我的 cisco 交换机上有 15 个 VLAN,并且在核心交换机和 vcenter 之间创建了一条中继。还为每个vlan做了一个端口组。我想在 kerio 上拥有每个 VLAN,但我无法为虚拟机分配超过 10 个接口(kerio 控制)。我该如何解决这个问题?
我在 vSS 上通过 id 4095 创建了一个端口组,并将其分配给 kerio 控件,但在 kerio 上我无法将 VLAN 添加到此接口(该选项对此特定接口禁用)
我遇到了一个如下所示的网络:
为了使服务器能够访问公共互联网和内部网络(但不依赖于内部路由器),将路由器的一个端口插回交换机并标记另一个 VLAN,该 VLAN 与公共 VLAN 一起传递到服务器服务器。
考虑内部网络上的恒定带宽使用量约为 500Mbps。该流量是否不断注入回标记为 VLAN 200 的端口 4?是否仅仅因为某些机器在内部网络上传输数据而限制 VLAN 101 的可用带宽?如果是,如果服务器甚至没有为该标记上的 VLAN 标记配置接口,也会发生这种情况吗?
该交换机是廉价的 TL-SG108E,配置如图所示。路由器是运行 OpenWrt 的 GL-MT6000,可将所有 LAN 端口桥接到单个br-lan接口
谢谢。
是否有仅收集 vlan 标记 id 的 tcpdump 表达式?
我有一个接口,有多个 VLAN 标记的流量流过它。我可以编写查找 IP 对或特定 VLAN 的表达式,但我只需要 VLAN 标签列表。
谢谢,杰
附言。抱歉首先错误地将其发布在 Stack Overflow 中
我试图将家庭网络中的设备与 2 个不同的 VLAN 隔离:家庭和物联网。我有以下网络设备:
- 1 个电缆调制解调器
- 1 个 OPNsense 路由器,带 WAN、LAN 和 OPT1 端口
- 1 台 Netgear MS108EUP 网管交换机,带 8 个端口
- 1 个 Netgear WAX630E 支持 VLAN 的接入点
这是有线连接的布局方式:
- OPNsense 的 WAN 端口连接到电缆调制解调器。
- 交换机的端口 1 连接到 Netgear AP。
- 交换机的端口 2 连接到 OPNsense OPT1 端口。
- 交换机的端口 3 连接到 OPNsense LAN 端口。
- 交换机的端口 4 连接到 Windows PC。
- 交换机的端口 5 连接到有线 IP 摄像机。
在 OPNsense 中,我创建了以下 VLAN:
- vlan02[HOME],标签 2,分配给 OPT1 端口。
- vlan03[IOT],标签 3,分配给 OPT1 端口。
在 LAN 和两个 VLAN 中启用 DHCP,如下:
局域网:
- 子网:192.168.1.0
- 网关:192.168.1.1
- 范围:192.168.1.100 - 192.168.1.254
家:
- 子网:192.168.2.0
- 网关:192.168.2.1
- 范围:192.168.2.100 - 192.168.2.254
物联网:
- 子网:192.168.3.0
- 网关:192.168.3.1
- 范围:192.168.3.100 - 192.168.3.254
在 OPNsense 中,我创建了防火墙规则以允许:
- LAN:访问互联网和所有 VLAN。
- HOME:访问互联网和IOT VLAN。
- 物联网:仅访问互联网。
在交换机中,我使用高级 802.1Q VLAN 配置了 VLAN 和端口,如下所示:
- VLAN ID 1(默认):所有端口均未标记。
- VLAN ID 2 (HOME):端口 1 和 2 已标记。所有其他人均排除在外。
- VLAN ID 3 (IOT):端口 1 和 2 已标记。端口 5 未标记。所有其他人均被排除在外。
在交换机的PVID表中,除了端口5的ID为3之外,所有端口的ID都是1。
在接入点中,我创建了 3 个 SSID:
SSID1:
- 姓名: 管理员
- VLAN ID:1
SSID2:
- 名称: 家
- VLAN ID:2
SSID3:
- 名称:物联网
- VLAN ID:3
我连接了一台 Windows 笔记本电脑到 SSID2。我在 SSID3 上连接了一个 Wi-Fi IP 摄像机。
所有这些似乎在大多数情况下都运行良好。所有设备都被分配到各自的 VLAN,并具有正确的 DHCP 分配,并且它们都可以访问互联网。此外,有线和 Wi-Fi 设备(在防火墙规则允许的情况下)之间的任何 VLAN 间通信都可以正常工作。例如,我可以从家用 Wi-fi 笔记本电脑连接到 IOT 有线 IP 摄像头,同样我也可以从 LAN 有线 PC 桌面连接到 IOT Wi-Fi 摄像头。VLAN 间有线到有线通信也可以正常工作(同样,在防火墙规则允许的情况下)。
仅当我尝试在不同 VLAN 中的 Wi-Fi 设备之间进行连接时,才会出现此问题。如果我尝试从 Wi-Fi HOME 笔记本电脑访问 Wi-fi IOT 摄像头,则无法建立连接。
