标签: vlan

我们计划将我们的生产网络从无 VLAN 配置迁移到标记 VLAN (802.1q) 配置。下图总结了规划的配置：

一个重要的细节是，这些主机中的很大一部分实际上是单个裸机机器上的虚拟机。事实上，唯一的物理机器将是 DB01、DB02、防火墙和交换机。所有其他机器将在单个主机上进行虚拟化。

一直以来的一个担忧是，这种方法很复杂（暗示过于复杂），而且 VLAN 只是提供了一种安全错觉，因为“VLAN 跳跃很容易”。

考虑到由于虚拟化将多个 VLAN 用于单个物理交换机端口，这是一个有效的问题吗？我将如何适当地设置我的 VLAN 以防止这种风险？

另外，我听说 VMWare ESX 有一种叫做“虚拟交换机”的东西。这是 VMWare 管理程序独有的吗？如果没有，它是否可用于 KVM（我计划选择的虚拟机管理程序）？。这是如何发挥作用的？

我们拥有大约 200 个节点的中型网络，目前正在用可堆叠或机箱式交换机替换旧的菊花链交换机。

现在，我们的网络通过子网分解：生产、管理、知识产权 (IP) 等，每个子网都在一个单独的子网上。创建 VLAN 而不是子网会更有益吗？

我们的总体目标是防止瓶颈、分离流量以确保安全，并更轻松地管理流量。

在我的工作中，我们正准备从通过慢速 VPN 连接连接的多个 LAN 过渡到通过光纤连接的单个 MAN，我有几个问题。

首先，我们计划让每个物理站点都有自己的 VLAN，但我们希望数据中心有一个 DHCP 服务器，将 IP 分发给每个 VLAN。我们几乎已经完成了 VLAN 标记结构，但我们希望我们的单个 DHCP 服务器为每个 VLAN 分配不同的 IP 子网。例如：

• VLAN 2 通过 10.0.4.x 获得 10.0.2.x
• VLAN 3 通过 10.0.7.x 等获得 10.0.5.x。

我们是一家基于 Active Directory 的商店，我们有一个处理 DHCP 的 Server 2003 机器（尽管我们不反对将其升级到 server 2008。）

这是可行的，还是我在做白日梦？

我希望 tcpdump 捕获 VLAN 1000 或 VLAN 501。man pcap-filter说：

可以多次使用 vlan [vlan_id] 表达式来过滤 VLAN 层次结构。每次使用该表达式都会将过滤器偏移量增加 4。

当我做：

tcpdump -vv -i eth1 \( vlan 1000 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \)

我得到捕获的数据包。

但是当我这样做时：

tcpdump -vv -i eth1 \( vlan 1000 or vlan 501 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \)

我没有收到任何数据包——我推测是因为手册页中描述的“增加 4”行为。

如何一次捕获多个 VLAN 上的流量？

我有一个很好的整形器，带有散列过滤，构建在 linux 桥上。简而言之，br0连接external和internal物理接口，VLAN 标记的数据包是“透明地”桥接的（我的意思是，那里没有 VLAN 接口）。

现在，不同的内核以不同的方式执行此操作。我可能对确切的内核版本范围有误，请原谅。谢谢。

2.6.26

因此，在 debian 中，2.6.26 及更高版本（我相信最高为 2.6.32）---这有效：

tc filter add dev internal protocol 802.1q parent 1:0 prio 100 \
    u32 ht 1:64 match ip dst 192.168.1.100 flowid 1:200

在这里，“内核”将“协议”字段中的两个字节与 0x8100 匹配，但将 ip 数据包的开头视为“零位置”（对不起，我的英语，如果我有点不清楚）。

2.6.32

同样，在 debian（我还没有构建 vanilla 内核）中，2.6.32-5 --- 这有效：

tc filter add dev internal protocol 802.1q parent 1:0 prio 100 \
    u32 ht 1:64 match ip dst 192.168.1.100 at 20 flowid 1:200

在这里，“内核”与协议匹配，但计算从该协议头开始的偏移量——我必须添加 4 个字节到偏移量（20，而不是 16 用于 …

我对此的结论是通过 EoIP 隧道传输 VLAN 中继并将其封装在硬件辅助的 IPSec 中。两对相当便宜的 Mikrotik RB1100AHx2 路由器被证明能够使 1 Gbps 连接饱和，同时增加不到 1 毫秒的延迟。

我想加密两个数据中心之间的流量。站点之间的通信作为标准提供商网桥 (s-vlan/802.1ad) 提供，以便我们的本地 vlan 标签 (c-vlan/802.1q) 保留在主干上。通信经过提供商网络中的几个第 2 层跃点。

