procurve 交換機的多個 vlan 問題
我有一個 cisco asa5505 作為我的 rtr/fw(10.1.3.254)。我有vlan 1和vlan 3。
Vlan 1 是我預設的所有訪問 vlan。Vlan 3 是我的 Guest(dmz) vlan。
當我的筆記型電腦插入 procurve 上的埠 42 時,我似乎無法獲得 dhcp ip 地址。我已經將我的筆記型電腦直接插入防火牆,它得到了一個 dhcp ip 很好(防火牆是 dhcp 伺服器)。防火牆插入埠 41。只有 vlan3 需要通過埠 41。
我確定我有一個愚蠢的配置問題,但是我已經準備好拔掉我剩下的一點頭髮了。
vlan 1 name "Computers" forbid 45 untagged 1-41,43-44 ip helper-address 10.1.1.16 ip address 10.1.1.1 255.255.255.0 tagged 46-48 no untagged 42,45 exit vlan 3 name "Guest Wireless" ip helper-address 10.1.3.254 ip address 10.1.3.1 255.255.255.0 tagged 41-42,44-48 exit
因此,您正在遭受“標記”和“未標記”流量之間幾乎普遍的新手混淆。我們都去過那裡。
術語“標記”,應用於交換機埠,意味著“從這個埠傳出這個 VLAN 的數據包將有一個 802.1q 報頭,上面寫著“這是一個 VLAN 數據包
<foo>”,以及“我將接受進入這個埠的數據包有一個 802.1q 標頭說“這是 VLAN 的數據包<foo>”。這很好,因為這是讓多個交換機都“知道”數據包在同一個 VLAN 上的唯一方法。但是,當您將數據包發送到不期望它的設備時,它並不是那麼好。這最常發生在您插入通用電腦時,但當連接到該埠的交換機不期望標記流量時,它也會導致問題。另一方面,“未標記”的 VLAN 意味著“從該埠傳出此(未標記)VLAN 的數據包將沒有802.1q 標頭,它們看起來就像從未發生過的 VLAN”和“進來的數據包此埠將承載在 VLAN 上
<untagged>。實際上,這看起來與“啞(無 VLAN)交換機”配置相同,並且通常是邊緣設備所期望的。在考慮 VLAN 時,您必須問自己的問題是“這條電纜兩端的兩個設備是否知道它們會被告知此流量是該 VLAN 的一部分?”。如果“是”,則標記它。如果沒有,你不會。
在您的情況下,我幾乎可以肯定您插入埠 42 的設備不會期待帶有 VLAN 標記的流量,因此它會以安靜的“WTF?”丟棄這些數據包。和揚起的眉毛。您可以在該埠上取消標記該 VLAN,或者告訴設備它應該從 VLAN 角度查看該流量。順便說一句,終端設備通常可以做到這一點;例如,我們使用它將 VLAN 標記到我們的 VPS 伺服器中(並將 VLAN 標記到基於 Linux 的路由器、防火牆、負載平衡器和一些最終客戶設備上)。