为了解决该问题,我将运行 Nginx Web 服务器的 Linux 笔记本电脑连接到 Wi-Fi SSID3(IOT VLAN)。在这台笔记本电脑中,我运行 tcpstat 来显示传入和传出连接。当我尝试从 SSID2(家庭 VLAN)Windows 笔记本电脑访问 Linux 笔记本电脑中托管的主页时,该页面永远不会加载。tcpstat 显示来自 Windows 笔记本电脑的传入连接,但它停留在 SYN_RECV 状态并且永远不会达到 ESTABLISHED。从有线 Windows PC 访问该页面效果很好。
在这一点上,我很困惑为什么当两台设备都是 Wi-Fi 时会出现这种看似 VLAN 间路由的问题,但当至少一台设备是有线的时它们却可以正常工作。非常感谢这里的任何提示或见解。
PS:AP 和交换机都运行 Netgear 的最新固件版本。
我们正在两个位置之间建立一个 ipSec VPN。有多种加密方法、算法和预共享密钥可供设置。Network1 将有权访问 Network2 上的特定 VLAN,反之亦然。
问题是:第
1 面是否应该配置与第 2 面公布的完全相同的目标 VLAN?
或者,例如,第 2 侧可以通告比第 1 侧配置的实际目标更多的 VLAN?
(对不起我的基本问题,但我没有人问)
在同一网络内转发/传递 VLAN 数据包的路由器/智能交换机是否需要从该给定 VLAN 分配 IP 来转发数据包(通过 TRUNK 端口),或者它们只需要来自管理 VLAN 的一个 IP,以便管理员可以从该单个 VLAN 访问它们?
考虑以下:
千兆交换机端口 16 配置为具有 VLAN10 (192.168.10.x) 的本机网络,并标记为 VLAN20 (192.168.20.x) 和 VLAN30。此端口已插入 proxmox 机器。
Proxmox 主机将获得 192.168.10.x IP 地址,我将在 proxmox 内创建 2 个容器和 1 个 VM,所有 CT/VM 都设置为 VLAN20,所以总结一下。
第一个容器安装了 Frigate (NVR) -> 192.168.20.xx
第二个容器安装了 qbittorrent -> 192.168.20.xx
VM 安装了 Openmediavault (NAS) -> 192.168.20.xx
所有这些 Container 和 VM 将共享安装在 proxmox 机器内的同一个 SSD。现在我的问题是
- 如果我使用 qbittorrent 将下载的文件直接保存到 Openmediavault,我是否仅限于千兆速度?
- 与问题1类似。如果我使用Frigate NVR将录制的视频直接保存到Openmediavault,流量会离开机器到物理交换机并返回同一条物理电缆吗?
- 如果我将文件从 proxmox 主机传输到容器/虚拟机之一,流量会离开机器到物理交换机吗?由于 Proxmox 和容器/VM 具有不同的 VLAN/子网。
我的服务 freeradius 和 openldap 都在同一台服务器上。模式 Freeradius 被加载到 openldap 中。
我将radiusProfileDN用户配置为链接到组。在这个组中,我已经radiusReplyAttribute设置了vlan的信息。
radtest当我在本地(或从远程且已通过身份验证的客户端)使用该命令时,我收到一个包含 vlan 信息的 Access-Accept 数据包(半径协议)。Wireshark 捕获显示数据包中的 vlan 信息。
LDAP + Radius LDAP + Radius ----- Switch ----- Client
<-------- <-----------------------------
--------> or ----------------------------->
*vlan info* *vlan info*
- 当我使用该工具
wpa_supplicant(peap-gtc 协议)时,我成功进行了身份验证,但客户端端口未添加到 vlan 组。Wireshark 捕获显示交换机和 Radius 服务器之间交换的 Access-Accept 数据包中没有 vlan 信息。
LDAP + Radius ----- Switch ----- Client
<------------------ <----------
------------------> ---------->
*no vlan info* wpa_supplicant
从 openldap 的日志中,使用 radtest 或 wpa_supplicant 进行身份验证的步骤相同:
- 'mygroup' 上的 radiusReplyAttribute 允许读取访问权限
- 结果在缓存中(radiusReplyAttribute)
- send_search_entry 退出
- send_ldap_result & send_ldap_response
在 ldap 服务器中,我尝试将 vlan 信息直接放在用户中,或者放在已经为 vlan 信息制作的“变量”中,但我得到了相同的结果。
你知道我的问题来自哪里吗?它似乎与 wpa_supplicant 使用不同的协议有关,而不是 radtest 命令和 freeradius (也许我错过了配置中的一行)?
