服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在什么情况下untagAll(访问)VLAN端口模式有用?
Intereting Posts
known_hosts是否支持评论? 使用SQL从ForeFront防火墙日志转换IP地址格式 交换机 – 我需要生成树吗? 将2个networking与一个Windows Server 2008 R2组合在一起 htcacheclean似乎并没有清理caching 如何恢复大规模所有权的变化? x500和LegacyExchangeDN 为什么Windows Server 2012上的IIS不能访问系统环境variables? Web代理如何工作? pipe理Windows Server 2012并pipe理Hyper-V VM(同一物理网卡) httpd访问日志,iplogin是颠倒代理如何find实际的代理 从一台计算机允许站点和服务器访问? NGINX代理服务器与caching作为备份 meteor服务器unicode通道问题 AWS,Nginx和Django:默认服务器来防止虚假主机string

在什么情况下untagAll(访问)VLAN端口模式有用?

在我的Avaya ERS2550T交换机上,每个端口都可以设置为本地/主要VLAN,我可以分配其他次要(取决于模式)与此端口关联的VLAN。

我可以configuration端口为:

  • tagAll(中继线)
  • untagAll(访问)
  • tagPvidOnly
  • untagPvidOnly

我在不同的交换机上看到了类似的端口选项。 据我所知,VLAN用于将冲突域分隔到不同的子网中。

我不明白的是,如果我们有VLAN 10,20和30,这是他们自己的IP子网,我们为什么要在端口上取消所有这些,因为这会在不同的子网上产生冲突物理端口。

所以总之,为什么untagAll(访问)模式存在,在什么情况下将多个VLAN分配给在此模式下运行的端口是有用的?

这个“访问”端口的定义看起来很不寻常 – 在许多其他设备中,将端口模式设置为“访问”意味着该端口可以是单个VLAN的成员。 其他一些设备有一个“混合”端口模式,更普遍 – 混合端口可以是多个VLAN的成员,并且对于每个VLAN,您可以select来自该VLAN的输出帧是标记还是不标记。

在特殊情况下,在端口上使用多个未标记VLAN可能会有用。 假设你有一台服务器和三组客户机在同一个IP子网中, 但是,每组客户端只能与服务器和同一组中的其他客户端进行通信,但不能与其他组的客户端进行通信。 然后您可以在交换机上configurationVLAN,如下所示:

  • 客户端组1的端口 – VLAN 10,40; PVID = 10,untagAll;
  • 客户端组2的端口 – VLAN 20,40; PVID = 20,untagAll;
  • 客户端组3的端口 – VLAN 30,40; PVID = 30,untagAll;
  • 服务器的端口 – VLAN 10,20,30,40; PVID = 40,untagAll。

在这种情况下,服务器传输的帧将获得VLAN ID 40,并且可以到达所有客户端; 然而,来自组1的客户端发送的帧将获得VLAN ID 10,并且可以仅到达组1中的服务器和其他客户端,对于其他组也是如此。

这种configuration本身并不能提供客户端组之间的全面保护 – 即使客户端无法发送客户端从另一个组接收到的帧,该VLANconfiguration也无法防止其欺骗来自其他组的客户端的IP。 其他交换机function(例如,ACL或DHCP监听)可用于防止这种IP欺骗。

在这种configuration中,另一个潜在的漏洞是交换机在端口上收到标记帧时的行为 – 例如,如果客户端发送标记为VLAN ID 40的帧,交换机将根据标记来处理这个帧,该帧可以接触到其他群体的客户。 因此,需要筛选端口上所有标记帧的选项才能真正完成组隔离。

在特殊情况下,每个客户端都在自己的组中,使用某些交换机上的“端口隔离”function可以实现相同的结果,但是,组中有多个客户端的更复杂的configuration需要单独的VLAN ID。