Questions tagged «vlan»

许多人指出，VLAN可以容纳一个或多个子网。如果此子网的默认网关在路由器或L3交换机上，则VLAN配置中怎么可能有多个默认网关？在路由器上，您将每个子接口映射到一个VLAN并为其指定一个IP，并且不能有两个具有相同VLAN的子接口。在L3交换机上，为VLAN接口提供IP，该IP作为默认网关。您不能给它两个IP。那么，如何在一个VLAN中包含两个子网呢？

13 vlan  ipv4 

我们正在运行一个Aerohove无线网络（无控制器）。.有时，我会在VLAN内将mac-flaps与SSID绑定在一起。我知道这是来自漫游客户端。问题是我工作的公司具有端到端VLAN（没有钱将L3设备放在访问层上），我相信这些mac-flaps会导致mac-table在该L2域的整个VLAN中被刷新...进而导致更多的广播，依此类推。 我知道在访问层终止L2域将是最好的解决方案，但短期内没有钱...关于如何处理此问题的任何想法？

13 cisco  wireless  vlan  ieee-802.11 

此答案说VLAN 0和4095被保留。维基百科同意保留vlan 0和4095。本文说，思科保留VLAN 1（VLAN 0和4095除外）。 但是我很难找到有关这些VLAN的专用信息？和/或为什么保留它们？ 请包括良好的权威来源或参考规范。 如果我要发送/接收，不使用vlan 0,1,4095是一个好的经验法则吗？

12 vlan 

根据此文章时，他们配置的MTU大小不匹配两个路由器会卡死在EXSTART邻接状态。即使所涉及的路由器不关心数据包来自哪个VLAN或前往哪个VLAN，VLAN标记也会对这产生影响吗？ 如果根本不清楚，我将尝试澄清这个问题。

12 router  routing  vlan  ospf  mtu 

在运行Rapid PVST +的L2网络上，我们大约有20个VLAN，其中的根网桥是Cisco 3750交换机的堆栈。我对在交换机上收到的TCN通知数量感到困惑。 3750堆栈是所有VLAN的根，它每天接收TCN通知（有时更多，有时更少）。它同时在所有VLAN的同一端口上接收TCN。当我追溯这些TCN的来源时show spanning-tree detail | inc ieee|occurr|from|is exec，我最终发现只有一台配置了5条中继线且没有访问端口的交换机（switch-b）。 我无法匹配一个事件，例如在收到TCN的同时此开关上的链接向上或向下的链接。当我在此交换机上发出上述命令时，结果告诉我上一次拓扑更改要早得多。 我的结论： 发送的TCN必须被中继链路或整个交换机上的事件触发，因为所有VLAN都收到了拓扑更改通知。它必须在交换机b上是本地的。 产生这些TCN的原因可能是什么？5个干线链接未更改其状态。它不能再向下游移动，因为switch-b上的最新拓扑更改与核心上的最新拓扑更改不匹配。switch-b上的最后一个拓扑更改要早得多。 有什么想法吗？

12 cisco  ethernet  vlan  spanning-tree 

我读到VXLAN over VLAN的好处之一是，它可以通过创建覆盖第2层网络而在WAN和多个第3层网络中生成。 但是，如果您拥有之间的所有跃点，则AFAIN VLAN也可以使用MPLS VPN，L2TPv3或GRE隧道，或者通过中继并使用VRF来执行相同的操作。 关于跨层3通信，VXLAN over VLAN的真正好处是什么？

11 vlan  layer2  layer3  tunnel  vxlan 

我想知道从VLAN标记接口发送出去时是否应该标记ARP请求？ 在我看来，应该对ARP请求进行标记，因为这需要遍历所有广播域，这在逻辑上是合理的。如果广播域中的任何交换机或设备具有VLAN配置，则未标记的ARP请求将不会通过。 我认为他们应该这样做，但是我没有任何参考资料可以确认。

