编辑
2020-05-23
无米之炊
00
请注意,本文编写于 1375 天前,最后修改于 388 天前,其中某些信息可能已经过时。

目录

故事背景
应对思路
Super VLAN

前排提示,这绝不是一个最佳实践,它是在成本和硬件资源被限制的情况下,找到的一个折衷。

故事背景

公司的网络拓补大概是这样的。最外面是一台防火墙,然后连着一台核心交换机(A),然后核心交换机上挂了若干台服务器和 AC,此外还有一台交换机(B)充当汇聚层。到这里为止,除了没有堆叠等高可用技术的使用,其实拓补层面上还算正常。

但是,要命的来了,在这台充当汇聚层的交换机(B)下面,又挂了 18 台傻瓜桌面交换机,每台傻瓜桌面交换机有 12 个口。

这种时候,如果办公室里面有一个人的电脑因为各种原因出现了问题,导致其出现了 ARP 攻击行为,整个办公室的所有傻瓜交换机都会出现问题而导致所有电脑都无法上网。

而更要命的是,这时候你登录到充当汇聚层的交换机(B)里面,你会发现根本没有办法判断到底广播风暴的源头是哪里。

最有效的办法就是换设备,将那些傻瓜桌面交换机都换成网管交换机,问题就很容易解决了。

那如果没有预算呢?而且还一定要保持 PC 的端 IP 地址没有变化(不能划分新的子网)呢?

应对思路

先看那些傻瓜交换机,这方面肯定没有什么办法了,毕竟开机就能用的东西,没有办法做任何配置。

所以,我们要达到的最理想的情况就是当发生广播风暴时,影响局限在一台傻瓜交换机里面。

我们知道 ARP 广播风暴的影响是通过二层网络作用的,而划分 VLAN 就能够起到隔离广播风暴的作用,如果我们能够给那台汇聚交换机(B)的每个端口划分一个 VLAN,那广播风暴将只能在一个 VLAN 里,从而不去影响其他的傻瓜交换机。

然而我们的情况并不允许我们划分新的子网,这是因为这家公司只是一个集团下辖的子公司,我们并不能随意的新增子网地址。

那有没有办法把一个子网地址,分布在不同的 VLAN 里,还要他们之间能够实现相互访问?

Super VLAN

Super VLAN 利用 ARP Proxy 技术能够将

本文作者:XiaFan

本文链接:

版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!