タグ付けされた質問 「vlan」

物理的な場所に関係なく、同じブロードキャストドメイン上にあるかのように接続された共通の要件セットを持つホストのグループ

2
VLANはどのように機能しますか?
VLANとは何ですか?彼らはどのような問題を解決しますか? 彼は小さな会社で唯一のシステム管理者になったので、私は友人が基本的なネットワークを学ぶのを手伝っています。私は、さまざまなネットワーキングトピックに関連するServerfaultに関するさまざまな質問/回答を彼に指摘しましたが、ギャップに気付きました-VLANが何であるかを第一原理から説明する答えはないようです。How do Subnetting Workの精神で、私はここで標準的な答えの質問があると便利だと思いました。 回答でカバーする可能性のあるトピック: VLANとは何ですか? 彼らはどのような問題を解決するつもりでしたか? VLANの前はどのように機能していましたか? VLANはサブネットにどのように関係しますか? SVIとは何ですか? トランクポートとアクセスポートとは何ですか? VTPとは何ですか? 編集:明確にするために、私はすでにVLANがどのように機能するかを知っています-Serverfaultにはこれらの質問をカバーする答えがあるはずだと思います。時間が許せば、私も自分の答えを提出します。

7
OpenVPN対IPsec-長所と短所、何を使うべきか?
興味深いことに、「OpenVPN vs IPsec」を検索したとき、良い検索結果が見つかりませんでした。だからここに私の質問があります: 信頼できないネットワーク上にプライベートLANをセットアップする必要があります。そして私が知る限り、両方のアプローチは有効であるようです。しかし、どちらが優れているかはわかりません。 両方のアプローチの長所と短所、そして何を使用するかについてのあなたの提案や経験をリストできるなら、私はとても感謝しています。 更新(コメント/質問に関して): 私の具体的なケースでは、目標は(静的IPを持つ)任意の数のサーバーを互いに透過的に接続することです。しかし、「動的なIPを使用した」「ロードウォリアー」などの動的クライアントのごく一部も接続できる必要があります。ただし、主な目標は、信頼されていないネットワーク上で「透過的で安全なネットワーク」を実行することです。私はかなり初心者なので、「1:1ポイントツーポイント接続」を正しく解釈する方法がわかりません。
76 security  openvpn  vlan  ipsec 

3
コンシューマスイッチがVLANタグ付きイーサネットフレームを受信するとどうなりますか?
直接ケーブルを介して、トランクポートをVLAN対応ネットワークスイッチから(VLAN非対応)消費者グレードネットワークスイッチに接続するとします。これで、前者のスイッチは後者のスイッチに802.1Qタグ付きイーサネットフレームを送信します。後のスイッチは何をすべきですか?フレームを落としますか?フレームを転送しますか?未定義の動作? 動作が未定義の場合、最も可能性の高いものは何ですか? 編集:ご回答ありがとうございます。要約すると、コンシューマスイッチの動作は以下に依存します。 0x8100EtherTypeフィールドでのフレームの処理方法1 ジャンボフレーム、または1500バイトを超えるペイロードを持つフレームの処理方法 ウィキペディアには、タグなしのイーサネットフレームとタグ付きのイーサネットフレームを比較した図があります。 一部のコンシューマグレードのスイッチは、VLANタグ付きフレームを問題なく渡すとの報告があります。 1以上、正確には、タグなしフレームにEtherTypeフィールドが予想される場合
28 switch  vlan  trunk  802.1 

4
セキュリティのためにVLANを使用しないように言われるのはなぜですか?
タイトル通り、なぜ人々はセキュリティ目的でVLANを使用しないように私に言うのですか? ネットワークがあり、VLANがいくつかあります。2つのVLAN間にファイアウォールがあります。HP Procurveスイッチを使用しており、スイッチ間リンクがタグ付きフレームのみを受け入れ、ホストポートがタグ付きフレームを受け入れないようにしました(「VLAN対応」ではありません)。また、トランクリンクのネイティブVLAN(PVID)が2つのホストVLANのいずれとも同じではないことを確認しました。「イングレスフィルタリング」も有効にしました。さらに、ホストポートが単一のVLANのメンバーのみであることを確認しました。これは、それぞれのポートのPVIDと同じです。複数のVLANのメンバーであるポートは、トランクポートのみです。 上記が安全ではない理由を誰かが私に説明できますか?二重タグ付けの問題に対処したと思います。 ありがとう 更新:両方のスイッチはHP Procurve 1800-24Gです

