タグ付けされた質問 「vlan」

現在CCNAセキュリティーについて勉強しており、ネイティブVLANをセキュリティー目的で使用しないように教えられています。シスコフォーラムからのこの古い議論はそれを非常に明確に述べています： デフォルトのVLANからVLANホッピングを実行する方がはるかに簡単であるため、デフォルトのVLANを使用しないでください。 ただし、実際の観点からは、実際の脅威に対処しているものを正確に特定することはできません。 私の考えは次のとおりです。 攻撃者はネイティブVLANにいるため、最初のスイッチによって変更されることなく転送される802.1qパケットを直接注入でき（ネイティブVLANからのものとして）、今後のスイッチはこれらのパケットを、選択した任意のVLANからの正当なパケットと見なします攻撃者によって。 これは実際にVLANホッピング攻撃を「はるかに簡単」にしたでしょう。ただし、最初のスイッチはアクセスポートで802.1qパケットを受信すると異常であると正しく見なし、そのようなパケットをドロップするため、これは機能しません。 非ネイティブVLANにいる攻撃者は、なんとかしてスイッチアクセスポートをトランクポートに変えます。トラフィックをネイティブVLANに送信するには、ネットワークインターフェイスでVLANを有効にする（4つのコマンド）代わりに、IPアドレスを変更（1つのコマンド）するだけで、3つのコマンドを保存できます。 私は明らかにこれを非常にわずかな利益と考えています... 歴史を掘り下げるとき、802.1qインジェクションには互換性のあるネットワークカードと特定のドライバーが必要になる可能性があるという古い推奨事項をどこかで読んだと思いました。このような要件は、攻撃者が802.1qパケットを注入する能力を実際に制限し、前のシナリオではネイティブVLANの活用をはるかに実用的にします。 ただし、これは現在のところ実際の制限ではないようで、VLAN構成コマンドはLinuxの（少なくとも）ネットワーク構成コマンドの一般的な部分です。 ネイティブVLANを使用しないというこのアドバイスは古くなっていて、歴史的および構成の健全性の目的のためだけに保持されていると考えることはできますか？または、ネイティブVLANが使用されているためにVLANホッピングが実際にはるかに容易になる具体的なシナリオはありますか？

10 vlan  security 

マルチコンテキストモードの既存のASA-5555Xがいくつかあり、トランスペアレントレイヤ2ファイアウォールとしてVLANごとに1つのコンテキストを使用しています。時間が経つにつれ、このソリューションに追加されており、5つのセキュリティコンテキストの元のライセンスを超えようとしています。 L-ASA-SC-10 =を購入しましたが、このアクティベーションキーを適用するためにASAを再起動する必要があるかどうかは不明です。アクティブスタンバイペアを解除する必要があることは知っています。 L-ASA-SC-10 =を実行中のASAに適用するには再起動が必要ですか？問題がある場合は、バージョン9.0（2）を使用しています。

10 cisco  security  vlan  cisco-asa  firewall 

シスコスイッチのインターフェイスに割り当てられたアクセスVLANを表示する機能を知っています。インターフェイスに割り当てられている音声VLANを具体的に表示してみませんか？ #show run int fa1/47 interface FastEthernet1/47 description Data&Voice switchport access vlan 1 switchport mode access switchport voice vlan 2 end #show int status module 1 | in Fa1/47 Port Name Status Vlan Duplex Speed Type Fa1/47 Data&Voice notconnect 1 full 100 10/100BaseTX show interface statusコマンドは、アクセスVLANのみを表示し、音声VLANは表示しません。過剰な正規表現を使用したり、実行構成をシークしたりせずに、スイッチポートに割り当てられた音声VLANを具体的に表示するコマンドの提案はありますか？

9 cisco  vlan  cisco-ios  voice 

私は3サイトのネットワークを持っています。1つはデータセンターのコロコロで、他の2つはオフィスです。先ほどインストールした新しいメトロイーサネットサービスでは、オフィスに向かうコロコロサイトのトラフィックが、オフィスに応じてVLAN 10または20にある必要があります。 残念ながら、彼らは私の入力なしでVLANを選択し、それらは私が現在使用しているVLANと重複しています。coloでVLAN 10が使用されており、vlan 20がいずれかのオフィスで使用されています。 VLANの番号を付け直したり、キャリアに番号を付け直したりせずに、これを機能させるためにできることはありますか？私が読んだことによると、私のスイッチはトランショナルVLANをサポートしていないようです。 coloサイトには、ipservices iOS 15.0（2）SEを搭載したCisco Catalyst 3560-Xスイッチがあり、オフィスでは、ipbase iOS 12.2.somethingを搭載した3560/3750を実行しています。

