我正在给eth0添加一个标记的VLAN: #ip link add link eth0 name eth0.20 type vlan id 20 这导致: #ip link 2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 9c:c7:a6:95:65:1c brd ff:ff:ff:ff:ff:ff …. 12: eth0.20@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 9c:c7:a6:95:65:1c brd ff:ff:ff:ff:ff:ff #ip -d link show eth0.20 70: eth0.20@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc […]
我们计划将我们的生产networking从无VLANconfiguration迁移到标记VLAN(802.1q)configuration。 该图总结了计划的configuration: 一个重要的细节是,这些主机中的大部分实际上是单个裸机上的虚拟机。 实际上,唯一的物理机器是DB01,DB02,防火墙和交换机。 所有其他机器将在单个主机上虚拟化。 一个令人担忧的问题是,这种方法是复杂的( 过于复杂的暗示),并且由于“VLAN跳变很容易”,VLAN仅仅提供安全的错觉。 考虑到由于虚拟化而将多个VLAN用于单个物理交换机端口,这是否是一个有效的问题? 我如何正确设置我的VLAN来防止这种风险? 另外,我听说VMWare ESX有一些名为“虚拟交换机”的东西。 这对于VMWarepipe理程序是独一无二的吗? 如果没有,是否可以使用KVM(我select的计划pipe理程序)? 这是如何发挥作用的?
背景 我有一个Windows DHCP服务器(Server 2008 R2)分发几个范围的地址。 其中一个范围是针对一些Mitel IP电话。 手机configuration为使用dhcp选项125获取configuration信息。 当电话启动时,它不知道使用哪个vlan,所以它只是得到它所连接的任何端口的默认(无标记)vlan。 dhcp服务器给它一个包含选项125信息的响应,手机能够从这个响应中读出它应该使用的vlan。 电话然后释放其原始地址,并使用正确的vlan标签请求新的DHCP租约。 手机也通常有电脑连接到通过端口。 来自计算机的数据包不会被标记,因此PC将保留在端口的原始(未标记)vlan上。 这已经为我们工作了多年。 问题和症状 在过去几个星期的某个地方,事情发生了变化,我不知道是什么。 只要不重新启动,手机将继续工作,这意味着必须正确处理DHCP更新请求。 连接到某些交换机的电话甚至可以在重新启动后继续运行。 但是,连接到其他交换机的电话在重启时将无法完成该过程。 我们所有的手机都使用由UPS备份的PoE,因此任何重新启动都已经很长时间了。 这意味着我不知道问题何时出现。 我所知道的是一个电话昨天重新启动失败,今天在排除故障,我们重置该开关柜。 现在没有任何交换机上的电话正在工作(幸好它仍然是一个小数字)。 我也知道,一月底的时候,我们把一个受伤的用户的电话搬到了一楼的临时工作区。 当我看到一个电话启动,我可以看到它成功地获得第一个地址。 然后,它成功读取选项125信息,设置正确的vlan标记,并释放原始IP租约。 它甚至能够从服务器接收和接受正确vlan上的报价 。 但是,这是停止的地方。 手机在屏幕上显示“ DHCP: Offer 2 ACC ”信息,但Windows DHCP服务器没有logging租约,手机也不能继续工作。 我只能猜测,DHCP REQUEST数据包永远不会到达Windows服务器,所以手机正在等待来自Windows的最终确认,可以继续。 解决方法 我终于能够再次获得电话工作。 要做到这一点,我必须先断开电脑。 然后,我把电话的交换机端口设置为在电话vlan上不加标签,在PC vlan上没有成员资格。 手机现在将正确重启。 此时,我可以将交换机端口configuration放回原来的位置,只要没有人尝试拨打该号码,因为我正在重置端口,手机也不会错过任何节拍。 然后我可以重新连接电脑。 显然,这不是一个理想的过程,但是因为手机重新启动,所以很less有人能够使用它来让人们重新工作,直到find根本原因。 现在办公室已经closures了一周,所以这个问题实际上会被允许在周末坐下来(我没有个人办公室的钥匙)。 我固定的这个电话是在服务器房间的服务电话,直接连接到我们的核心交换机。 有可能这个问题是核心交换机上的路由或处理标签的问题,这样,在其他交换机首先通过(由其他交换机标记)分组的远程办公室,该解决方法将不会有效,但是我会很惊讶如果发生这种情况,我知道它必须正确处理DHCP更新和实际的电话交谈。 一个麻烦就是离开PC vlan上标记的端口意味着电话代替失败,并显示消息“ DHCP: Offer 1 […]