7
少なすぎるVLANと多すぎるVLAN
現在、800台以上のPCと20台以上のサーバーのネットワークを実行しています。ネットワークインフラストラクチャは、Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktopに沿っています。すべての実行中の3Com機器(1)。 4つのエリアに3つのエリアスイッチがあり(A、B、C、Dはコアとマージされます)、各エリアスイッチには10〜20のローカルスイッチが接続されます。バックアップコアスイッチもありますが、メインコアスイッチと同様に、電力は供給されませんが接続されます。 IP電話システムもあります。コンピューター/サーバーとスイッチは10.x IP範囲にあり、電話は192.168.x範囲にあります。通常、コンピューターはコンピューターラボを除いて互いに通信する必要はありませんが、ほとんどのサーバー(AD、DNS、Exchange、ファイルストレージなど)と通信できる必要があります。 セットアップ時に、3つのVLAN、スイッチとコンピューター用、電話用、サーバー複製用の3つのVLANを持つことにしました(これは3Comのエンジニアのアドバイスに反していました)。ネットワークはこの時点から安定して機能してきましたが(2)、SANおよび仮想化環境へのアップグレードを開始しました。現在、この新しいインフラストラクチャを個別のVLANに分割することは理にかなっており、VLANの設定方法を再検討することは理にかなっています。 VLANは部屋ごとに設定する必要があります。つまり、5台以上のPCを備えたコンピューターラボは独自のVLANである必要がありますが、このモデルに従うと、少なくとも25の「新しい」VLANが表示されます。 、およびSAN /仮想サーバーのVLAN。私は間違っていると証明されるのは非常に幸いですが、私には過剰な量の管理が追加されるようです。 ベストプラクティスは何を示唆しているように思われますか?VLAN内で行き過ぎたり、下がったりしないことをお勧めする特定の数のPCがあります。 (1)3Comスイッチ(3870および8800)は、他のVLANとは異なる方法でVLAN間をルーティングします。レイヤー3であるため、別個のルーターを必要としません。 (2)破棄率が高い、またはSTPが変更される場合があり、3Com Networkディレクターは、スイッチの負荷が低く、pingへの応答が遅い、またはスイッチの故障によりネットワーク(すべての電話とコンピューターのVLAN 、一度、理由はわかりません)
23 networking  vlan  3com 

3
同じLAN上で重複するMACアドレスは可能ですか?
誰かが私と同じネットワーク上にいて、自分のものと一致するようにMACアドレスをスプーフィングするとします。 これは可能ですか?同じMACアドレスを持つ2つ以上のクライアントが同時に同じネットワーク上にあり、常に接続を維持できますか? これが発生した場合、同じネットワーク上で重複したMACアドレスが許可されていない場合、ネットワークの認証が解除されてキックオフされますか? 重複したMACアドレスが許可されている場合、どのような動作が発生する可能性がありますか?衝突、競合状態など?