11 vlan  arp 

我正在为Dualstack设置测试环境。 我目前有一个服务器（Windows 2008 R2），2个交换机和一个已安装和配置的路由器。该服务器是主域控制器，并且已安装DHCP角色。 我正在使用VLAN将计算机彼此分开。现在我陷入了一个问题，似乎无法解决，所以我真的希望你们能帮助我！ 我在服务器上创建了IPv4和IPv6范围。在路由器上，我具有用于VLAN和IPv4的子接口。 我似乎对IPv6有问题。我为我的NIC提供了一个静态IPv6地址，在这种情况下为2001：db8：a：1 :: 10。我还创建了多个作用域（以使用VLAN）。 我的路由器上两个接口的配置为： 分配给在默认VLAN（DEFAULT）上连接的计算机的IP从DHCP服务器接收IPv6地址。但是与其他VLAN连接的那些路由器无需我创建DHCP池就可以从路由器接收IP地址（注意：它们接收的IP地址在我给子接口提供的IP范围内）。 我希望这不会发生，并确保它们从DHCP服务器上的作用域获取IP地址（这样它们就会显示在租约中）。 任何帮助将不胜感激！

11 vlan  ipv6  dhcp  dhcpv6 

我很难集中精力进行设置，而MPLS供应商却无济于事，所以我想在这里问一下。 我有一个2节点MPLS，每个站点都可以在MPLS所在的同一电路上访问Internet。这些电路用站点之间的IPSEC隧道代替了每个站点上的专用Internet访问。我们希望保留现有的防火墙，因为它们可以提供内容过滤和VPN服务。我试图在每个站点上配置第3层交换机（cisco SG300-10P）以设置此方案。 相关信息（更改了IP地址以保护我的白痴） 网站A 本地局域网：172.18.0.0/16 现有防火墙（内部）：172.18.0.254 到站点B的MPLS网关：172.18.0.1 互联网IP范围192.77.1.144/28 电信运营商网关192.77.1.145 第3项和第5项使用的是来自adtran netvana的单个铜皮（承运人装备，我无法使用） 网站B 本地局域网：192.168.2.0/23 现有防火墙（内部）：192.168.2.1 到站点A的MPLS网关：192.168.2.2 互联网IP范围216.60.1.16/28 到互联网的运营商网关216.60.1.16 第3项和第5项使用的是来自adtran 908e的铜皮（载体设备我无权使用） 因此，鉴于上述，我想在每个站点上进行的操作是设置这些cisco开关，以便： 端口1 =运营商连接端口2 =内部局域网端口3 =防火墙 如果本地局域网未处于Internet IP范围内（例如，如果某些雅虎使用运营商网关将其机器设置在提供的Internet ip上，则它无法工作），或者与端口1不同，Internet子网中的所有流量只能从端口3退出，从端口1退出，本地lan子网上的所有流量只能退出端口2。 到目前为止，我所做的每一次尝试都导致端口之间根本无法访问，也没有基本的哑巴行为（任何端口上的任何主机都可以跨越所有IP范围）。 这里的第一个问题，所以请客气。:)如果您需要更多信息，我们将很乐意提供。

11 vlan  mpls 

在VLAN上定位特定工作站的最佳方法是什么？ 如果工作站IP地址显示在ACL上，则有时需要执行此操作拒绝 激流使用 高带宽使用率（热门发言人） 鼻息警报 我现在的方式 登录到同一VLAN中的核心交换机 ping IP地址， 从ARP表中检索MAC Mac地址查找，以了解是从哪个开关中学到的 登录到该开关冲洗并重复直到找到工作站 有时，这可能需要登录约7台交换机，该网络存在一些特定的挑战，目前我无能为力。巨大的VLAN（/ 16），每个VLAN上有数百个用户 在所有思科商店中，使用思科交换机的预算最少，必须有一种更有效的方法来跟踪主机？ 编辑：添加更多详细信息 具体来说，我正在寻找用户连接到的交换机端口？还有一些历史将是伟大的..因为我的方法只能在用户仍处于连接状态时起作用，而当我在早晨查看日志时却没有任何价值，但是设备不再处于连接状态。 没有像访客网络那样的中央DNS或Active Directory，其中仅提供Internet访问。我尝试提供一些管理和一些安全性。 我已经尝试过“ show ip dhcp binding | inc”，它给了我一个奇怪的MAC（带有2个额外的字符），它不是关联的设备MAC，我还没有研究过，但是ARP是准确的，我更担心找到有问题的机器所连接的交换机端口。 希望这可以提供一些澄清

