Questions tagged «vlan»

对于有关虚拟局域网(VLAN)的问题,这些虚拟局域网用于将原本将单个OSI第2层广播域划分为多个逻辑OSI第2层广播域。

3
VLAN和子网关系
许多人指出,VLAN可以容纳一个或多个子网。如果此子网的默认网关在路由器或L3交换机上,则VLAN配置中怎么可能有多个默认网关?在路由器上,您将每个子接口映射到一个VLAN并为其指定一个IP,并且不能有两个具有相同VLAN的子接口。在L3交换机上,为VLAN接口提供IP,该IP作为默认网关。您不能给它两个IP。那么,如何在一个VLAN中包含两个子网呢?
13 vlan  ipv4 

3
Mac-flap由于无线客户端漫游
我们正在运行一个Aerohove无线网络(无控制器)。.有时,我会在VLAN内将mac-flaps与SSID绑定在一起。我知道这是来自漫游客户端。问题是我工作的公司具有端到端VLAN(没有钱将L3设备放在访问层上),我相信这些mac-flaps会导致mac-table在该L2域的整个VLAN中被刷新...进而导致更多的广播,依此类推。 我知道在访问层终止L2域将是最好的解决方案,但短期内没有钱...关于如何处理此问题的任何想法?

2
vlan 0、1和4095保留:它们保留用于什么?
此答案说VLAN 0和4095被保留。维基百科同意保留vlan 0和4095。本文说,思科保留VLAN 1(VLAN 0和4095除外)。 但是我很难找到有关这些VLAN的专用信息?和/或为什么保留它们? 请包括良好的权威来源或参考规范。 如果我要发送/接收,不使用vlan 0,1,4095是一个好的经验法则吗?
12 vlan 

3
OSPF处于启动邻接状态
根据此文章时,他们配置的MTU大小不匹配两个路由器会卡死在EXSTART邻接状态。即使所涉及的路由器不关心数据包来自哪个VLAN或前往哪个VLAN,VLAN标记也会对这产生影响吗? 如果根本不清楚,我将尝试澄清这个问题。
12 router  routing  vlan  ospf  mtu 

2
在STP中跟踪TCN消息
在运行Rapid PVST +的L2网络上,我们大约有20个VLAN,其中的根网桥是Cisco 3750交换机的堆栈。我对在交换机上收到的TCN通知数量感到困惑。 3750堆栈是所有VLAN的根,它每天接收TCN通知(有时更多,有时更少)。它同时在所有VLAN的同一端口上接收TCN。当我追溯这些TCN的来源时show spanning-tree detail | inc ieee|occurr|from|is exec,我最终发现只有一台配置了5条中继线且没有访问端口的交换机(switch-b)。 我无法匹配一个事件,例如在收到TCN的同时此开关上的链接向上或向下的链接。当我在此交换机上发出上述命令时,结果告诉我上一次拓扑更改要早得多。 我的结论: 发送的TCN必须被中继链路或整个交换机上的事件触发,因为所有VLAN都收到了拓扑更改通知。它必须在交换机b上是本地的。 产生这些TCN的原因可能是什么?5个干线链接未更改其状态。它不能再向下游移动,因为switch-b上的最新拓扑更改与核心上的最新拓扑更改不匹配。switch-b上的最后一个拓扑更改要早得多。 有什么想法吗?

2
VXLAN与第3层上的VLAN
我读到VXLAN over VLAN的好处之一是,它可以通过创建覆盖第2层网络而在WAN和多个第3层网络中生成。 但是,如果您拥有之间的所有跃点,则AFAIN VLAN也可以使用MPLS VPN,L2TPv3或GRE隧道,或者通过中继并使用VRF来执行相同的操作。 关于跨层3通信,VXLAN over VLAN的真正好处是什么?
11 vlan  layer2  layer3  tunnel  vxlan 

1
ARP请求是否应该标记VLAN?
我想知道从VLAN标记接口发送出去时是否应该标记ARP请求? 在我看来,应该对ARP请求进行标记,因为这需要遍历所有广播域,这在逻辑上是合理的。如果广播域中的任何交换机或设备具有VLAN配置,则未标记的ARP请求将不会通过。 我认为他们应该这样做,但是我没有任何参考资料可以确认。
11 vlan  arp 

