networking中VLAN的用途或目的是什么? 任何人都可以指出一个VLAN有用的场景吗?
我想知道如果我需要购买一个交换机是pipe理(VLAN支持)为我的configuration,或将更便宜的非托pipe交换机工作? 我有两个NICS的服务器。 第一个NIC是公共的,第二个NIC是私有的。 路由器将插入交换机端口1让我们说(公共)。 然后,服务器1公用端口插入交换机的端口2,并将1个专用端口插入到交换机的端口3中。 公共接口为:192.168.XX / 255.255.0.0,私有接口为10.0.XX / 255.255.0.0。 所以看起来像: ** SWITCH ** Port Device Network 1 Router/Firewall 192.168.XX 2 Server 1 Public 192.168.XX 3 Server 1 Private 10.0.XX 4 Server 2 Public 192.168.XX 5 Server 2 Private 10.0.XX 6 Server 3 Public 192.168.XX 7 Server 3 Private 10.0.XX 谢谢。
鉴于联盟的Telesis路由器与一个AlliedWare操作系统(2.9.1)我想禁止访问路由器的所有pipe理服务,除了一些子网(或者有什么是与其他厂商的“pipe理VLAN”交换机和路由器型号)。 我到目前为止所尝试的: 创build一个新的VLAN和一个合适的IP接口,将LOCAL IP设置到这个子网中,为IP接口创build一个IPfilter,并指定我的排除子网:它根本不能像预期那样工作,因为我可以从任何其他VLAN接口 – stream量显然没有经过我定义的filter设置 创build一个新的IPfilter集,并将其绑定到本地IP接口:这似乎不会影响任何types的stream量,filter集的计数器保持零包 设置远程安全pipe理员级别IP地址范围:这只会限制具有安全pipe理员权限级别的用户从除指定地址范围/子网之外的任何地方login的能力。 不幸的是,它不能阻止服务可用性(以及因此DoS容量)或以较低特权用户(例如“pipe理者”)login的能力 呼叫技术支持:不幸的是目前还没有解决办法 我还没有尝试过: 为路由器上定义的每个IP接口创build一个filter集,并排除对路由器pipe理IP的访问:我想减lessIPfilter引起的开销,因为路由器有时已经受到CPU限制。 为每个IP接口设置filter意味着每个stream量数据包都必须通过filter,从而消耗CPU周期。 如果通过任何方式可能,我想find一个不同的解决scheme。
我在服务器上有两组lxc contianers,并且出于安全原因希望隔离它们的networkingstream量。 我将使用端口转发,因此每个容器都有独立的IP。 我知道我必须把两个小组划分,并且打算给每个小组29个。 我也假设我需要把每个子网放在它自己的vlan上。 但是我不知道如何安排Veth#,网桥,vlan和主机网卡,以及有什么select? 理想情况下,我想将vlans限制在服务器上,以便主机网卡从未加标签的路由器/防火墙接收转发的数据包。 然后,当它们从主机NIC通过任何桥接器和vlan传递到容器上的Veth#时,它们被标记并且不标记。 简而言之,我只想将每个子网与另一个子网隔离,同时允许将数据包从路由器转发到每个子网上的任何容器。 如果有一个更简单的方法,我会很高兴听到它。 PS我正在使用Ubuntu服务器12.04与它的lxcnetworking库。 我没有单独安装libvirt。 任何信息或build议非常感谢。
我正在使用Proxmox 3,这是一个全新的安装。 对于那些知道,我使用OVH Vrack 1.5(以及以前的Vrack 1.0)。 我的服务器有两个接口eth0和eth1,我成功地在主机节点上configuration了私有和公有ip,并且能够ping通vlan上的所有服务器。 现在,我创build了一个OpenVZ容器,并在Proxmox GUI(简单venet)中分配了公共和私有IP。 假设我使用172.16.0.129作为内部networking。 一旦我在容器中login,我能够成功地ping所有我的私人networking,但我无法达到任何公共IP。 这是主机节点configuration: ifconfig dummy0 Link encap:Ethernet HWaddr 8a:ee:41:c1:ec:53 inet6 addr: fe80::84ed:41ff:fec1:ec53/64 Scope:Link UP BROADCAST RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:29 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:1950 (1.9 KiB) eth0 Link encap:Ethernet HWaddr 00:32:90:a7:43:48 […]