9 cisco-catalyst  vlan  metro-ethernet 

VMがシミュレーションスイートを実行しているVMware環境があります。使用されているソフトウェアには、ハードコードされたIPアドレス（約10〜15個のVM）があり、このソフトウェアの複数のインスタンスをそれぞれ異なる分散ポートグループで実行しています。したがって、SIM1 VMセットにはVLAN10に192.168.1.0/24があり、SIM2にはVLAN20に192.168.1.0/24があります。 これは問題なく機能し、SIM1 VMがSIM2 VMと通信する必要はありません。新しい要件が出てきたので、進行状況をリモートで監視し、マシンの物理セットからデータを管理および共有できるようにする必要があります。管理PCは、Catalyst ciscoスイッチに接続されたVLAN200に存在します。 Distributed Switchに4x10gbeアップリンクがあります。私はそれらをいくつかのCisco 10gbeルーターに対して実行し（どのモデルがこれを実行するのか正確にはわかりませんが、VMへの10gbe接続を維持したい）、そのインターフェースをゲートウェイとして使用し、各仮想VLANのサブインターフェースでVRFを使用し、各仮想NATを仮想機械。したがって、SIM1 machine1にはIP 192.168.1.2があり、これは公に10.0.10.2にNAT変換します。4番目のオクテットはプライベートvm IPに一致し、3番目のオクテットはVLANに一致します。したがって、SIM2 machine1（192.168.1.2）は10.0.20.2にNAT変換します。管理側は、別のポートのサブインターフェイスであり、グローバルまたは共有VRFに存在することもできます。SIM2 machine1を管理するには、10.0.20.2を使用できるはずです。VRFとNAT間の共有ルートが機能していた場合。 私はGNS3で同様のものを構築しようとし始めて、すぐに圧倒されました。だから私は私のデザインが健全であるか、問題を処理する別のより健全な方法があるかどうかを確認したいと思います。またはこれを達成する方法についてのヒントやアドバイスはありますか？ ありがとう！ 編集：図を追加しました： つまり、SIM1-S1は10.0.10.2にNAT変換し、SIM1-S2は10.0.10.3にNAT変換します。SIM2-S1は10.0.20.2にNAT変換し、SIM2-S2は10.0.20.3にNAT変換します。 ...

8 cisco  vlan  nat  vrf 

ISPルーターの背後にCiscoルーターを配置する必要があります。（ISPでは、モデムのみの使用を許可していません。） 私はISPテクニカルサービスに電話をかけ、彼らは私との接続を設定しました。それらのルーターは、Ciscoルーターのゲートウェイとして使用されます。正しいIPアドレスでvlan20を構成し、それをISPルーターに接続されているGe0にリンクしました。そのVLANからインターネットにpingできます。 Ge1に接続する内部ネットワーク用のvlan10も作成しました。そのVLANから、インターネットにpingすることができません。 最後の手段としてゲートウェイを設定しようとしましたが、うまくいきませんでした。 以下は、セットアップ/構成の概要です。 interface GigabitEthernet0 switchport access vlan 20 no ip address interface GigabitEthernet1 switchport access vlan 10 no ip address interface Vlan10 ip address 192.9.200.253 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1412 interface Vlan20 ip address 81.246.66.67 255.255.255. ip route 0.0.0.0 0.0.0.0 81.246.66.66 …

8 routing  router  vlan  nat  cisco-ios 

私は複数のBT Buisness Broadband回線を所有する事業主です。2セットのVOIPラインと2セットのPCがあり、それぞれに独自のスイッチボードがあります。 私たちが抱えている問題は、回線が頻繁にダウンし、インターネットルーティングの管理とインターネット接続の監視の両方のためのシンプルなソリューションを作成することです。 私の考えは、キャビネット内のPCを使用して、インターネット接続をルーティングする管理されたスイッチを制御することです。 私の質問です。このセットアップは可能ですか？より良い方法はありますか？ 以下は、現在のセットアップと新しいセットアップのアイデアです。 私の2番目の目標は、「キャビネットPC」から4つのインターネット接続を監視することです。インターネットのダウンロード/アップロード速度と、ダウンタイムの日付、時刻、長さを記録したい。これは可能ですか？