2
IPv6 DHCP服务器与路由器
我正在为Dualstack设置测试环境。 我目前有一个服务器(Windows 2008 R2),2个交换机和一个已安装和配置的路由器。该服务器是主域控制器,并且已安装DHCP角色。 我正在使用VLAN将计算机彼此分开。现在我陷入了一个问题,似乎无法解决,所以我真的希望你们能帮助我! 我在服务器上创建了IPv4和IPv6范围。在路由器上,我具有用于VLAN和IPv4的子接口。 我似乎对IPv6有问题。我为我的NIC提供了一个静态IPv6地址,在这种情况下为2001:db8:a:1 :: 10。我还创建了多个作用域(以使用VLAN)。 我的路由器上两个接口的配置为: 分配给在默认VLAN(DEFAULT)上连接的计算机的IP从DHCP服务器接收IPv6地址。但是与其他VLAN连接的那些路由器无需我创建DHCP池就可以从路由器接收IP地址(注意:它们接收的IP地址在我给子接口提供的IP范围内)。 我希望这不会发生,并确保它们从DHCP服务器上的作用域获取IP地址(这样它们就会显示在租约中)。 任何帮助将不胜感激!
11 vlan  ipv6  dhcp  dhcpv6 

2
使用特定于站点的互联网访问来处理基于VLAN的MPLS电路
我很难集中精力进行设置,而MPLS供应商却无济于事,所以我想在这里问一下。 我有一个2节点MPLS,每个站点都可以在MPLS所在的同一电路上访问Internet。这些电路用站点之间的IPSEC隧道代替了每个站点上的专用Internet访问。我们希望保留现有的防火墙,因为它们可以提供内容过滤和VPN服务。我试图在每个站点上配置第3层交换机(cisco SG300-10P)以设置此方案。 相关信息(更改了IP地址以保护我的白痴) 网站A 本地局域网:172.18.0.0/16 现有防火墙(内部):172.18.0.254 到站点B的MPLS网关:172.18.0.1 互联网IP范围192.77.1.144/28 电信运营商网关192.77.1.145 第3项和第5项使用的是来自adtran netvana的单个铜皮(承运人装备,我无法使用) 网站B 本地局域网:192.168.2.0/23 现有防火墙(内部):192.168.2.1 到站点A的MPLS网关:192.168.2.2 互联网IP范围216.60.1.16/28 到互联网的运营商网关216.60.1.16 第3项和第5项使用的是来自adtran 908e的铜皮(载体设备我无权使用) 因此,鉴于上述,我想在每个站点上进行的操作是设置这些cisco开关,以便: 端口1 =运营商连接端口2 =内部局域网端口3 =防火墙 如果本地局域网未处于Internet IP范围内(例如,如果某些雅虎使用运营商网关将其机器设置在提供的Internet ip上,则它无法工作),或者与端口1不同,Internet子网中的所有流量只能从端口3退出,从端口1退出,本地lan子网上的所有流量只能退出端口2。 到目前为止,我所做的每一次尝试都导致端口之间根本无法访问,也没有基本的哑巴行为(任何端口上的任何主机都可以跨越所有IP范围)。 这里的第一个问题,所以请客气。:)如果您需要更多信息,我们将很乐意提供。
11 vlan  mpls 

11
在网络上找到主机
在VLAN上定位特定工作站的最佳方法是什么? 如果工作站IP地址显示在ACL上,则有时需要执行此操作拒绝 激流使用 高带宽使用率(热门发言人) 鼻息警报 我现在的方式 登录到同一VLAN中的核心交换机 ping IP地址, 从ARP表中检索MAC Mac地址查找,以了解是从哪个开关中学到的 登录到该开关冲洗并重复直到找到工作站 有时,这可能需要登录约7台交换机,该网络存在一些特定的挑战,目前我无能为力。巨大的VLAN(/ 16),每个VLAN上有数百个用户 在所有思科商店中,使用思科交换机的预算最少,必须有一种更有效的方法来跟踪主机? 编辑:添加更多详细信息 具体来说,我正在寻找用户连接到的交换机端口?还有一些历史将是伟大的..因为我的方法只能在用户仍处于连接状态时起作用,而当我在早晨查看日志时却没有任何价值,但是设备不再处于连接状态。 没有像访客网络那样的中央DNS或Active Directory,其中仅提供Internet访问。我尝试提供一些管理和一些安全性。 我已经尝试过“ show ip dhcp binding | inc”,它给了我一个奇怪的MAC(带有2个额外的字符),它不是关联的设备MAC,我还没有研究过,但是ARP是准确的,我更担心找到有问题的机器所连接的交换机端口。 希望这可以提供一些澄清