11 cisco  switch  vlan  cisco-commands  management 

最近遇到了一个设置，其中工程师拥有一个多层Cisco交换机，该交换机的中继将VLAN 41承载到不支持VLAN的HP交换机。 HP交换机在收到802.1q流量后应如何处理？ 我知道没有802.1q标签的本机VLAN会通过，但是中继上的其他VLAN会怎样？

10 cisco  switch  vlan  ethernet 

所以问题在标题中。 如果交换机不支持虚拟局域网功能，是否仍可以将其视为托管交换机？ 除VLAN功能外，还应将其视为托管交换机吗？

10 switch  vlan  switching  management  private-vlan 

当前正在学习CCNA安全性，我被教导永远不要出于安全目的使用本机VLAN。思科论坛上的旧讨论非常清楚地表明了这一点： 您也不要使用默认VLAN，因为从默认VLAN更容易完成VLAN跳跃。 但是，从实际的角度来看，我无法准确指出正在解决的实际威胁。 我的想法如下： 攻击者位于本机VLAN上，也许他可以直接注入802.1q数据包，这些数据包将在不经过第一台交换机修改的情况下被转发（如来自本机VLAN），而即将到来的交换机会将这些数据包视为来自所选VLAN的合法数据包由攻击者。 这确实会使VLAN跳跃攻击“容易得多”。但是，这不起作用，因为第一台交换机正确地认为在访问端口上接收802.1q数据包是异常的，因此会丢弃此类数据包。 位于非本地VLAN上的攻击者设法将交换机访问端口转换为中继端口。要将流量发送到本地VLAN，他只需更改其IP地址（单个命令），而不是在其网络接口上启用VLAN（四个命令），保存三个命令即可。 我显然认为这最多是非常微不足道的收益。 回顾历史，我想我读了一些旧的建议，指出802.1q注入可能需要兼容的网卡和特定的驱动程序。这样的要求确实会限制攻击者注入802.1q数据包的能力，并使本机VLAN利用在以前的情况下更加实用。 但是，如今这似乎并不是真正的限制，VLAN配置命令是Linux（至少）网络配置命令的常见部分。 即使这种做法不再解决任何特定的威胁，我们是否也可以考虑不使用本机VLAN的建议已过时且仅出于历史和配置方面的考虑而保留？还是有一种具体的方案，由于使用了本地VLAN，VLAN跳跃确实变得更加容易了？

10 vlan  security 

我对VRF，VLAN和子网有基本的了解。我知道VLAN在L2上运行，子网和VRF（精简版）在L3上运行。我不明白的是，为什么当您最关心细分时会选择一个而不是另一个。 想象一下，我只有2台设备，并且我不希望它们能够彼此通信，但是我希望它们能够访问Internet。 虚拟局域网 想象一下，我的网络中只有一台交换机和一台路由器。我可以做如下： 设备1 => VLAN 1 设备2 => VLAN 2 互联网=> VLAN 3 然后，为防止它们交谈，我可以允许vlan 1和vlan 3之间的流量以及vlan 2和vlan 3之间的流量。但是，我将丢弃vlan 1和vlan 2之间的所有流量。=>分段确定。 子网路 想象一下，我的网络中有两台交换机和一台路由器。我可以做如下： 子网1 =>交换机1 =>设备1 子网2 =>交换机2 =>设备2 然后，就像处理VLAN一样，我可以丢弃子网1和子网2之间流动的所有数据包。 可变射频 想象一下，我有多个交换机和一个路由器。我可以做如下： VRF 1 =>设备1 VRF 2 =>设备2 我没有明确地预防任何事情。默认情况下，两个VRF将无法相互通信。=>细分确定。 这三个中的任何一个还有其他优势吗？首选方法是什么？我为什么要结合这三个？我还想念什么？ 编辑 我真的在寻找一个比较这三个选项的答案，尤其是VLAN（可能使用单独的子网）与VRF分段。

10 vlan  subnet  vrf  vrf-lite 

我有几个都通过OSPF路由网络连接的第3层交换机/路由器。每个交换机还连接着另外两个网络。我必须为这些网络中的每个网络分配一个VLAN，我认为我可以在每个交换机上重用相同的两个VLAN，因为离开该交换机的所有流量都是未标记的（因为它的路由是在VLAN中继上，而不是在VLAN中继上）为什么我不应该这样做并为每个网络分配不同的VLAN？例如：

10 vlan  design