用Sophos网关从非VLAN切换到启用VLAN的网络出现故障

Question

令人讨厌的难题。

一些背景:我有一个Sophos ASG220作为多个网络的网关设备，有一个思科2960网络交换机，还有一系列运行KVM的RedHat6.6服务器和多个客户，客人在不同的网络子网上。

UTM的LAN接口中填充了多个虚拟接口(实际上是一台精简的、优化的RHEL型Linux机器)，作为所有网络子网的网关，但安装过程中创建的主网络除外。

我在交换机上定义了VLAN，KVM主机具有绑定接口(基于RHN支持通知的模式1 )、为每个网络配置的VLAN子接口和桥接器，每个客户都连接到其适当的桥接器上，8021 q被设置。没有涉及UTM，VLAN流量横越美丽，在swich，KVM主机和客人之间，我没有问题。

话虽如此，正在发生的事情是：

我成功地在Sophos (但具有不同的IP地址)上创建了新的VLAN接口，以取代作为LAN网关地址的现有虚拟IP地址。(例如，对于测试网络，虚拟接口网关地址为10.11.0.253，新的VLAN接口预计将替换为10.11.0.254)。

在第一次的情况下，客人和kvm主机能够在VLAN就位后切换交换机、新的VLAN网关接口和旧的虚拟网关接口。但是，如果我试图删除/删除网关的虚拟接口(如10.11.0.253)，那么网络就会变得很奇怪。

交换机的VLAN地址(例如10.11.0.7)不能在VLAN上ping或到达客人(例如一个客人是10.11.0.36)，但它可以到达kvm主机vlan桥(例如10.11.0.4)地址，并且它可以到达索弗斯网关(10.11.0.254，新的VLAN地址)。

即使在将网关虚拟接口(10.11.0.253)备份之后，这种情况也会持续一段时间。客人可以在同一个VLAN上彼此访问，但不能平交换VLAN接口地址，也不能平他们的VLAN网关地址，也不能将流量路由到其他外部网络(奇怪的是，除了局域网DNS服务器)，后者完全位于不同的子网(192.168.2.0)！DNS服务器是192.168.2.0子网中的唯一IP地址，10.11.0.0来宾可以看到！

在所有这些过程中，arping对所有网络机器/设备都有完美的响应。

这种情况会持续一段时间，即使在重新启动交换机和打开网关网络接口之后也是如此。

然后一切又开始工作了(但是对于网关虚拟接口和VLAN接口，我把虚拟接口拿下来，把它拿回来，然后对VLAN接口做同样的操作)。

我很想了解一下发生了什么事，以及如何解决这个问题。谢谢你阅读这个极长的帖子！

Answer 1

把事情解决了。显然，当ASG在同一子网中有两个接口时(一个接口，一个VLAN接口，另一个，常规的附加接口)，ASG会感到困惑。除了KVM的一些问题外，客人的libvirtd开关端口(vnetX)没有出现在适当的VLAN桥接口上(必须学习一些brctl-fu)，但是现在一切都按照计划进行。

不过，我很好奇，计划将KVM来宾从未标记的VLAN网络迁移到VLAN网络的最佳方法是什么。