Questions tagged «vlan»

具有一组共同要求的主机组,尽管位于物理位置,但好像在同一广播域上

2
VLAN如何工作?
什么是VLAN?他们解决什么问题? 我正在帮助一位朋友学习基础网络,因为他刚刚成为一家小公司的唯一系统管理员。我一直在向他指出Serverfault上与各种网络主题相关的各种问题/答案,并且注意到了一个空白-似乎没有答案可以从基本原理上解释什么是VLAN。本着“ 子网划分的工作原理”的精神,我认为在这里提出一个具有规范答案的问题会很有用。 答案中包含一些潜在的主题: 什么是VLAN? 他们打算解决什么问题? 在VLAN之前情况如何? VLAN与子网之间的关系如何? 什么是SVI? 什么是中继端口和访问端口? 什么是VTP? 编辑:明确地说,我已经知道VLAN的工作原理-我只是认为Serverfault应该具有涵盖这些问题的答案。如果时间允许,我也将提交自己的答案。

7
OpenVPN与IPsec-优点和缺点,使用什么?
有趣的是,当我搜索“ OpenVPN vs IPsec”时,没有找到任何好的搜索结果。所以这是我的问题: 我需要在不受信任的网络上建立专用LAN。据我所知,这两种方法似乎都是有效的。但是我不知道哪个更好。 如果您能列出两种方法的优缺点,以及您对使用哪种方法的建议和经验,我将非常感谢。 更新(关于评论/问题): 在我的具体情况下,目标是使任意数量的服务器(具有静态IP)彼此透明连接。但是,一小部分动态客户端(如“公路勇士”(具有动态IP))也应该能够连接。但是,主要目标是在不受信任的网络之上运行“透明安全网络”。我是一个新手,所以我不知道如何正确解释“ 1:1点对点连接” =>该解决方案应支持广播和所有此类内容,因此它是一个功能齐全的网络。
76 security  openvpn  vlan  ipsec 

3
用户交换机收到带有VLAN标签的以太网帧时会发生什么?
假设您通过直接电缆将中继端口从具有VLAN功能的网络交换机连接到(无VLAN功能的)消费者级网络交换机。现在,前一台交换机向后一台交换机发送一个带有802.1Q标签的以太网帧。以后的开关应该怎么做?丢帧?转发框架?未定义的行为? 如果行为未定义,最可能是什么? 编辑:谢谢您的回答。总而言之,使用者开关的行为取决于: 它如何处理0x8100EtherType字段中的帧1 它如何处理巨型帧或有效载荷大于1500字节的帧 Wikipedia有一个不错的图表,比较了未标记和已标记的以太网帧: 有报道说,一些消费级交换机可以通过带有VLAN标签的帧。 1或更准确地说,对于未标记的帧应使用EtherType字段
28 switch  vlan  trunk  802.1 

4
人们为什么告诉我不要使用VLAN进行安全保护?
按照标题,为什么人们告诉我不要出于安全目的使用VLAN? 我有一个网络,其中有几个VLAN。两个VLAN之间有一个防火墙。我正在使用HP Procurve交换机,并确保交换机到交换机的链接仅接受标记的帧,并且主机端口不接受标记的帧(它们不是“ VLAN Aware”)。我还确保中继链路的本机VLAN(PVID)与2个主机VLAN都不相同。我还启用了“入口过滤”。此外,我确保主机端口仅是单个VLAN的成员,这与相应端口的PVID相同。属于多个VLAN的唯一端口是中继端口。 有人可以向我解释为什么上述方法不安全吗?我相信我已经解决了双重标记问题。 谢谢 更新:两个开关均为HP Procurve 1800-24G