8 routing  vlan  ethernet  internet  network-core 

少し混乱して、IPアドレッシングスキームをやり直し、ネットワークを複数のVLANに分割する準備をしています。 おそらく次のようなもの： 10.1.10.0/24 VLAN 10 VOIP 10.1.20.0/24 VLAN 20ユーザー 10.1.30.0/24 VLAN 30管理 アドレススキームは実際には問題ではなく、上記は単なる例です。 私が頭を動かすことができなかったのはこれです： MacbookからすべてのVLANにアクセスするにはどうすればよいですか？ 私はこれを実行する必要があったので、適切な学習コースのための時間はまだありません（CCNAですぐに開始されます）。完全に没頭することによる学習の問題は、私の知識にしばしば穴があるということです。 私は3つのオプションがあることを収集します。 ラップトップNICに複数のエイリアスを追加し、NICが接続されているポートでVLANトランキングを実行します。それはまだ私にはかなりあいまいです。 レイヤー3スイッチに接続し、VLAN間をルーティングします。私たちのスイッチはすべてレイヤー2/3（静的レイヤー3ルート）ですが、必要に応じて完全なレイヤー3スイッチを追加できます。 ラップトップNICをルーターに接続し、サブネットに基づいてルーティングします。マルチポートイーサネットカードを備えたCisco 2811または2821のようなもの。 以上のことを踏まえて、これを行う適切な方法は何ですか？

8 vlan  layer3 

Ciscoスイッチでトランクを設定するときに混合信号が表示されますが、実際にどのVLANが許可されているのか知りたいのですが。私が望む方法は、VLAN 1、10、20、30、99のみを許可することです。出力を見てください： S1(config-if)#do show int tru Port Mode Encapsulation Status Native vlan Gig1/1 on 802.1q trunking 99 Gig1/2 on 802.1q trunking 99 Port Vlans allowed on trunk //What is this? Gig1/1 1-1005 Gig1/2 1-1005 Port Vlans allowed and active in management domain //What is this? Gig1/1 1,10,20,30,99 Gig1/2 1,10,20,30,99 Port …

8 cisco  vlan  trunk 

状況： 私は802.1Xを動作させるようにしています。RADIUSサーバーが特定のユーザーのRADIUS応答属性に基づいてポートに動的にVLANを割り当てるようにしたいのですが。HP E2620スイッチとFreeRADIUSサーバーがあります。サプリカントはWindows 8.1マシンです freeradiusのWebサイトでこのドキュメントを参照しました。 これまでに行ったこと： FreeRADIUSでは、次のようなパラメータを持つユーザーを作成しました。 dot1xtest User-Password := "secret" Tunnel-Type = "VLAN", Tunnel-Medium-Type = "IEEE-802", Tunnel-Private-Group-ID = "100" 私もTunnel-Pvt-Group-ID代わりに試しましたが、FreeRADIUSでは機能せず、ただ鳴きます（これらの1つである Microsoft NPSで構成するためのリソースでこれを確認しました）。また、トンネルメディアタイプには値「802」、802、6を試しました。 また、グループID値としてVLAN-IDではなく実際のVLAN名を使用しようとしました。とにかく、そのデータ型は文字列です。 AAAにこのRADIUSサーバーを使用するようにHPスイッチを構成し、これをポート10に設定しました。 aaa port-access gvrp-vlans aaa authentication port-access eap-radius aaa port-access authenticator 10 aaa port-access authenticator 10 auth-vid 150 aaa port-access authenticator 10 unauth-vid 200 aaa port-access …

8 switch  vlan  radius  ieee-802.1x 

接続されたスイッチのVLAN間をルーティングするために、Ciscoルーター上にいくつのサブインターフェースを作成できますか？

8 routing  vlan 

VLANの基本的なレイアウトの物理レイアウトを検出する方法はありますか？たとえば、同じVLAN内の2つのデバイスが同じwifi APを介して接続されているかどうかを知るために。 明確にするために、これはWLCに接続されたデバイスの観点からであり、特別な権限はありません。監視モードで操作できる場合、もちろん、基礎となる構造はビーコン/プローブなどから確認できますが、これらが利用できないと仮定すると、多くのデバイスでは利用できないため、何かを「アクティブに」実行できるかどうか疑問に思いました'。 ping時間と％パケット損失は明白なオプションですが、信頼性の高い答えを出すには、両者のばらつきが大きすぎると思います。SNMP経由でスイッチへの管理アクセス権がない限り、答えは「いいえ」だと思います。LLDP、DHCP、またはARPなどで実行できる賢いものがないことを確認したいだけです。

