สถานการณ์:
แต่ละ VLAN สามารถกำหนดที่อยู่ IP ให้กับผู้ใช้เพื่อเข้าถึง GUI เว็บใน VLAN ที่แตกต่างกันได้ อย่างไรก็ตาม คุณอาจพบปัญหาเมื่อเข้าถึง GUI เว็บผ่านที่อยู่ IP ของ VLAN อื่น เช่น พีซีอยู่ใน VLAN 1 แต่พยายามเข้าถึงที่อยู่ IP ของ VLAN 10
นี่เป็นเพราะเกตเวย์เริ่มต้นของพีซีเชื่อมต่อโดยตรงกับเกตเวย์/ไฟร์วอลล์ แต่สวิตช์มีที่อยู่ IP ของ VLAN ทั้งสอง และรู้ที่อยู่ MAC ของพีซี สวิตช์จะตอบกลับเซสชัน HTTP/HTTPS(TCP) ไปยังพีซีโดยตรง ซึ่งเรียกว่าเส้นทางที่ไม่สมมาตร
ตัวอย่างเส้นทางที่ไม่สมมาตร:
พฤติกรรมที่ถูกต้อง:
เพื่อแก้ปัญหานี้ เรามีตัวเลือกดังต่อไปนี้:
- เก็บที่อยู่ IP ไว้เพียงที่อยู่เดียวสำหรับการใช้งานการจัดการ วิธีนี้จะช่วยป้องกันไม่ให้สวิตช์ใช้ที่อยู่ IP ที่ไม่ถูกต้องเพื่อตอบกลับเซสชัน HTTP/HTTPS(TCP)
- ตั้งค่ากฎ SNAT บนเกตเวย์/ไฟร์วอลล์ของคุณ การดำเนินการนี้จะทำให้ไฟร์วอลล์ใช้ที่อยู่ IP เพื่อกำหนดเส้นทางเซสชัน HTTP/HTTPS (TCP) ไปยังสวิตช์ และให้แน่ใจว่าสวิตช์จะไม่ตอบกลับเซสชันไปยังพีซีโดยตรง