊。我说出那个问题因为我曾经把我的2950搞死过，但是当初因为不是这个目的，所以没有细分析原因，简单的加了一台交换机去测试网桥。你可以自己把这个环境搭起来看看是不是可行阿

bigrong

如果防火墙纯桥接就比较麻烦。\r\n有些三层的应用是通过开启ARP 的proxy保证两个网断互通的。4k不知道你的引擎是否支持l3，4k和45的区别就是后者可以冗余吧。\r\n我觉得上面有个帖子说的有道理，的确可能有问题，一旦广播的话可能会有两个端口都认为数据包来自自己下联的PC。