7
多少个VLAN太少又太多?
我们目前正在运行800多台PC和20多台服务器的网络,其网络基础设施包括Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop。所有正在运行的3Com设备(1)。 我们有3个用于四个区域的区域交换机(A,B,C,D与核心合并),每个区域交换机将有10到20个本地交换机连接到这些区域。还有一个备用核心交换机,其功率较低,但与主核心交换机一样连接。 我们也有IP电话系统。计算机/服务器和交换机的IP地址范围为10.x,电话为192.168.x。除了在计算机实验室外,计算机通常不需要相互通信,但是它们确实需要能够与我们的大多数服务器(AD,DNS,Exchange,文件存储等)进行通信。 设置时,我们决定要有3个VLAN,一个用于交换机和计算机,一个用于电话,一个用于服务器复制(这违反了3Com工程师的建议)。从这一点(2)开始,网络一直稳定并且可以正常工作,但是我们现在已经开始升级到SAN和虚拟化环境。现在,将这种新的基础架构拆分为单独的VLAN是有意义的,并且重新修改我们的VLANS的设置似乎是明智的。 现在建议在每个房间的每个房间内设置VLAN,即一个拥有5台以上PC的计算机实验室应该是它自己的VLAN,但是如果遵循此模型,我们将至少查看25个“新” VLAN。 ,以及用于SAN /虚拟服务器的VLAN。在我看来这将增加过多的管理工作,尽管我很高兴被证明是错误的。 最佳实践似乎暗示了什么?是否建议一定数量的PC不在VLAN中/在VLAN中穿越。 (1)3Com交换机(3870和8800)在VLAN之间的路由方式与其他方式不同,它不需要第3层的单独路由器。 (2)我们有时确实会获得较高的丢弃率或STP更改,并且3Com Network Director报告交换机处于欠载状态且响应ping缓慢,或者发生故障的交换机设法断开了网络(所有电话和计算机VLAN! ,一次,不知道为什么)
23 networking  vlan  3com 

3
同一局域网上可能有重复的MAC地址?
假设某人与我位于同一网络上,并且欺骗了他们的MAC地址以匹配我的: 这可能吗?具有相同MAC地址的两个或多个客户端可以同时在同一网络上并保持一致连接吗? 如果发生这种情况,如果同一网络上不允许重复的MAC地址,我是否最终将被取消身份验证并被踢出网络? 如果允许重复的MAC地址,我可能会遇到哪种行为?碰撞,比赛条件等?

3
某些交换机上的电话无法完成DHCP过程
背景 我有一台Windows DHCP服务器(Server 2008 R2)分发多个作用域的地址。这些范围之一是某些Mitel IP电话。电话配置为使用dhcp选项125获取配置信息。当电话启动时,它不知道要使用哪个VLAN,因此它仅获得其连接到的任何端口的默认(未标记)VLAN。dhcp服务器给它一个响应,其中包含选项125信息,并且电话能够从该响应中读取应使用的VLAN。然后,电话释放其原始地址,并使用正确的vlan标签请求新的dhcp租约。这些电话通常还具有连接到直通端口的计算机。来自计算机的数据包不会被标记,因此PC将保留在端口的原始(未标记)VLAN中。这为我们工作了多年。 问题与症状 最近几周的某个地方发生了某些变化,我不确定是什么。只要不重启电话,电话就可以继续工作,这意味着必须正确处理dhcp更新请求。连接到某些交换机的电话甚至可以在重启后幸存下来。但是,连接到其他交换机的电话在重启时将无法完成该过程。我们所有的电话都使用由UPS备份的PoE,因此距离任何电话都已经重启很久了。这意味着我不知道问题何时首次出现。我所知道的是,一部电话在昨天重启时发生了故障,今天在对其进行故障排除时,我们重置了该开关柜。现在,该交换机上的所有电话都无法正常工作(幸运的是,电话数量仍然很少)。我也知道1月底前一切正常, 当我看到电话启动时,可以看到它成功获取了第一个地址。然后,它成功读取选项125信息,设置正确的VLAN标签,并释放原始IP租约。它甚至能够在服务器上的正确VLAN上接收和接受报价。但是,这就是停止的地方。电话在屏幕上会显示一条消息“ DHCP: Offer 2 ACC”,但是Windows DHCP服务器尚未记录租约,因此电话永远不会继续运行。我只能猜测DHCP REQUEST数据包永远不会到达Windows服务器,因此手机正在等待来自Windows的最终ACK,可以继续。 解决方法 我终于能够重新打电话。为此,我必须先断开计算机的连接。然后,我将电话的交换端口设置为在电话VLAN上未加标签,而PC VLAN上没有成员资格。手机现在将正确重启。此时,我可以将交换机端口配置恢复到应有的位置,只要在重置端口时没有人尝试拨打该号码,电话就不会错过任何拍子。然后,我可以重新连接计算机。显然,这不是一个理想的过程,但是由于电话重启很少,因此我将无法使用它来使人们再次工作,直到找到根本原因为止。现在办公室一周关闭,因此实际上可以允许在周末坐这个问题(我没有电话所在的各个办公室的钥匙)。 我固定的这部电话是服务器机房中的服务电话,直接连接到我们的核心交换机。问题很可能是核心交换机上路由或处理标签的问题,因此该解决方法在数据包首先通过其他交换机(由其他交换机标记)的远程办公室中无效,但我将非常惊讶如果发生这种情况,考虑到我知道它必须正确处理dhcp更新和实际的电话对话。 一种变化是,将端口标记在PC vlan上意味着电话将失败,并显示消息“ DHCP: Offer 1 ACC”。我需要完全删除该VLAN才能成功。 注意:我现在已经确认该变通办法在偏远的建筑物中有效。这使我怀疑我的设备没有以某种方式分配给正确的VLAN。我在核心交换机上遇到问题,并且该问题几乎同时在网络上的多个位置发生,这一事实表明核心交换机可能是问题所在。没什么要看的,我计划在周末结束时安排一个维护窗口来重启交换机。我也可能会更新固件。 环境 我们的核心交换机是HP 5406zl。此交换机处理VLAN间路由。Windows DHCP服务器直接连接到交换机。端点交换机通过光纤SFP连接到核心交换机,并且这些端口在两端都标记有所有VLAN。核心交换机为每个VLAN配置一个ip helper-address指向它的DHCP服务器的设置,以及一条dhcp relay-option 82 replace线,以便dhcp服务器知道要使用的范围。这些配置以及端点交换机上的端口配置在至少16个月内没有更改。那时我们还有其他开关和电话重置。 我们的大多数端点交换机都是HP 2530系列。这些开关似乎正常工作(3个不同的2530上的电话今天已正确重新启动)。是较旧的交换机有问题。我们有一台旧的3Com 4200和一台4210无法使用。直接连接到前面提到的核心交换机的服务电话也不起作用。 题 在这一点上,我最好的猜测是dhcp服务器上的Windows更新更改了该行为,但我看不到如何。或者核心交换机可能无法正确处理该REQUEST数据包,但我确定在那里没有任何更改,并且它也无法解释为什么仅某些端点交换机会受到影响。我该如何解决这个问题? 更新: 这是故障电话的dhcp日志摘录: 10,03 / 06 / 15,12:40:40,Assign,10.1.2.158,,08000F197844,,3189088995,0 ,,, 11,03 / 06 …