3
一部のスイッチの電話はDHCPプロセスを完了できません
バックグラウンド Windows DHCPサーバー(Server 2008 R2)がいくつかのスコープのアドレスを配布しています。それらのスコープの1つは、一部のMitel IP Phone用です。電話機は、dhcpオプション125を使用して設定情報を取得するように設定されています。電話機は起動時に使用するVLANを認識しないため、接続先のポートのデフォルト(タグなし)VLANを取得するだけです。dhcpサーバーは、オプション125の情報を含む応答をサーバーに提供し、電話はこの応答から使用するVLANを読み取ることができます。その後、電話機は元のアドレスを解放し、正しいvlanタグを使用して新しいDHCPリースを要求します。また、電話機には通常、パススルーポートに接続されたコンピューターがあります。コンピューターからのパケットにはタグが付けられないため、PCはポートの元の(タグ付けされていない)VLANに残ります。これは何年もの間私たちのために働いてきました。 問題と症状 過去数週間のどこかで、何かが変わったのですが、どうなるかわかりません。電話は再起動しない限り機能し続けます。つまり、dhcp更新要求は正しく処理される必要があります。特定のスイッチに接続された電話は、再起動後も生き残ることができます。ただし、他のスイッチに接続された電話機は、リブートするとプロセスを完了できません。すべての電話は、UPSでバックアップされたPoEを使用しているため、再起動してから長い時間がかかりました。これは、問題が最初に発生した時期がわからないことを意味します。私が知っていることは、昨日再起動したときに1台の電話が故障し、今日のトラブルシューティングでそのスイッチクローゼットをリセットしたことです。現在、そのスイッチの電話はどれも機能していません(ありがたいことに、まだ少数です)。また、物事が1月の終わり近くに機能していたことも知っています。 電話が起動するのを見ると、最初のアドレスを取得できることがわかります。次に、オプション125情報を正常に読み取り、正しいvlanタグを設定し、元のIPリースを解放します。サーバーから正しいVLANでオファーを受け取り、受け入れることさえできます。しかし、それは物事が停止する場所です。電話の画面には「DHCP: Offer 2 ACC」というメッセージが表示されますが、Windows DHCPサーバーはリースを記録しておらず、電話は移動しません。DHCP REQUESTパケットがWindowsサーバーに到達することはないと推測できるので、電話はWindowsからの継続的なACKを待っています。 回避策 私はついに電話を再び使えるようになりました。そのためには、まずコンピューターを切断する必要がありました。次に、PC VLANのメンバーシップなしで、電話VLANで電話のスイッチポートをタグなしに設定します。これで、電話機は正しく再起動します。この時点で、スイッチポートの設定を元の場所に戻すことができ、ポートをリセットしているときに誰もその番号に電話をかけない限り、電話機はビートを逃しません。その後、コンピューターを再接続できます。明らかに、これは理想的なプロセスではありませんが、電話が再起動することはめったにないので、根本的な原因が見つかるまで人々を再び働かせることはできません。現在、オフィスは1週間閉鎖されているため、この問題は実際に週末に座ることができます(電話がある個々のオフィスのキーはありません)。 私が修正したこの電話は、コアスイッチに直接接続されたサーバールームのサービス電話です。問題はコアスイッチのタグのルーティングまたは処理の問題である可能性があります。そのため、パケットが他のスイッチを最初に通過する(タグ付けされる)リモートオフィスでは回避策が有効になりませんが、非常に驚​​かされますそれが発生した場合、dhcpの更新と実際の電話での会話を正しく処理する必要があることがわかっているためです。 ねじれは、ポートがPC VLANでタグ付けされたままになると、代わりに電話がメッセージ「DHCP: Offer 1 ACC」で失敗することを意味します。これを成功させるには、そのVLANを完全に削除する必要があります。 注:回避策が遠隔地の建物で効果的であることを確認しました。これにより、デバイスが何らかの形で正しいVLANに割り当てられていないのではないかと疑われます。コアスイッチで問題が発生し、ほぼ同時にネットワーク上の複数の場所で問題が発生したという事実は、コアスイッチが問題である可能性があることを示しています。特別なことは何もありませんが、週の終わり近くにスイッチをリブートするためのメンテナンスウィンドウをスケジュールしています。ファームウェアを更新することもあります。 環境 コアスイッチはHP 5406zlです。このスイッチはVLAN間ルーティングを処理します。Windows DHCPサーバーは、スイッチに直接接続されています。エンドポイントスイッチはファイバSFPを介してコアスイッチに接続され、これらのポートは両端のすべてのVLANに対してタグ付けされます。コアスイッチは、各vlanをip helper-addressDHCPサーバーを指す設定dhcp relay-option 82 replaceと、dhcpサーバーが使用するスコープを知るための行で構成します。これらの構成、およびエンドポイントスイッチのポート構成は、少なくとも16か月間変更されていません。その間に他のスイッチと電話のリセットがありました。 当社のエンドポイントスイッチのほとんどはHP 2530シリーズです。これらのスイッチは正常に動作しているようです(3つの異なる2530の電話が今日正しく再起動しました)。問題があるのは古いスイッチです。動作しない古い3Com 4200と4210があります。前述のコアスイッチに直接接続されたサービス電話も機能しません。 質問 この時点で、dhcpサーバー上のWindowsの更新により動作が変更されたと思いますが、その方法はわかりません。または、コアスイッチがそのREQUESTパケットを正しく処理していない可能性がありますが、何も変更されていないと確信しており、特定のエンドポイントスイッチのみが影響を受ける理由を説明していません。この問題を解決するにはどうすればよいですか? 更新: 失敗した電話からのdhcpログの抜粋を次に示します。 10,03 / 06 / 15,12:40:40、Assign、10.1.2.158、、08000F197844、、3189088995,0 ,,, 11,03 / 06 / …

