我发布了这个IT安全,但认为这可能是更合适的。 我还是不太确定是否要交叉发表礼节,所以有足够高的代表,请随时迁移这个问题 我对VLAN的基本理解和适度的理解,以及它们与networking分割有关的利弊,但是我想知道从虚拟化环境入手的时候,从哪里开始。 从安全的angular度来看,传统的VLAN划分是如何面向虚拟环境的产品/解决scheme,如VMWare的vCloud Networking and Security产品? 当您使用并置虚拟机时,您依靠什么策略/技术来分割虚拟机stream量? 我知道这可能过于宽泛,但任何出发点都会非常有帮助。 但是为了一个具体的问题,也许一个好的方法就是 – 你认为虚拟networking安全产品至less和传统的VLAN一样好,以便分割networkingstream量。
我有一些问题,试图做出正确的configuration 现在我有一个Cisco Catalyst交换机,一个Cisco路由器2811和一个具有4-8个VM(Linux,BSD,Windows)的VMware ESXi节点,每个都configuration为使用802.1q,并且它们是5个VLAN的组。 接下来,使用以下configuration将节点连接到Cisco Catalyst 2964到接口端口0/1: switchport trunk allowed vlan 1-11 switchport mode trunk switchport nonegottiate 加上每个vlan的“Interface vlan”,此时带有ipv4静态地址的虚拟主机能够ping到交换机(vlan 2的主机可以ping交换机的接口Vlan2等)。 接下来,我configuration将连接到Cisco 2811路由器的交换机的接口 switchport trunk allowed vlan 1-11, 99 switchport mode trunk switchport nonegottiate switchport mode trunk native 99 在Cisco 2811路由器中,我为每个Vlan(除了99)创build了一个dhcpv4池,并开始在接口上工作 interface FastEthernet0/0.1 encapsulation dot1Q 1 ip address 192.168.1.1 255.255.255.0 ipv6 address 2001:DB8:C0CA:1::1/64 ! interface FastEthernet0/0.2 […]
1)下面的HP交换机configuration2)附件中的Fortinet策略 目前,我们拥有大约320个无线设备和大约100个有线设备。 我们有一个FortiGate 300C防火墙,只有一个互联网连接,一个内部(10.1.100.106)连接,一个HP zl 5406挂在FG上。 我的夏季计划的一部分是将stream量分割成VLAN,所以现在我正忙于configuration。 但是,我有一个非常奇怪的问题,我无法弄清楚,而Fortinet正在指责惠普交换机。 平坦/默认Vlan 1networking:10.1.0.0/16 Vlan 20:10.20.0.0/16 我有我的工作站在默认的Vlan。 我有一台笔记本电脑插入Vlan 20的无标记端口,并且正确地从10.20.0.0范围内获得了一个来自DHCP的IP地址。 在笔记本电脑上,我有4个无限的ping。 8.8.8.8(Google DNS),10.1.100.106(FortiGate防火墙),10.1.10.15(DHCP服务器)和10.1.10.250(我的工作站)。 在我的工作站上,我有一台笔记本电脑的IP(10.20.1.50)。 谷歌/防火墙/ DHCP将在笔记本电脑上,但我的工作站不能ping通笔记本电脑(超时),但随机,5-10分钟,防火墙将超时(但DHCP /谷歌继续)和我的工作站,平板电脑将启动,就像它应该。 然后,无处不在,它回到原来的performance。 我在防火墙上configuration策略的方式,都没有正常运行。 他们都应该能够沟通这两种方式。 这几个星期以来一直让我疯狂。 在笔记本电脑的FG上捕获数据包。 当Google /网关/ DHCP正确ping时,源显示为笔记本电脑的MAC地址。 当它失败时,源是交换机的MAC地址。 这让我和Fortinet的支持感到困惑。 我今天想到的一件事情是,当我使用HP交换机和“清除ARP”,而Google /网关/ DHCP工作时,它会导致防火墙ping超时,从我的工作站到笔记本电脑的ping将暂时开始工作。 现在为一些曲线球/其他信息: 1)这是我在这个Vlan的第二次尝试。 我最初尝试configurationVlan 200,它的function类似,但是当防火墙超时时,Google ping也是如此。 现在,它只是防火墙。 2)我有一个Vlan 30,上面有我的办公室打印机。 它的function很好,并没有像这样的行为。 3)今天启用STP并没有改变。 4)今天启用了IGMP,没有改变。 5)当我的工作站可以ping笔记本电脑。 在Vlan中,笔记本电脑无法ping通防火墙。 当我的工作站无法ping通笔记本电脑时,笔记本电脑可以ping防火墙。 HPconfiguration: 笔记本电脑是港口F1。 防火墙是A1。 服务器是B1-B16。 打印机在Vlan 30上是C1。 […]
我有一台路由器ZyXEL P-660HN-T3A和交换机ZyXEL GS1100-24,我需要在交换机上分开两个端口,所以连接到这个端口的客户端不能看到/访问其他端口。 我需要同样的事情做我的WiFi“从”zyxel p-660hn。 是VLAN的路要走吗? 如果是这样,我不知道我的硬件是否能够做到这一点。 谢谢
(提前道歉不是一个networking精明的家伙) 我有一个24端口的D-link DGS-3324SRconfiguration了四个VLAN。 每个VLAN有6个端口。 第一个VLAN连接到一个调制解调器,提供16个不同的“外部”IP地址。 我称之为“热”VLAN。 现在我想要将来自连接到VLAN1的外部IP的stream量路由到VLAN3上的一个内部服务器(比如10.232.0.0/24范围内)。 外部IP都是静态的,没有DHCP或任何东西。 基本上我想要服务器像直接连接到互联网,除了有一个内部IP。 我也将增加更多的内部服务器访问其他外部IP地址。 举例来说,如果你想在其他平台上甚至在理论上做到这一点,将是最受赞赏的,先生们。
