我有一个Zyxel Zywall 310 中心站点和一个Zyxel USG 20w的远程站点。 我在两个站点之间也有一个可用的IPsec VPN。 远程站点的LAN1上的PC可以访问中心站点LAN1上的Server1 ,而不能访问中心站点VLAN4上的Server2 。 我需要添加什么规则来允许远程站点(位于USG 20w后面)的PC访问中心站点(位于Zywall 310后面)的VLAN4上的Server2 ? 这是networking的样子: 我怀疑解决scheme可能涉及政策或静态路由规则(我目前没有设置,虽然我已经与他们搞了一下,但无法得到任何工作)。
我想问你在透明防火墙构build中的最佳实践build议。 我有2个网段和2个10G接口的CentOS服务器。 我想过滤/监控/限制/丢弃段之间的stream量。 stream量被标记。 我应该不标记stream量过滤和标记回或nftable可以处理它标记? 现在计划看起来像: PCs–| |–PCs PCs–|–untag–[Switch]–tag–[Switch]–untag–|–PCs PCs–| |–PCs 我想要: PCs–| |–PCs PCs–|–untag–[Switch]–tag–**[Firewall]**–tag–[Switch]–untag–|–PCs PCs–| |–PCs
我们在HP无线接入点系统上使用vlans设置了2个无线networking 。 第一个是针对工作人员的 ,使用WPA2 + radius来validation我们的AD服务器,并把用户放在vlan 1 第二个用于客人 ,使用简单的WEPencryption,并把用户放在vlan 2上 目前这两个无线networking都可以完全访问我们的内部networking。 什么是最好的/最简单的方法来限制来宾无线networking只能传出互联网访问? (还有什么额外的信息需要提供一个好的答案?) 附加信息 我们的networking位于同一地点,服务器位于我们的ISP,并位于我们的办公室 我们的外部防火墙位于我们的ISP位置,因为所有的互联网stream量都在那里stream动。 思科路由器在两个地点 两者之间的stream量通过思科发送 我们的无线AP全部连接到内部networking中的HP或Cisco(vlan capable)交换机 即将离任的互联网stream量通过我们的边界交换机stream向办公室的Cisco路由器,ISP的Cisco路由器,然后stream向全球。
在我的工作场所,我们使用cisco交换机在第2层实现自定义stream量交付机制。自定义软件在以太网帧上放置特定的目的地mac,vlans将stream量分隔到不同的位置,同时将静态mac-address表项指向特定端口。 整个交付系统是相当静态的,所以对我们来说相当合适。 我没有创造它,但我理解得很好。 现在我试图理解这一点,因为我看到开关的一些奇怪的行为。 我有两个端口: gi1/10 switchport mode access vlan 10 gi1/20 switchport mode trunk switchport trunk allowed vlan 10-13 和两个用户input的mac地址表行: mac-address-table static 0101.0000.0101 vlan 10 interface gi1/10 mac-address-table static 0101.0000.0000 vlan 13 interface gi1/20 端口configuration不同,以评估技术的差异。 我有两个Linux主机,每个连接到上述端口。 每个configuration与四个子接口相同: eth1.10, eth1.11, eth1.12, and eth1.13. 主接口或子接口上没有IP地址。 我有两个stream量来源发送stream量。 每个都发送带有两个目标MAC地址的以太网帧,但一个stream量源在vlan 10上,另一个在vlan 13上。 在主机1上,连接到端口1/10的主机,当我嗅探eth1.10,11,12或13时,看不到stream量,但在运行“tcpdump -i eth1”时看到stream量。 这对我来说是有意义的,因为那些子接口只会期望标记有VLAN相应VLAN ID(10,11,12或13)的stream量,并且该交换机端口被configuration为访问。 我有正确的解释吗? 好奇的是,主机1的tcpdump输出ALSO显示了另一个mac,即使静态条目清楚地表明只发送一种types的stream量出端口。 […]
我有一台Cisco ASA 5505,现在可以为10.10.0.X上的30台左右机器提供服务。 我想将这些机器中的一部分分离到一个VLAN中,以便它们不能将stream量发送到不属于受限VLAN的所有其他计算机。 不属于隔离组的计算机仍应能够启动与隔离计算机的连接。 所以这就像一个非军事区,除非我希望我不必把隔离的机器放在不同的子网上。 这是可能的还是我需要让每个VLAN在不同的子网? 请原谅我的新手身份这个东西。 我正在尝试学习。