1
tcpdumpを介したパケットキャプチャ(Li​​nux)にVLANタグが表示されない
タグ付きVLANをeth0に追加しています: #ip link add link eth0 name eth0.20 type vlan id 20 この結果: #ip link 2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 9c:c7:a6:95:65:1c brd ff:ff:ff:ff:ff:ff .... 12: eth0.20@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 9c:c7:a6:95:65:1c brd ff:ff:ff:ff:ff:ff #ip -d link show eth0.20 70: …

3
VLANホッピングの危険にさらされないようにVLANを設定するにはどうすればよいですか?
実稼働ネットワークをVLANなしの構成からタグ付きVLAN(802.1q)構成に移行することを計画しています。この図は、計画された構成をまとめたものです。 重要な詳細の1つは、これらのホストの大部分が実際には単一のベアメタルマシン上のVMになることです。実際、物理マシンはDB01、DB02、ファイアウォール、およびスイッチのみです。他のすべてのマシンは、単一のホストで仮想化されます。 これまでの懸念事項の1つは、このアプローチが複雑であり(複雑すぎて暗示されている)、VLANがセキュリティの錯覚を提供しているだけであることです。 仮想化により複数のVLANが単一の物理スイッチポートに使用される場合、これは有効な懸念事項ですか?このリスクを防ぐために、VLANを適切に設定するにはどうすればよいですか? また、VMWare ESXには「仮想スイッチ」と呼ばれるものがあると聞きました。これはVMWareハイパーバイザーに固有ですか?そうでない場合は、KVM(私の選択したハイパーバイザー)で使用できますか?それはどのように作用しますか?

1
Linux / FreeBSDで1つのWifiアダプターを使用して複数のAPに接続しますか?
単一のワイヤレスアダプターを使用して複数のWifiアクセスポイントに同時に接続するにはどうすればよいですか? 現在、pfSenseをホームルーターとして使用していますが、複数のAPにワイヤレスで接続したいです。可能かどうか知っていますか? 別の方法として、Ubuntuでどのように行うことができますか?光を当ててください:) 興味深いメモ: pfSenseは、多くのルーターディストリビューションと同様に、単一のワイヤレスアダプターを複数のAPとして使用することをサポートしていますが、それらが複数のクライアントとして機能できるかどうかは明確ではありません Windows 7の「仮想Wifiアダプター」は明らかにそれを行うことができます 有線ネットワークの場合、インターフェイスエイリアス(eth0:1など)を簡単に作成し、ifconfigで複数のIPを取得できます。これは助けになりますか?

2
複数のVLAN、複数のサブネット、単一のDHCPサーバー?
私の仕事では、低速のVPN接続で接続された複数のLANからファイバーで接続された単一のMANに移行する準備をしていますが、いくつか質問があります。 まず、各物理サイトを独自のVLANにすることを計画していますが、データセンターの単一のDHCPサーバーから各VLANにIPを配布したいと考えています。VLANタギング構造はすべてうまく機能しましたが、単一のDHCPサーバーで各VLANに異なるIPサブネットを割り当てたいと考えています。例えば: VLAN 2は10.0.2.xから10.0.4.xを取得します VLAN 3は10.0.5.xから10.0.7.xなどを取得します。 私たちはActive Directoryベースのショップであり、DHCPを処理するServer 2003ボックスを持っています(ただし、サーバー2008にアップグレードすることは避けていません)。 これは実現可能ですか、それとも夢想家ですか?