目标: – Have two Dell switches trunked together with 1 cat5 cable. – Have VLANs of the same number/name passing traffic from switch to switch. – Not allowing any traffic from one VLAN to pass to a different VLAN. 使用的开关: – Dell PowerConnect 2824 (24 port gigabit, level 2) [CORE SWITCH] – Dell PowerConnect 2716 […]
我已经阅读了一些关于在KVM中不使用标记vlan的文章,因为模拟的e1000驱动程序,但是我有一个需要使用标记vlan的情况。 正因为如此,我们使用SR-IOV的机器和适配器,因为这使我们能够从英特尔安装完整的虚拟function驱动程序(这允许我们的powershell / wmi脚本来pipe理vlans)。 我不是KVM / Linuxpipe理员,我对Windows和VMWare有更多的了解,但是我们的Linux人员已经不能使用了,我必须弄清楚为什么我们不能通过标记vlan来通过KVM桥梁(是的,我知道,sr-iov意味着我们应该完全绕过桥梁或vswitches等等,但我不确定它在KVM中是如何工作的)。 在KVM主机上是否需要更改configuration以允许vlan标记通过? 我愿意研究,但不知道从哪里开始。 如果标记的vlan支持实际上是我可以在kvm中做的,我将会根据请求来configuration和必要的configuration,以便于讨论。
我有这样的networking布局(ESXi主机): Internal Network + +—————–+ | | Host1 | | NLB Heartbeat |—————–| | +————+<- 10.10.1.x | | | | | | +————+ | | 192.168.9.x ->+————+ | | | +—————–+ | | | |VLAN 2 | | Public | | +—————–+ | | +—————–+ | | | | | Host2 | | +————+ | […]
好吧,首先,我已经用VMware多次完成了这个任务,并且没有任何问题,所以我认为我在Hyper-V中缺less了一些东西。 我正在使用的硬件: 单个戴尔R510主机 板载双端口NIC 四端口Intel Nic 2个D-Link DES-1228交换机 即时目标: 专用pipe理(完成) 1个用于LAN0的Intel端口和1个在networking上的W7 Guest(已完成) 1个用于LAN1的Intel端口和1个用于networking的W7 Guest(问题) *注意事项* LAN0 /pipe理相同的子网 LAN0具有DHCP服务器/ LAN1严格静态 LAN0和LAN1在D-Link上作为LAN0 – 01 – 默认LAN1 – 02 – lan1 接口0(LAN0)在D-Link#1上,接口1(LAN1)在D-Link#2上 现在我的问题… 当为LAN1设置第三个界面时,我不知不觉地创build了一个广播风暴或者什么东西,并且几乎停止了所有的LAN1通信。 有一个小小的机会,可能会让生成树做些奇怪的事情(我的CIO在禁用界面和Guest之后这么说),但是我不认为这会造成这么大的问题。 设置是相当直接的,但由于我不能离开networking在这种情况下,我不能排除故障。 我不喜欢我无法修改HV主机中的物理网卡设置。 我注意到,我被强制使用LAN1禁用访客和适配器后,出现pipe理操作系统的VLAN身份validation。 是否需要启用隔离VLANstream量? 如果我错过了简单的事情,请原谅我对Hyper-V的无知 至于configuration方面,我删除了我在暴风雨期间configuration的东西,或者可能是生成树的疯狂,所以现在我所拥有的是不同的。 昨天configuration了什么,我“认为”工作看起来有点像这样,但2个额外的虚拟networking(都configuration相同,但有线有点不同。 3x虚拟networking – 全部外部1 – configuration为板载Broadcom LAN0连线至LAN0 Dlink1 1 – configuration至Intel端口1 LAN0连线至LAN0 Dlink1 1 – configuration至Intel端口2 LAN1连线至LAN1 […]
build立 Host B <–> Router <–> Host A 主机A:IP = 192.168.1.10,networking= 192.168.1.0/24,VLAN = 1,默认网关= 192.168.1.1(路由器) 主机B:IP = 192.168.2.10,networking= 192.168.2.0/24,VLAN = 20,默认网关= 192.168.2.1(路由器) 路由器:IP = 192.168.1.1,192.168.2.1,VLAN = 1,20 所有设备都连接到configuration了这些VLAN的交换机。 平testing 现在,如果我尝试从主机B ping主机A,则会发生以下情况:主机B发出ARP请求,查找路由器的MAC地址,并将Ping请求发送到路由器。 路由器也发出一个ARP请求来找出目的地主机A的MAC地址,并将这个Ping请求转发给主机A.没关系,这是可行的。 另一个子网的ARP请求? 现在奇怪的是:主机A当然试图回应Ping,但是(!)没有发出ARP请求来查找路由器的MAC地址,发送Ping-Reply将其转发给主机B,而不是直接发送请求主机B的MAC地址的ARP请求。 当然,这是行不通的,在本地子网上将不会有回应,因为广播域被限制在VLAN 1中。 主机A(192.168.1.10)上的ARPcaching如下所示: # arp -an ? (192.168.1.1) at 16:bc:aa:f2:bc:44 [ether] on eth0 ? (192.168.2.10) at <incomplete> on eth0 当我尝试删除奇怪的ARPparsing尝试,我得到这个消息和失败的ARP尝试仍然在caching: # […]