两侧的边界交换机都是带有 MACSec 服务模块的 Catalyst 3750-X，但我认为 MACSec 是不可能的，因为我看不到任何方法可以确保中继上的交换机之间的 L2 平等，尽管这可能是可能的通过提供者桥。MPLS（使用 EoMPLS）肯定会允许此选项，但在这种情况下不可用。

无论哪种方式，始终可以更换设备以适应技术和拓扑选择。

我如何寻找可行的技术选项，以通过以太网运营商网络提供第 2 层点对点加密？

编辑：

总结一下我的一些发现：

• 提供多种硬件 L2 解决方案，起价为 60,000 美元（低延迟、低开销、高成本）

• 在许多情况下，MACSec 可以通过 Q-in-Q 或 EoIP 进行隧道传输。硬件起价 5,000 美元（中低延迟、中低开销、低成本）

• 提供多种硬件辅助 L3 解决方案，起价为 5,000 美元（高延迟、高开销、低成本）

假设我们有一个支持 VLAN 的 4 端口交换机。

1     2     3     4       

Port 1 is TAGGED to VLAN10` and `UNTAGGED to Default_VLAN(1)

Port 2 is UNTAGGED to VLAN10

Port 3 is UNTAGGED to VLAN10

为了这个问题，我们有一个数据包进入端口 1，它被标记为 VID 10。端口 1 保留了标记。

碰巧它需要将数据包发送到的设备连接到端口 2。交换机是否在将数据包从未标记端口发送到该 VID 时从数据包中删除了 VLAN 10 标记？

此外，假设这是一个 ICMP 数据包，并且端口 2 上的设备发送回复，该回复到达未标记的端口 2，并成为 VLAN 10 的一部分。当它离开端口 1 到其目标设备时，它是否会使用 VID 10 进行标记因为端口 1 被标记到那个 VID？（为了交换机正在执行第 3 层 IP 路由的问题，让我们也做一个大假设）。

我是一所学校的新网络管理员。我继承了一个由多个 Windows 服务器、大约 100 个 Windows 客户端、10 台打印机、1 个 Cisco 路由器、6 个 Cisco 交换机和 1 个 HP 交换机组成的环境。此外，我们正在使用 VoIP。

我们的大楼有四层。每个楼层的主机都分配到一个单独的 VLAN。一楼的办公室有自己的VLAN。所有交换机都在自己的 VLAN 上。IP 电话位于它们自己的 VLAN 中。并且服务器在他们自己的 VLAN 上。

对于网络上的主机数量，所有这些 VLAN 真的给我买什么吗？我是 VLAN 概念的新手，但对于这种环境来说似乎过于复杂。或者它是天才而我只是不明白？

我在不同部门运行带有交换机的学校网络。全部路由到中央交换机以访问服务器。

我想在不同的部门安装 WiFi 接入点，并在它进入 LAN 或 Internet 之前通过防火墙（一个 Untangle 盒，可以捕获流量，以提供身份验证）进行路由。

我知道 AP 连接到相关交换机上的端口需要设置为不同的 VLAN。我的问题是如何配置这些端口。哪些被标记了？哪些是未标记的？我显然不想中断正常的网络流量。

我说的对吗：

• 大部分端口应该是UNTAGGED VLAN 1吧？
• 那些连接了 WiFi AP 的应该是未标记的 VLAN 2（仅）
• 到中央交换机的上行链路应该是 TAGGED VLAN 1 和 TAGGED VLAN 2
• 来自外围交换机的中央交换机的传入端口也应该是 TAGGED VLAN 1 和 TAGGED VLAN 2
• 将有两条到防火墙的链接（每个链接都在自己的 NIC 上），一个未标记的 VLAN 1（用于正常的互联网访问流量）和一个未标记的 VLAN 2（用于强制门户身份验证）。

这确实意味着所有无线流量都将通过单个 NIC 路由，这也会增加防火墙的工作负载。在这个阶段，我不关心那个负载。

我一直在使用接口绑定、VLAN 和桥接接口的组合来为 xen domU 提供冗余和不同的逻辑网络层。

这个设置运行良好，但是我有点不确定这些接口上的不同设置如何影响彼此。为了说明，这是我在典型 dom0 上的设置：

                 /- vlan10 -- br10
eth0 -\         /
       > bond0 <--- vlan20 -- br20
eth1 -/         \
                 \- vlan30 -- br30

考虑到绑定、VLAN 和桥接接口是逻辑接口而不是物理接口，如果物理（eth0、eth1）接口具有不同的 MTU 集，那么在这些接口上设置 MTU 是否有任何影响？