re0)igb[0123])我正在尝试复制我的 OpenWRT 路由器,它被设置为一个简单的路由器 + VLAN 2 => 不同的隔离子网,用于我不信任的各种 WiFi 设备。我的 WiFi 网桥运行两个不同的 SSID,其中一个标记流量 VLAN 2。我成功添加igb[0123]为单独的接口并将它们组合到BRIDGE0. 我10.0.1.1为BRIDGE0接口分配了一个 IP,启用了 DHCP,并且可以成功地将我的盒子用作简单的路由器。
但是,当我将 VLAN 2 的四个新虚拟接口(带有父接口)合并igb[0123]为一个BRIDGE1(IP 10.0.2.1) 时,我的硬连线 MacOS X 盒子上的 VLAN 2 接口10.0.2.20通过 DHCP 获取 IP,但无法路由任何内容。换句话说,我无法跨 WAN 甚至 ping 10.0.2.1。我创建了一个新的防火墙规则BRIDGE1来传递所有 IPV4 流量。根据 pfSense 文档,我还设置了一些系统可调参数 …
我们的网络上有以下 4 个 VLAN,通过 DHCP 连接到 Ubuntu Linux 机器。这个 Linux 也应该充当 L3 路由器。
VLAN 10 on interface eth1.10 with subnet 10.10.10.0/24
VLAN 20 on interface eth1.20 with subnet 10.10.20.0/24
VLAN 50 on interface eth1.50 with subnet 10.10.50.0/24
VLAN 100 on interface eth1.100 with subnet 10.10.100.0/24
这里是/etc/network/interfaces:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.10.169
netmask 255.255.255.0
gateway 192.168.10.1
auto eth1
iface eth1 inet static
address 10.10.0.1
network 10.10.0.0
netmask 255.255.255.0
broadcast 10.10.0.255 …我想向您询问有关透明防火墙构建的最佳实践建议。
我有 2 段网络和带有 2 个 10G 接口的 CentOS 服务。我想过滤/监控/限制/丢弃网段之间的流量。流量已被标记。我应该取消流量过滤标记并将其标记回来,还是 nftable 可以处理标记的流量?
现在方案看起来像:
PCs--| |--PCs
PCs--|--untag--[Switch]--tag--[Switch]--untag--|--PCs
PCs--| |--PCs
我想:
PCs--| |--PCs
PCs--|--untag--[Switch]--tag--**[Firewall]**--tag--[Switch]--untag--|--PCs
PCs--| |--PCs
一个非常基本的问题,但我的谷歌搜索未能找到答案......
目前 VLAN 配置如下所示:
vlan 1
name "DEFAULT_VLAN"
untagged 1
ip address 10.200.1.134 255.255.255.0
tagged 2,Trk1
no untagged 3-20,23-24
exit
vlan 2
name "VLAN2"
no ip address
tagged Trk1
exit
vlan 4
name "VLAN4"
no ip address
tagged Trk1
exit
vlan 3
name "VLAN3"
untagged 3-20,23-24
no ip address
tagged 2,Trk1
exit
我想做的是将端口 23-24 从 VLAN3 移到 VLAN2,但我不熟悉 Provurve CLI 语法(显然超出了“show config”命令!)
我遇到了一个存在丢包问题的 10.10.50.0/20 网络。他们运行所有非托管交换机,我想一个子网上的大量设备会导致问题。
我曾考虑将网络分解为单独的 VLAN,但第 3 层交换机的成本太高。我有哪些选择?他们使用所有非托管交换机和 NSA 2400 声波墙。
我在理解 NetGear 智能交换机 (GS724TS) 中的 VLAN 设置时遇到了一些困难。谁能帮我?
我的理解是:
端口和 PVIDS 是 1-1 映射的,但一个端口可能是多个 VLAN 的“成员”。我的问题是我似乎无法让这个功能做任何有用的事情......我有什么误解?
如果我分配以下内容:
Port PVID VLAN Membership
===============================
a 2 2, 10
b 3 3, 10
x 10 2, 3, 10
我希望流量在端口 a 和 x(以及 b 和 x)之间流动。假设 a 和 b 将彼此隔离,除非连接到 x 的设备本身在它们之间路由流量。在我的实验中,所有流量进来和离开时都没有标记(网络上没有其他支持 VLAN 的设备)。
我看到的是,除非 X 的 PVID 设置为 2,否则没有流量(准确地说是 DHCP 请求失败,来自已分配地址的计算机的 Web 请求超时)流动。当然,这对连接到端口的设备没有用湾
我错过了什么吗?如果端口仅根据传入和传出端口上匹配的 PVID 路由传入流量,那么端口位于多个 VLAN 中有什么意义?
编辑:我正在尝试确定我是否可以仅使用交换机在两个 VLAN 之间共享 Internet …
我被要求隔离我们网络中的测试环境以提高我们的安全性。
我们的结构包括:
为了完成这项任务,我计划执行以下操作:
我的计划是按照我的要求去做的最佳方式吗?
这是我以前从未考虑过的事情,希望得到专家的意见。我们日复一日地将 VLAN 用于各种网络任务。我的做法是,一般来说,如果某些东西支持 VLAN,那么该端口就会被中继,因为如果您需要在单个链接上做不止一件事的最轻微的机会,它就很有意义。
然而,当我思考这个问题时,我想知道这种思路是否会影响性能?影响可以忽略不计吗?
我对 VLAN 的功能有几个问题:
1) 当终端主机(例如我的笔记本电脑)连接到中继端口或接入端口时,它是否会看到 VLAN ID?
2) 作为 1 的后续,在正常的 VLAN 设置中,终端主机是对数据包进行标记还是仅由交换机进行标记?
3) 最后,接入端口是否曾经使用过 VLAN 标签,或者只有在通过中继链路发送流量时才需要这些标签。如果接入端口不使用 VLAN 标签,那么它为什么要处理数据包?
谢谢!
我有一台处于第 3 层模式的 Cisco SG-300-52 交换机和处于第 2 层模式的 3 x SG-300-52。目前,它们都使用链路聚合通过生成树循环连接在一起。我192.168.0.0/16在这个设置上运行子网。有一个 DHCP 服务器为该网络中的客户端分配 IP 地址。在这个 Layer2 网络中一切正常。
我想在整个网络中设置几个 VLAN,因为出于安全原因,我想将子网流量彼此分开。我的问题:
是否可以将 VLAN 彼此分开,但同时允许所有 VLAN 与服务器通信。此外,我希望有几台管理员计算机应该能够与任何 VLAN 中的任何设备进行通信。基本上我可以总结为:
VLAN10 - “管理”VLAN。包含服务器和管理员计算机 - 可以与网络中的任何设备通信。
VLAN 20 - “常规” VLAN。包含不应与任何其他 VLAN 通信的设备。
VLAN 30 - “常规” VLAN。包含不应与任何其他 VLAN 通信的设备。
此外,我想让一个 VLAN 具有非常严格的安全性,并且不允许该 VLAN 内的设备甚至相互通信 - 仅使用“管理”VLAN。
同时我想保持 DHCP 工作。
设置它是真的吗?