我对如何在 3Com 4210 上使用默认 VLAN 有点困惑。
交换机出厂时配置为所有端口都处于默认 VLAN 1 上。我需要在此交换机上配置 4 个 VLAN:
- 100 - 内置 WIFI
- 101 - 内部局域网
- 200 - 宾客无线网络
- 999 - 我的无线接入点的管理 LAN(也用于交换机??)
所以我的问题是关于默认 VLAN 1。我不想要这个 VLAN,但我无法删除它(Web GUI 说 VLAN 1 无法修改)。那么这会带来什么风险?如果全部我的端口最终位于此 VLAN 中,那么这是否违背了 VLAN 的宗旨?我不希望所有端口之间都有此广播域。我想切断此交换机,并为无线接入点提供 4 个端口(这些是中继 - WAP 将未标记 VALN 999;内部 WIFI 100;访客 WIFI 200),20 个用于内部 LAN 的端口和将交换机连接到 pfSense 路由器(Alix 2D13)的两个中继。
答案1
您不需要摆脱 VLAN,只是不要为其分配任何端口/MAC 等,然后它只是闲置着不做任何事情,其风险与创建新的 VLAN 而不分配它一样大或更小。
顺便问一下,你的路由是怎样的?
答案2
我同意Chopper3的回应。
如果您将端口分配给 vlan,例如 200(未标记并将端口置于访问模式),则它将不属于 vlan1。访问端口只能包含 1 个未标记的 vlan。因此无需担心这些端口。
将上行链路端口置于中继模式。中继端口只能包含标记流量。Vlan1 默认为未标记(也就是说,您的流量上不会有 vlan 标记),因此 vlan1 的流量不会通过您的上行端口。
因此,查看您的图像,如果您将“访问”端口放在不同于 1 的 vlan 中,并且将 2 作为“中继”端口上行,则不会出现问题。
未使用端口的安全提示
我们公司的做法是,将所有未使用的(没有电缆/目标的端口)端口放在 vlan1(又名默认 vlan)中。但将 vlan 1 添加到上行链路端口的禁用 vlan 列表中(如果您将上行链路端口置于“中继”模式,则不需要)。这样,如果有人将其设备连接到未分配已知 vlan(又名 100,101,200,999)的端口,那么他就不会造成任何伤害。他可以与 vlan 1 中连接到该交换机的其他设备通信,但不能离开交换机并进一步进入您的网络。
您可以更进一步,在大多数托管交换机上将端口设置为禁用。但是有同事抱怨说,他们花了 30 分钟才找到一条可用的电缆(显示链接的电缆),然后才发现他的端口被禁用了,而电缆却没问题……
答案3
3com 交换机提示“无法修改 vlan N”的问题是由于未设置端口的模式(访问、混合、中继、结构)造成的。
我只是想澄清这一点,因为它并不明显。
您正在编辑的特定界面中的 cli 命令“display this”是您的朋友;-)