我正在尝试使用 vlan 上的静态 ip 设置 NetBSD 安装。路由器设置为只允许其他 vlan 访问此 vlan,反之则不允许。因此,NetBSD 安装应该能够 ping 外部世界并响应其他 vlan 上的设备的 ping。这与Unable to reach host with static ip and gateway is vlan - Debian 10只是不同的操作系统。我能够让那台机器使用相同的网关/服务器/网络掩码值。只是一个快速的总结......
路由器配置:
IP: 192.168.2.1
Netmask: 255.255.255.0
DHCP range: 192.168.2.2 - 192.168.2.10
这个特定的 VLAN 配置(VLAN 3):
VLAN IP: 192.168.0.1
Netmask: 255.255.255.0
DHCP range: 192.168.0.10 - 192.168.0.254
NetBSD/服务器配置:地址 192.168.0.2 网络掩码:255.255.255.0 网关:192.168.0.1
vlan 的手册页说要执行以下设置(适用于当前设置):
ifconfig vlan3 create
ifconfig vlan3 vlan 3 vlanif bce0
但是,我无法 ping 外部世界,也无法响应来自其他 vlan 的 ping。然后我尝试这样做:
create
vlan 3 vlanif bce0
并重新启动,但这产生了相同的结果。我通过将 192.168.0.2 分配给 vlan3ifconfig vlan3 192.168.0.2 netmask 255.255.255.0得到了相同的结果。
我不确定是否缺少其他 vlan 干扰所以我创建了 ifconfig.vlan1 - ifconfig.vlan3 然后重新启动:
/etc/ifconfig.vlan1:
create
vlan 1 vlanif bce0 up
/etc/ifconfig.vlan2:
create
vlan 2 vlanif bce0 up
/etc/ifconfig.vlan3:
create
vlan 3 vlanif bce0 up
但我得到了同样的结果。我给vlan3分配了192.168.0.2,结果还是一样。
我尝试创建一个 tap ( ifconfig tap0 create) 然后分配它 192.168.0.2 然后创建 vlan3 (我事先销毁了 vlan3 )然后做ifconfig vlan 3 vlanif tap up,但结果是一样的。
如果我回到 /etc/ifconfig.vlan1-3 文件,没有分配给任何 vlan 接口的 ip tcpdump -vv -e vlan,然后从其他 vlan ping 192.168.0.2,这是一个片段:
05:35:06.932765 90:a7:c1:b6:37:44 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 60: vlan 3, p 0, ethertype ARP (0x0806), Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.2 tell 192.168.0.1, length 42
05:35:07.932679 90:a7:c1:b6:37:44 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 60: vlan 3, p 0, ethertype ARP (0x0806), Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.2 tell 192.168.0.1, length 42
这是原始 tcpdump:https ://web.archive.org/web/20220112142651/https://tmpfiles.org/dl/188092/tcpdumpout
我确保我的默认路由是 192.168.0.1。
我不确定网络接口是否以错误的顺序加载,或者是否有默认情况下打开的防火墙/数据包过滤器,我不知道,但我不知道出了什么问题。
当前环境:
我们目前有 2 个远程站点,它们都有自己的 LAN 子网和托管在每个站点上的服务器。目前,每个站点都为客户端和服务器使用 1 个子网。两个站点通过 ISP 提供的 LAN 扩展直接相互连接。两个站点之间存在连接,服务器/客户端都可以相互通信。
问题:
当我们将虚拟服务器从一个站点迁移到另一个站点时,我们必须更改移动的每台服务器的 IP 地址以反映目标子网。我知道 DHCP 可以处理这个问题,但我想保持 IP 地址相同,无论服务器位于哪个站点。这也增加了迁移过程的步骤
是否可以在两个站点上创建一个具有相同子网信息的 VLAN 并将服务器放在该 VLAN 中?我知道如何为单个站点执行此操作,但是如果将 Server1 @ Site 1 (192.168.50.20) 移动到站点 2 会怎样?路由器如何知道将 Server1 的流量路由到哪里?静态路由只是将流量定向到网关,如果有 2 个具有相同网络配置的子网,如果该网关网络中不存在尝试路由流量的 IP,路由器如何知道将流量路由到哪里?
我们在每个站点使用 FortiGate 51E,在每个站点使用 FortiSwitch 248D。两种环境都有 ESXi 6.7 服务器。
下面是我想要的环境图片。