目前,我们正在运行800多台个人电脑和20多台服务器的networking,networking基础架构与Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop一致。 所有运行3Com设备(1)。 我们有4个区域的3个区域开关(A,B,C,D与核心合并),每个区域开关将连接10到20个本地开关。 还有一个备份核心交换机,主要核心交换机是较less的供电,但连接。 我们也有一个IP电话系统。 电脑/服务器和智能手机的IP地址范围是10.x,电话范围是192.168.x。 除了计算机实验室之外,计算机通常不需要彼此交谈,但是他们确实需要能够与我们的大多数服务器(AD,DNS,Exchange,文件存储等)交谈。 当我们build立起来的时候,我们决定要有3个VLAN,一个用于交换机和计算机,一个用于电话,一个用于服务器复制(这是违反3Com工程师的build议)。 从这一点(2),networking已经稳定运行,但现在我们已经开始升级到SAN和虚拟化环境。 现在把这个新的基础设施分成单独的VLAN是有意义的,而且重新设置我们的VLAN如何设置似乎是合理的。 现在提出的VLAN应该build立在一个房间的基础上,即具有5个以上PC的计算机实验室应该是它自己的VLAN,但是如果我们遵循这个模型,我们将至less看到25个“新”VLANS ,加上用于SAN /虚拟服务器的VLANS。 在我看来,会增加过多的pipe理,尽pipe我很高兴被certificate是错误的。 什么是最好的做法似乎表明? 是否有一定数量的PCbuild议不要在VLAN中越过/下面。 (1)3Com交换机(3870和8800)在VLAN之间路由的方式与其他方式不同,不需要单独的路由器,因为它们是第3层。 (2)我们有时会得到很高的丢弃率或STP的变化,而3Com Network Director在时间报告交换机负载过低,响应速度慢,或者是一个失败的交换机pipe理着networking(所有的电话和计算机VLAN! ,曾经,不知道为什么)
根据标题,为什么人们告诉我不要为安全目的使用VLAN? 我有一个networking,有一个VLAN的几个。 这两个VLAN之间有一个防火墙。 我正在使用HP Procurve交换机,并确保交换机到交换机的链路只接受标记的帧,并且主机端口不接受标记的帧(它们不是“VLAN感知”)。 我也确定中继链路的本地VLAN(PVID)与2个主机VLAN中的任何一个不相同。 我也启用了“Ingress Filtering”。 此外,我确定主机端口只是单个VLAN的成员,与相应端口的PVID相同。 唯一的多个VLAN成员端口是中继端口。 有人可以向我解释为什么上述不安全? 我相信我已经解决了双重标签问题。 谢谢 更新:两个开关都是Hp Procurve 1800-24G
假设您通过直接电缆将具有VLANfunction的networking交换机的中继端口连接到(无法使用VLAN的)客户级networking交换机。 现在,以前的交换机发送后面的交换机一个802.1Q标记的以太网帧。 后来的交换机应该做什么? 放下框架? 转发框架? 未定义的行为? 如果行为不明确,最可能的是什么? 编辑:谢谢你的答案。 总而言之,消费者转换的行为取决于: 在EtherType字段中如何处理带有0x8100帧1 它如何处理巨型帧或有效载荷大于1500字节的帧 维基百科有一个很好的比较未标记和标记的以太网帧: 有报道说一些消费级交换机通过VLAN标记的帧就好了。 1或更精确地说,其中EtherType字段预期用于非标记帧
有趣的是,在search“OpenVPN vs IPSec”时,我还没有find任何好的search结果。 所以在这里我的问题: 我需要通过不可信networkingbuild立一个专用局域网。 而据我所知,这两种方法似乎都是有效的。 但是我不知道哪一个更好。 如果您能列出两种方法的专业和客户的意见,或许您的build议和经验使用什么,我将非常感激。 更新(关于评论/问题): 在我的具体情况下,目标是让任意数量的服务器(使用静态IP)彼此透明地连接。 但是,像dynamicIP这样的“dynamic客户”(dynamicIP)的一小部分也应该能够连接起来。 主要目标是拥有一个“透明的安全networking”,运行在不受信任的networking之上。 我是一个新手,所以我不知道如何正确解释“1:1点对点连接”=>解决scheme应该支持广播和所有的东西,所以它是一个function齐全的networking。
什么是VLAN? 他们解决了什么问题? 我正在帮助一个朋友学习基本的networking,因为他只是成为一家小公司的唯一系统pipe理员。 我一直指着他关于各种networking主题的Serverfault上的各种问题/答案,并注意到一个缺口 – 似乎没有答案,从第一原则解释什么VLAN是什么。 本着“ 子网划分工作如何”的精神,我认为在这里有一个规范的答案是有用的。 答案中包含一些潜在的主题: 什么是VLAN? 他们打算解决什么问题? VLAN之前是如何工作的? VLAN如何与子网相关联? 什么是SVI? 什么是中继端口和接入端口? 什么是VTP? 编辑:要清楚,我已经知道VLAN是如何工作的 – 我只是认为Serverfault应该有一个涵盖这些问题的答案。 时间允许的话,我也会提交自己的答案。