8 wireless  vlan  dhcp  snmp  lldp 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ ネットワークエンジニアリングスタック交換のトピックになるように質問を更新します。 3か月前に閉鎖。 まず、私はまったくの初心者です。私のVLANエクスペリエンスの範囲は、ワイヤレスルーターでゲストネットワークをセットアップすることです。 私は最近、（Untangleを介して）フィルタリングとスロットリングを必要とするパブリックネットワークをセットアップする要求を受け取りました。一方、同じ建物内にワークステーションがあり、無制限にアクセスできる必要があります。 私の質問は、ネットワークを論理的に分離するために、ESXiスイッチやNetgear GS108Eスイッチで何をすべきかです。現在、すべてがno / all / default LANの「赤い」パスを流れています。ワークステーション[w]が「青」のパスを流れ、他のすべてを「赤」のパスに保つ必要があります。私は何十ものVLANの記事を読みましたが、デフォルト/タグ付け/タグなし/ネイティブVLANの概念をクリックさせるものは何もありません。

8 ethernet  vlan  switching  layer2 

最近、MTUの問題を扱っています。そして、それはすべて、新しいコンピュータのイーサネットアダプタのデフォルトのフレームサイズが1504バイトであるという事実から生じているようです。 >netsh interface ipv4 show subinterfaces MTU MediaSenseState Bytes In Bytes Out Interface ------ --------------- --------- --------- ------------- 1504 1 3954161316 804790885 Local Area Connection NetworkEngineering.stackexchange.comのランダムな人物によると、イーサネットパケットが大きすぎるため、大きすぎるパケットは受信側のネットワークインターフェイスカード（NIC）によってドロップされます。 ... MTUが802.3の仕様である1500よりも大きいフレーム 最大設定よりも大きなフレームはなり NICによって落とされる-それは誤りだし、OSはそれについて知っていることはありません。（特大のフレームカウンターがクリックしますが、それだけです。） これにより、コンピュータがゲートウェイマシンにパケットを送信しようとしたときに問題が発生します。理想的には、パスMTUディスカバリーに依存することになります。ただし、生成されるイーサネットパケットは他のどのマシンでも受信するには大きすぎるため、IP パケットが大きすぎる断片化メッセージを返す機会はありません。 「断片化」はまったくありません。「断片化が必要」を示す場合、レイヤー2（イーサネット）には意味がありません。これは、ネクストホップインターフェイスに適合しないためパケットをドロップする必要がある場合に、ICMPメッセージを送信するルーターによってレイヤー3（IP）で計算されます。 最初に2つ目の質問をさせていただきます。 無効なイーサネットフレームを意図的に作成する仕様があるのはなぜですか？ここで意図されている動作は何ですか？他のネットワークインターフェイスカードがこれらの新しいデフォルトサイズのパケットを受信できない場合、彼らは何を期待していたでしょうか。 次に、最初の質問に2番目に移動します。そして、これは以前に尋ねられたことです-多く。 4バイトのQinQタグはイーサネットフレームヘッダーの一部ですか、それともイーサネットペイロードの一部ですか？ヘッダーの一部である場合、ペイロードボディが4バイト増加したのはなぜですか？イーサネットペイロードの一部である場合、なぜペイロードMTUが4バイト増加するのですか（4バイト増加すると無効なパケットになることがわかっている場合）。 より大きな質問は... 少し前に戻ると、より大きな質問があります。 私たちは何をすべきか？ この標準を設計した人がいたに違いありません。これらの大きすぎるパケットを生成するデバイスで人々が何をすることを期待していたのでしょうか？ 私は本当に尋ねています。すべてのハードウェアデバイスに移動してMTU 1504の増加を元に戻し、それを1500に戻すつもりはなかったと思います。 netsh interface ipv4>set subinterface "Local Area Connection" …

8 ethernet  vlan  mtu  qinq 

私はネットワーキングの世界への旅を始めており、VLANホッピングと呼ばれる用語に出くわしました。私が読んだ文は、トランクインターフェイスを介して相互に接続された2つのスイッチのネイティブVLANが異なるネイティブVLANを持つ場合、VLANホッピングが発生する可能性があるというものでした。誰かが実際の例でどのように発生するかを正確に説明できますか？ 質問が広すぎる場合は申し訳ありません。知らせてください。可能な場合は言い換えます。

7 vlan  trunk