4
トラフィック、VLAN、またはサブネットをセグメント化する最良の方法は?
約200ノードの中規模のネットワークがあり、現在、古いデイジーチェーンスイッチをスタック可能なスイッチまたはシャーシスタイルのスイッチに置き換えるプロセスを進めています。 現在、ネットワークはサブネットを介して分割されています:生産、管理、知的財産(IP)など、それぞれ別々のサブネット上にあります。サブネットの代わりにVLANを作成する方が有益ですか? 私たちの一般的な目標は、ボトルネックを防ぎ、セキュリティのためにトラフィックを分離し、トラフィックをより簡単に管理することです。

2
ギガビットキャリアイーサネットを介した暗号化
これに対する私の結論は、EoIPトンネルを介してVLANトランクをパイプし、それらをハードウェア支援IPSecにカプセル化することでした。2組のかなり安価なMikrotik RB1100AHx2ルーターは、1ミリ秒未満のレイテンシを追加しながら、1 Gbps接続を飽和させることができることが証明されました。 2つのデータセンター間のトラフィックを暗号化します。サイト間の通信は標準プロバイダーブリッジ(s-vlan / 802.1ad)として提供されるため、ローカルvlanタグ(c-vlan / 802.1q)はトランクで保持されます。通信は、プロバイダーネットワーク内の複数のレイヤー2ホップを通過します。 両側の境界スイッチは、Catalyst 3750-XとMACSecサービスモジュールですが、トランク上のスイッチ間でL2の同等性を保証する方法が見当たらないため、MACSecは問題外だと思います。プロバイダーブリッジ経由。MPLS(EoMPLSを使用)は、このオプションを確実に許可しますが、この場合は使用できません。 いずれにしても、テクノロジーとトポロジーの選択に対応するために、機器をいつでも交換できます。 イーサネットキャリアネットワーク上でレイヤー2ポイントツーポイント暗号化を提供できる実行可能なテクノロジーオプションを見つけるにはどうすればよいですか? 編集: 私の発見のいくつかを要約すると: 60,000米ドルから始まる多くのハードウェアL2ソリューションが利用可能です(低遅延、低オーバーヘッド、高コスト) MACSecは多くの場合、Q-in-QまたはEoIPを介してトンネリングされます。5,000米ドルからのハードウェア(低中遅延、低中オーバーヘッド、低コスト) 5,000米ドルからのハードウェア支援L3ソリューションが多数利用可能です(高遅延、高オーバーヘッド、低コスト)

5
tc u32 —最近のカーネルでL2プロトコルを一致させる方法は?
ハッシュフィルタリングを備えた、Linuxブリッジで構築された素晴らしいシェーパーがあります。要するに、br0接続externalとinternal物理インターフェース、VLANタグ付きパケットは「透過的に」ブリッジされます(つまり、VLANインターフェースはありません)。 現在、異なるカーネルは異なる方法でそれを行います。正確なカーネルバージョンの範囲が間違っている可能性がありますが、ご容赦ください。ありがとう。 2.6.26 したがって、debianでは、2.6.26以降(2.6.32まで、私は信じています)---これは動作します: tc filter add dev internal protocol 802.1q parent 1:0 prio 100 \ u32 ht 1:64 match ip dst 192.168.1.100 flowid 1:200 ここで、「カーネル」は0x8100の「プロトコル」フィールドの2バイトに一致しますが、IPパケットの先頭を「ゼロ位置」としてカウントします(少し不明瞭な場合は英語でごめんなさい)。 2.6.32 繰り返しますが、debian(私はバニラカーネルを構築していません)では、2.6.32-5 ---これは動作します: tc filter add dev internal protocol 802.1q parent 1:0 prio 100 \ u32 ht 1:64 match ip dst 192.168.1.100 at 20 …

3
スイッチはタグ付きおよびタグなしVLANパケットに対して何をしますか?
VLAN対応の4ポートスイッチがあるとします。 1 2 3 4 Port 1 is TAGGED to VLAN10` and `UNTAGGED to Default_VLAN(1) Port 2 is UNTAGGED to VLAN10 Port 3 is UNTAGGED to VLAN10 この質問のために、VID 10でタグ付けされたポート1に着信するパケットがあります。ポート1はタグを保持します。 パケットを送信する必要のあるデバイスがポート2に接続されるのは、まさにそのためです。スイッチは、そのVIDにタグなしでポートからパケットを送信しているときに、パケットからVLAN 10タグを削除しますか? さらに、これがICMPパケットであり、ポート2のデバイスが応答を送信すると、タグなしのポート2に送信され、VLAN 10の一部になります。ポート1を宛先デバイスに送信すると、VID 10でタグ付けされますかPort1がそのVIDにタグ付けされているためですか?(スイッチがレイヤ3 IPルーティングを実行しているという質問のために、大きな仮定を立てましょう)。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.