我有一个两个接口Linux的iptables防火墙。 目前我有一个私人networking192.168.0.x后面有几个服务器。 防火墙目前在本地configuration了每个IP,并使用NAT将端口转发到相应的服务器,例如: 208.80.x.130:80 – > 192.168.0.130:80 我的界面如下所示: vlan1 Link encap:Ethernet HWaddr 20:20:30:87:20:30 inet addr:208.80.x.129 Bcast:208.80.x.159 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1140818 errors:0 dropped:0 overruns:0 frame:0 TX packets:1108086 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:462146250 (440.7 MiB) TX bytes:590006065 (562.6 MiB) vlan1:0 Link encap:Ethernet HWaddr 20:20:30:87:20:30 inet addr:208.80.x.130 Bcast:208.80.x.255 Mask:255.255.255.224 UP […]
我正在试图build立一个RouterBoard,但是我不认为这个问题是特定于RouterBoard的。 我有4个端口都需要在一个特定的子网上,我们会说192.168.2.0/24。 但是,四个港口中的一个必须承载另一个stream量。 这个RouterBoard不允许我做一个“开关组”,这是我的第一个想法。 将这些端口添加到“交换机组”将导致所有通信量都被传递到每个端口,就像它是交换机一样,如以下两个图像所示: 我的另一个想法是创build一个VLAN来促进这一点。 不幸的是,我不能使用VLAN,因为如前所述,一个端口需要携带两个不同的子网,从而排除了将所有端口configuration为VLAN的访问端口的可能性。 我没有想法,除了为每个端口分配一个不同的IP在子网上,这看起来很混乱,根本没有口才。 有没有人有任何想法,我将如何最好的configuration呢?
我们正在尝试在Ubuntu 12.04上为bond0设置四个nics,带有3个标记的vlan和三个KVM VM。 使用下面的接口文件,我可以手动启动和停止networking,并获得接口,但他们不能幸免于重新启动,我得到了可怕的“等待60秒的networking…” 我也看到这些消息在dmesg: br168:在自己的地址作为源地址的vlan168上收到数据包 而接口不稳定(虚拟机掉桥) cat / proc / net / vlan / config VLAN Dev name | VLAN ID Name-Type: VLAN_NAME_TYPE_PLUS_VID_NO_PAD vlan168 | 168 | bond0 vlan169 | 169 | bond0 vlan340 | 340 | bond0 brctl显示 bridge name bridge id STP enabled interfaces br168 8000.e4115bea0110 no vlan168 br169 8000.e4115bea0110 no vlan169 […]
我想为3个访客虚拟机创build一个VLAN 。 我已经有了它,每个虚拟机都可以互相ping ,但问题是任何guest虚拟机都无法访问互联网 主机中的networkingconfiguration # /etc/network/interfaces auto eth0 iface eth0 inet manual auto br0 iface br0 inet static address 188.165.xx <—— Internet's public ip netmask 255.255.255.0 network 188.165.255.0 broadcast 188.165.255.255 gateway 188.165.yy <——- Internet's public gateway bridge_ports eth0 bridge_fd 0 bridge_stp on auto eth0.3 iface eth0.3 inet manual mtu 1500 vlan_raw_device eth0 auto vlan3 […]
想象一下,将Switch A和Switch B集中在一起的拓扑结构。 另外想象一下连接到交换机A的一个交换机上的路由器,为这些VLAN寻路由。 VLAN如下: VLAN 1 = 10.1.1.0/24 VLAN 2 = 10.1.2.0/24 VLAN 3 = 10.1.3.0/24 (private-vlan primary private-vlan association 4) VLAN 4 = isolated private vlan, same subnet as VLAN 3 (private-vlan isolated) 棒上的路由器包含以下接口: G0/0 = trunk G0/0.1 = 10.1.1.1 (vlan 1) G0/0.2 = 10.1.2.1 (vlan 2) G0/0.3 = 10.1.3.1 (vlan 3) 我如何configuration中继通过正常和VLAN通信? […]