标签: vlan

我们的网络是一个扁平的 L2。

在某些时候我们需要（我想这样做，但这不是我的责任）开始对它进行 VLAN 关闭，因为我们显然会有很多广播聊天正在进行，而且最近我们的一个防火墙已经到达了它的 arp 表限制（可以说防火墙的 arp 表限制很低，但我们就是这样）。

那么，您如何想出一种方法来将您的 LAN 连接到 VLAN？

在我们的例子中，我们是一个站点，但有一个小镇的大小（我猜想是校园）。

我们有一个相当典型的集线器/辐条 LAN，其中有几个核心交换机，边缘交换机连接到这些交换机上，有些是直接连接的，有些是通过光纤到铜缆转换器连接的。

我们的边缘套件混合了 Procurve、Prosafes、一些较旧的 Baystacks 等。

我们的大多数客户端都在 DHCP 上，少数在静态 IP 上，但我们可以处理这些，联网打印机也在静态 IP 上。

在我看来，基于校园物理位置的 VLAN 有很多选择，即建筑物 A 和 B 中的任何边缘交换机都使用 VLAN xx，或者可能基于其他因素。

简单地说，我以前没有这样做过，很容易潜入并快速做事然后后悔。

请问你会怎么做？

我目前正在为埃塞俄比亚的一所大学规划大型网络基础设施，并希望人们对我的规划发表评论。请记住，我以前从未做过网络。校园占地80栋，包括实验室、行政、教学和宿舍。所有建筑物都将配备有线、无线、VoIP 和打印机。每栋楼有 3 层楼，由教职员工和学生计算机组成。

数据中心将提供SAN存储和软件PBX。部署是Win2k8。我在整个安装过程中都使用 Cisco 设备，包括 Cisco 6500 L3 核心交换机，通过 1Gbps 或 10Gbps 光纤连接（MM 和 SM）连接到 5 个通信室。每个通信室还有一台 Cisco 6500 L3 交换机。每个建筑物都使用 1Gbps 光纤连接 (MM) 连接到最近的通信室。每个建筑物都将有一个 Cisco 2960 L2 交换机，上行链路连接到 1 层和 2 层。

我正在使用 vlan 来分隔子网，如下所示：

建筑物 1 -> VLAN 10 -> 有线计算机 -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0

建筑物 1 -> VLAN 11 -> 学生计算机 -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0

建筑物 1 -> VLAN 12 -> 无线计算机 -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0

建筑物 1 -> …

我正在 ubuntu lucid x64 盒子上使用 kvm 0.14.1。我已经配置了 3 个 vlan，一个是到主机 eth1 的桥接。其他只是主机。

我想开始玩snort。有没有办法将“镜像”端口配置到/到 kvm 虚拟机的其中一个 vlan 中？

提前致谢。

刚开始时，我是一名思科人，被安排到 HP 项目中。

从外到内的基本拓扑概述：

• ASA 5505 具有到 2610 交换机的两个以太网连接。
• 然后，此交换机将中继*到一个 2626 交换机，在它们之间传递 vlan 1（未标记）和 100（标记）。(* - Cisco 对中继的定义，而不是 HP 对中继的定义)
• 出于测试目的，我在两个 VLAN 的每个交换机上创建了 SVI。

我无法让 vlan 100 通过此链接。我还为连接到交换机的 AP 配置了中继，无法在 AP 上 ping vlan 100 BVI，但可以访问 vlan 1 BVI。

• 接入层 2626 上的端口 25 物理连接到分布层 2610 的端口 A1。
• STP 根本没有在任何交换机上运行（这不是我的网络，我无法更改，也没有设计此网络）

分销软件 2610：

MP1-0# show run
ip default-gateway 10.100.100.100
vlan 1
name "DATA"
untagged 1-22,24-A1,B1
ip address 10.100.100.6 255.255.255.0
no untagged 23
exit
vlan 100
name "GUEST"
untagged 23
tagged 24-A1
ip …

有没有办法在不使用 vconfig 的情况下创建 vlan 接口？我只有 KVM 控制台和中继端口连接到机器，所以我无法使用 apt，因为我没有互联网访问权限。我在 /etc/network/interfaces 中定义了 vlan，但它不起作用，因为没有创建 vlan 接口。谢谢。

寻找关于设备（或我猜的设备）的建议，以便为我的家庭网络执行路由器/防火墙/vpn/vlan/nat 功能。现在，我正在用 IPCop 盒来做这件事，但我更喜欢少一点自己动手。

要求：

1. VLAN 对流量进行分段（该死的孩子）
2. 传统的防火墙/NAT 功能，如 linksys 盒
3. VPN 到家功能，这样我就可以通过安全管道在路上使用我的笔记本电脑
4. 从 Windows/Macs/Linux 机器到家的 VPN

我正在考虑比典型的蓝色盒子更进一步的东西（或者它们是否足够？）。

我正在寻找一种工具（桌面或基于 Web 的），我们可以使用它来规划使用 VLAN 的网络拓扑。能够定义交换机、将 VLAN 映射到端口并允许用于映射和查看 VLAN 布局的东西。

我不期待任何类型的自动管理，因此供应商中立的东西将是完美的。只是一种在多个交换机上密切关注 VLAN 设置的方法。

是否可以在现有 vlan 接口之上设置绑定（活动/备份）？

假设以下场景：

• 带有 2 个 NIC 连接到单独交换机的 Linux 服务器
• iSCSI 启动器 + MPIO 以利用两个 NIC（冗余 + 吞吐量）
  • 每条路径通过单独的 VLAN（例如 VLAN 101+102）
• 现在我需要另一个 VLAN（例如 100）连接到应该使用 NIC1 的服务器，但如果 NIC1 失去链接，则故障转移到另一个

像这样的东西：

    eth0 --- eth0.101 -- iSCSI IP 1
            \ eth0.100 ------------------- 
                                          \__bond100——IP
    eth1 --- eth0.102 -- iSCSI IP 2 /
            \ eth1.100 -------------------

恐怕这不起作用，因为绑定驱动程序没有从 vlan-interface 获取链路层信息...

任何其他想法如何解决这个问题？

这是一个完全假设的问题，我现在不在这种情况下。

如果您运行多租户网络并且拥有超过 4096 个客户，您的 VLAN 拓扑和路由会发生什么变化？

您是否必须在最高级别开始将您的网络“分区”到新的路由器/交换机树中，然后重新开始使用 VLAN 编号？

我正在将我的网络从让每个设备都在平面网络上更改为使用 VLans。我的问题是我们在这个网络上已经有很多设备（192.168.20.0/24）。从理论上讲，我读到每个 Vlan 必须是不同的子网，然后我需要在我的 Cisco 路由器上配置虚拟接口以适应 vlan 间路由。

1) 如何在网络上已有的设备上以最短的停机时间对该网络进行分段？

2）我可以只创建 Vlan 并将所有这些 Vlan 留在同一个第 3 层网络中，以便它们可以离开网络（我不太关心 Vlan 间路由），或者我必须创建子网，这意味着重新配置现有的设备（我不想要的东西）。