1
通过tcpdump在数据包捕获(Linux)中未显示VLAN标签
我在eth0上添加了标记的VLAN: #ip link add link eth0 name eth0.20 type vlan id 20 结果是: #ip link 2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 9c:c7:a6:95:65:1c brd ff:ff:ff:ff:ff:ff .... 12: eth0.20@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 9c:c7:a6:95:65:1c brd ff:ff:ff:ff:ff:ff #ip -d link show eth0.20 70: …

1
在Linux / FreeBSD下使用一个Wifi适配器连接到多个AP?
如何使用单个无线适配器同时连接到多个Wifi接入点? 我目前正在使用pfSense作为我的家庭路由器,并且希望它无线连接到多个AP。你知道有没有可能 另外,我们如何在Ubuntu下做到这一点?请给我一些启示:) 有趣的注意事项: pfSense以及许多路由器发行版均支持将单个无线适配器用作多个AP,但是(对我而言)尚不清楚它们是否可以充当多个客户端 Windows 7中的“虚拟Wifi适配器”显然可以做到这一点 对于有线网络,可以轻松地创建接口别名(例如eth0:1)并使用ifconfig获得多个IP。这有什么帮助吗?

3
如何以一种不会使我面临VLAN跳动风险的方式设置VLAN?
我们计划将生产网络从无VLAN配置迁移到标记VLAN(802.1q)配置。此图总结了计划的配置: 一个重要的细节是,这些主机中的很大一部分实际上将是一台裸机上的VM。实际上,唯一的物理计算机将是DB01,DB02,防火墙和交换机。所有其他计算机将在单个主机上虚拟化。 人们一直担心的是这种方法很复杂(隐含的过于复杂),并且VLAN仅提供了一种安全感,因为“ VLAN跳跃很容易”。 鉴于由于虚拟化将多个VLAN用于单个物理交换机端口,这是否是一个有效的问题?我如何适当地设置VLAN以防止这种风险? 另外,我听说VMWare ESX有一个称为“虚拟交换机”的东西。这是VMWare虚拟机管理程序唯一的吗?如果没有,它是否可以与KVM(我计划的虚拟机管理程序)一起使用?它如何发挥作用?