1
为什么不应该使用本机VLAN?
当前正在学习CCNA安全性,我被教导永远不要出于安全目的使用本机VLAN。思科论坛上的旧讨论非常清楚地表明了这一点: 您也不要使用默认VLAN,因为从默认VLAN更容易完成VLAN跳跃。 但是,从实际的角度来看,我无法准确指出正在解决的实际威胁。 我的想法如下: 攻击者位于本机VLAN上,也许他可以直接注入802.1q数据包,这些数据包将在不经过第一台交换机修改的情况下被转发(如来自本机VLAN),而即将到来的交换机会将这些数据包视为来自所选VLAN的合法数据包由攻击者。 这确实会使VLAN跳跃攻击“容易得多”。但是,这不起作用,因为第一台交换机正确地认为在访问端口上接收802.1q数据包是异常的,因此会丢弃此类数据包。 位于非本地VLAN上的攻击者设法将交换机访问端口转换为中继端口。要将流量发送到本地VLAN,他只需更改其IP地址(单个命令),而不是在其网络接口上启用VLAN(四个命令),保存三个命令即可。 我显然认为这最多是非常微不足道的收益。 回顾历史,我想我读了一些旧的建议,指出802.1q注入可能需要兼容的网卡和特定的驱动程序。这样的要求确实会限制攻击者注入802.1q数据包的能力,并使本机VLAN利用在以前的情况下更加实用。 但是,如今这似乎并不是真正的限制,VLAN配置命令是Linux(至少)网络配置命令的常见部分。 即使这种做法不再解决任何特定的威胁,我们是否也可以考虑不使用本机VLAN的建议已过时且仅出于历史和配置方面的考虑而保留?还是有一种具体的方案,由于使用了本地VLAN,VLAN跳跃确实变得更加容易了?
10 vlan  security 

3
VRF,VLAN和子网:区别
我对VRF,VLAN和子网有基本的了解。我知道VLAN在L2上运行,子网和VRF(精简版)在L3上运行。我不明白的是,为什么当您最关心细分时会选择一个而不是另一个。 想象一下,我只有2台设备,并且我不希望它们能够彼此通信,但是我希望它们能够访问Internet。 虚拟局域网 想象一下,我的网络中只有一台交换机和一台路由器。我可以做如下: 设备1 => VLAN 1 设备2 => VLAN 2 互联网=> VLAN 3 然后,为防止它们交谈,我可以允许vlan 1和vlan 3之间的流量以及vlan 2和vlan 3之间的流量。但是,我将丢弃vlan 1和vlan 2之间的所有流量。=>分段确定。 子网路 想象一下,我的网络中有两台交换机和一台路由器。我可以做如下: 子网1 =>交换机1 =>设备1 子网2 =>交换机2 =>设备2 然后,就像处理VLAN一样,我可以丢弃子网1和子网2之间流动的所有数据包。 可变射频 想象一下,我有多个交换机和一个路由器。我可以做如下: VRF 1 =>设备1 VRF 2 =>设备2 我没有明确地预防任何事情。默认情况下,两个VRF将无法相互通信。=>细分确定。 这三个中的任何一个还有其他优势吗?首选方法是什么?我为什么要结合这三个?我还想念什么? 编辑 我真的在寻找一个比较这三个选项的答案,尤其是VLAN(可能使用单独的子网)与VRF分段。
10 vlan  subnet  vrf  vrf-lite 

4
VLAN分配原则
我有几个都通过OSPF路由网络连接的第3层交换机/路由器。每个交换机还连接着另外两个网络。我必须为这些网络中的每个网络分配一个VLAN,我认为我可以在每个交换机上重用相同的两个VLAN,因为离开该交换机的所有流量都是未标记的(因为它的路由是在VLAN中继上,而不是在VLAN中继上)为什么我不应该这样做并为每个网络分配不同的VLAN?例如:
10 vlan  design 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.