我们有许多运行CentOS或RHEL的XEN服务器。 他们运行的虚拟机都需要在自己的VLAN上,除了客户期望的以外,没有别的原因。 长话短说,但是,我现在不能改变这个。 我们还需要在接口上启用绑定。 所以为了适应这个,我们奴役了eth1和eth2以bond0。 然后我们创build一个名为bond0.VLANID的独立接口,其中VLANID对应于正确的vlan; 如ifcfg-bond0.204 DEVICE=bond0.204 BOOTPROTO=static ONBOOT=yes VLAN=yes BRIDGE=xenvlan204 通往XEN的桥梁 正如你将会看到的,我们最终必须将这一点与XEN连接起来,并且通过添加另一个名为xenvlan204的接口(在这个例子中)来实现。 的ifcfg-xenvlan204 DEVICE=xenvlan204 BOOTPROTO=none ONBOOT=yes TYPE=bridge XEN Vmconfiguration 最后在我们的每个虚拟机的XENconfiguration中添加 vif = [ "bridge=xenvlan204" ] 这就允许vm主机访问特定的vlan 问题 我们已经注意到这个设置的一些问题。 一个是我们目前手动创build接口。 这意味着如果我们添加更多的vlan启用的接口和网桥,我们通常必须重新启动xend,这是我不太热。 另外,较低级别的人员通过接口的数量使他们的头部融化,并且发生错误的风险较高。 其次,如果主机有多个vlan接口,则可能需要一段时间。 第三,pipe理方面还不够好 问题 有没有一种更好的更灵活的方法来做到这一点(尤其是在Xen 5.3,5.4和5.5版本的情况下,我们必须支持所有这三种方式),它们利用脚本或其他解决scheme来允许创build任意数量的接口一个虚拟机是实例化的。 您的build议和专业知识更受欢迎。
我有一个连接到有两个VLAN的networking服务提供商。 一个VLAN有互联网。 服务提供商已经定义了一个默认路由器,并为我分配了一个连接到该路由器的IP的子网供我使用。 另一个VLAN是到两个远程站点的连接。 (由于历史原因,这样设置。) 我真正想要做的是使用第二个VLAN上分配给我的IP。 所以。 我有什么理由不能: 取消标记Internet VLAN上的端口 取消标记远程站点VLAN上的端口 在这两个端口上closures生成树 用交叉电缆将它们连接在一起 除了它看起来错了吗? 问题的第二部分。 假设我有一个戴尔PowerConnect 6224,是否有一种方法可以在交换机内“正确”执行此操作,而不会出现错误的电缆?
我有一个SonicWALL NSA 2400configuration重置,我很难重新configuration它。 Sonicwall的WAN端口(X1)连接到互联网。 它的局域网端口(X0)连接到一台3Com 4500G交换机(3层启用),我连接(中继?)到另一台3Com 4500交换机。 交换机指定3个VLAN: VLAN1 – 数据VLAN – 如果有的话,不用太多 VLAN2 – 语音VLAN – VoIP电话连接在这里。 计算机通过手机连接到networking。 VLAN4094 – 路由VLAN – 似乎用于路由networkingstream量到互联网(?) 3Com 4500G 这是直接连接到Sonicwall NSA 2400的交换机 4500Gconfiguration # sysname ############# # dhcp relay server-group 0 ip 192.168.10.4 dhcp relay server-group 0 ip 192.168.11.10 # domain default enable system # local-server nas-ip 127.0.0.1 […]
在尝试通过vSwitch传递双标记时,遇到问题。 VMWare主机上的物理接口正在接收双标记stream量 – 外层标记区分多个交换机(镜像远程标记),而内层标记来自交换机自身的内部stream量。 如果镜像端口是访问端口或中继,则内部stream量可以被标记和不标记。 vSwitchconfiguration了多个networking(每个networking用于来自不同交换机的不同外部标签),而来宾机只能看到(单个)带标记的stream量。 问题是客机没有收到任何接收到的stream量(在phy)作为双重标记。 如果原始内部stream量未被标记(主机上的phy只收到1个标签),则来宾正确地看到该stream量。 我也做了一个testing,并在带有标签4095的vSwitch上configuration了一个networking,在这个networking中,任何标签stream量都应该通过(VGT)。 来宾机器再次接收从phy接收到的单个标记stream量,唯一的区别是来宾将其视为标记。 这certificate客户操作系统正确地看到标记的stream量,并导致我得出这个问题是在vSwitch。 那么是否有办法强制vSwitch忽略内部标签,并将stream量传递给客户端,而不pipe内部标签? 有问题的vSphere / vcenter / ESXi版本5.1.0。
我有一台linux d / b服务器(OEL 6.4,但是我相信Redhat 6是相当的),连接了juniper交换机。 我把这个绑定分成了多个vlan(bond0.11,… bond0.18),IP地址范围是192.168.XY / 22,这样d / b服务器实例可以分别监听这些地址,从而确保d / b访问是通过适当的VLAN成员来完成的,不同vlan上的项目不能在Juniper防火墙上没有明确规则的情况下连接到其他数据库。 当我把networking连接起来的时候,我有两个问题: 在每个债券的networking上,g / w被设置为0.0.0.0 我必须手动添加路由到正确的g / w为每个networking 所以例如,我有默认的路由: Destination GateWay Genmask … Iface 192.168.4.0 0.0.0.0 255.255.252.0 bond0.11 192.168.8.0 0.0.0.0 255.255.252.0 bond0.12 … etc 我必须手动将路由添加到每个networking的网关 route add -net 192.168.4.0 netmask 255.255.252.0 gw 192.168.4.1 route add -net 192.168.8.0 netmask 255.255.252.0 gw 192.168.8.1 我想要做的是在networking启动时自动设置X.1网关地址,但是我一直没有find适当的魔法来启用它。 […]