2
多个VLAN,多个子网,单个DHCP服务器?
在我的工作中,我们正准备从通过慢速VPN连接连接的多个LAN过渡到通过光纤连接的单个MAN,我有几个问题。 首先,我们计划使每个物理站点都具有自己的VLAN,但是我们希望在数据中心有一个DHCP服务器,将IP分发给每个VLAN。我们已经完成了几乎所有的VLAN标记结构,但是我们希望让我们的单个DHCP服务器为每个VLAN分配不同的IP子网。例如: VLAN 2通过10.0.4.x获得10.0.2.x VLAN 3通过10.0.7.x等获得10.0.5.x等。 我们是一家基于Active Directory的商店,我们有一个处理DHCP的Server 2003机器(尽管我们不反对将其升级到Server2008。) 这可行吗,还是我在做梦?

4
分割流量,VLAN或子网的最佳方法?
我们拥有约200个节点的中型网络,目前正在用可堆叠或机箱式交换机替换旧的菊花链式交换机。 现在,我们的网络通过子网分解:生产,管理,知识产权(IP)等,每个子网都位于单独的子网中。创建VLAN而不是子网会更有益吗? 我们的总体目标是防止瓶颈,为安全起见将流量分开,并更轻松地管理流量。

2
通过千兆运营商以太网加密
我对此的结论是通过EoIP隧道传送VLAN中继并将其封装在硬件辅助的IPSec中。事实证明,两对价格相对便宜的Mikrotik RB1100AHx2路由器能够饱和1 Gbps连接,同时增加不到1毫秒的延迟。 我想加密两个数据中心之间的流量。站点之间的通信作为标准的提供程序桥(s-vlan / 802.1ad)提供,因此我们的本地vlan标签(c-vlan / 802.1q)保留在中继线上。通信遍历提供商网络中的几个第2层跃点。 两侧的边界交换机都是带有MACSec服务模块的Catalyst 3750-X,但是我认为MACSec没问题,因为我看不到任何方法来确保中继交换机之间的L2相等,尽管这可能在提供者桥上。MPLS(使用EoMPLS)肯定会允许该选项,但是在这种情况下不可用。 无论哪种方式,都可以随时更换设备以适应技术和拓扑选择。 我如何才能找到可行的技术选择,以通过以太网运营商网络提供第2层点对点加密? 编辑: 总结一下我的一些发现: 多种硬件L2解决方案可用,起价为60,000美元(低延迟,低开销,高成本)。 在许多情况下,MACSec可以通过Q-in-Q或EoIP进行隧道传输。硬件起价为5,000美元(中低延迟,中低开销,低成本) 多种硬件辅助的L3解决方案可用,起价为5,000美元(高延迟,高开销,低成本)。

5
tc u32 —如何在最近的内核中匹配L2协议?
我有一个很好的成型器,带有哈希过滤,是在linux桥上构建的。简而言之,对于br0连接接口external和internal物理接口,VLAN标记的数据包是“透明”桥接的(我的意思是,那里没有VLAN接口)。 现在,不同的内核执行不同的操作。我可能对确切的内核版本范围有误,请原谅。谢谢。 2.6.26 因此,在debian中,2.6.26及更高版本(我相信最多为2.6.32)---可行: tc filter add dev internal protocol 802.1q parent 1:0 prio 100 \ u32 ht 1:64 match ip dst 192.168.1.100 flowid 1:200 在这里,“内核”将“协议”字段中的两个字节与0x8100匹配,但是将ip数据包的开头计为“零位置”(对不起,我的英语不好意思,如果我不太清楚的话)。 2.6.32 同样,在debian(我还没有构建香草内核)中,2.6.32-5 ---这可行: tc filter add dev internal protocol 802.1q parent 1:0 prio 100 \ u32 ht 1:64 match ip dst 192.168.1.100 at 20 …

3
交换机对标记和未标记的VLAN数据包有什么作用?
假设我们有一个支持VLAN的4端口交换机。 1 2 3 4 Port 1 is TAGGED to VLAN10` and `UNTAGGED to Default_VLAN(1) Port 2 is UNTAGGED to VLAN10 Port 3 is UNTAGGED to VLAN10 出于这个问题的考虑,我们有一个进入端口1的数据包,它被标记为VID10。端口1保留了该标签。 恰好发生了将数据包发送到的设备连接到端口2的情况。交换机是否正在将数据包从未标记的端口发送到该VID的过程中从数据包中删除VLAN 10标签? 此外,假设这是一个ICMP数据包,并且端口2上的设备发送答复,该答复将不带标签地发送到端口2,并成为VLAN 10的一部分。当它离开端口1到目标设备时,它是否被标记为VID 10?因为端口1被标记为该VID?(由于交换机正在执行第3层IP路由的问题,我们也作了一个大的假设)。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.