我对 NetGear 智能交换机 (GS724TS) 中的 VLAN 设置有些困惑。有人能帮我吗?
我的理解是:
- 所有传入数据包实际上都有一个 VLAN 号,该号由另一个设备附加的标签确定,或(如果不存在标签)基于端口的 PVID 值。
- 然后,传出的数据包只能发送到该数据包所属的 VLAN 的成员端口(在交换机 UI 的“成员资格”部分中设置)。
- 端口可以选择标记传出的数据包。
端口和 PVIDS 是 1-1 映射的,但一个端口可能是多个 VLAN 的“成员”。我的问题是,我似乎无法让此功能发挥任何作用……我误解了什么?
如果我分配以下内容:
Port PVID VLAN Membership
===============================
a 2 2, 10
b 3 3, 10
x 10 2, 3, 10
我期望流量在端口 a 和 x(以及 b 和 x)之间流动。假设 a 和 b 彼此隔离,除非连接到 x 的设备本身在它们之间路由流量。在我的实验中,所有流量进入后都未加标签(网络上没有其他支持 VLAN 的设备在工作)。
我看到的是,除非将 X 的 PVID 设置为 2,否则没有流量(准确地说是 DHCP 请求失败,来自已分配地址的计算机的 Web 请求超时)。当然,这对于连接到端口 b 的设备没有用。
我是不是漏掉了什么?如果端口仅根据传入和传出端口上的 PVID 匹配来路由传入流量,那么端口位于多个 VLAN 中有什么意义?
编辑:我正在尝试确定是否可以仅使用交换机在两个 VLAN 之间共享 Internet 连接(其中一个 VLAN 的成员无法看到另一个 VLAN)或者是否还需要一个可感知 VLAN 的路由器。
答案1
VLAN 的正常用途是分离子网(例如 192.168.0.0/24、10.20.0.0/16 等),而无需为每个子网使用单独的交换机。
PVID 的作用是让交换机标记传入的未标记数据包,例如来自工作站或服务器的数据包。对于大多数设备,普通 NIC 配置不会标记数据包。
如果您要连接能够标记其自身数据包的设备,那么它可以与端口被赋予成员资格的任何 VLAN 进行通信。当您将交换机连接在一起、连接到理解 VLAN 的路由器或使用需要能够连接到多个子网(尤其是虚拟化)的服务器时,这非常方便。
答案2
令人尴尬的是,吃过午饭并重启交换机后,它就开始像我想象的那样工作了。我认为这证实了我对问题中详细描述的情况的最初理解。
我将保留这个问题,因为尽管原始问题可能是假的(“为什么它不起作用?”,当它起作用时),但它确实回答了潜在的问题,并且这(以及 Hyppy 和 blankabout 提出的宝贵观点)可能对其他人有用。
重申一下:我想知道我是否可以在两个 VLAN 之间分离流量,但只需操纵交换机中的 VLAN 分配(而不是同时使用更复杂的支持 VLAN 的路由器)即可共享到同一路由器的连接。答案是“是的,交换机可以自行完成”,并且据记录,我使用的是单个子网和一个 DHCP 服务器,这种配置显然没问题。
连接到端口 x 的任何设备都可以与连接到端口 a 和 b 的设备通信(反之亦然),但连接到端口 a 和 b 的设备不能相互通信。
答案3
到目前为止,有几件事我不确定已经说清楚了:
连接主机的端口通常只属于一个 VLAN。当帧进入该端口时,它会被标记为该 VLAN。
属于多个 VLAN 的端口称为中继端口。这些端口通常用于将流量传输到具有相同 VLAN 中的连接端口的另一台交换机。
流量要离开 VLAN,必须经过路由器,路由器可能位于交换机内部,在这种情况下,交换机是多层交换机。如果路由器是外部的,则可能位于另一个交换机中,在这种情况下,它将像内置路由器一样在 VLAN 之间路由。
在 VLAN 之间(或者更严格地说是在子网之间)进行路由的另一种方法是在为单个 VLAN(非中继端口)配置的端口上使用路由器,这些端口随后将接收未标记的帧并以正常方式路由封装的数据包,而无需了解任何有关 VLAN 的信息。