在我的 Avaya ERS2550T 交换机上,每个端口都可以设置一个本机/主 VLAN,我可以分配与此端口关联的其他辅助(取决于模式)VLAN。
我可以将端口配置为:
- tagAll(主干)
- untagAll(访问)
- 标签PvidOnly
- 取消标记PvidOnly
我在不同的交换机上看到过类似的端口选项。据我了解,VLAN 用于将冲突域隔离到单独的子网中。
我不明白的是,如果我们有 VLAN 10、20 和 30,它们每个都是自己的 IP 子网,为什么我们要在端口上取消所有这些子的标记,因为这会在同一物理端口上造成不同子网的冲突。
那么总而言之,为什么存在 untagAll(访问)模式,以及在什么情况下为在此模式下运行的端口分配多个 VLAN 会很有用?
答案1
这种“访问”端口的定义看起来有些不寻常——在许多其他设备中,将端口模式设置为“访问”意味着该端口只能是单个 VLAN 的成员。其他一些设备具有“混合”端口模式,这种模式甚至更为通用——混合端口可以是多个 VLAN 的成员,并且对于每个 VLAN,您可以选择从该 VLAN 发出的帧是否带有标记或不带有标记。
在特殊情况下,在一个端口上拥有多个未标记的 VLAN 可能会很有用。假设您在同一个 IP 子网中拥有一台服务器和三组客户端;但是,每组客户端必须只能与同一组中的服务器和其他客户端通信,但不能访问其他组的客户端。然后,您可以按如下方式在交换机上配置 VLAN:
- 客户端组 1 的端口 — VLAN 10、40;PVID = 10、untagAll;
- 客户端组 2 的端口 — VLAN 20、40;PVID = 20、untagAll;
- 客户端组 3 的端口 — VLAN 30、40;PVID = 30、untagAll;
- 服务器端口 — VLAN 10、20、30、40;PVID = 40,untagAll。
在这种情况下,服务器发送的帧将获得 VLAN ID 40 并可到达所有客户端;但是,来自组 1 的客户端发送的帧将获得 VLAN ID 10 并只能到达服务器和来自组 1 的其他客户端,其他组也是如此。
此类配置本身无法在客户端组之间提供全面保护 — 即使客户端无法发送其他组的客户端会接收的帧,此 VLAN 配置也无法阻止其欺骗其他组的客户端的 IP。可以使用其他交换机功能(例如 ACL 或 DHCP 侦听)来防止此类 IP 欺骗。
此配置中的另一个潜在漏洞是交换机在此类端口上收到带标签的帧时的行为 — 例如,如果客户端发送带有 VLAN ID 40 标签的帧,并且交换机将根据标签处理此类帧,则此帧可能会到达其他组的客户端。因此,需要一个选项来过滤端口上的所有带标签的帧,以使组隔离真正完整。
在特殊情况下,如果每个客户端都在自己的组中,则可以使用某些交换机上提供的“端口隔离”功能来实现相同的结果,但是,组中有多个客户端的更复杂的配置需要为各组设置单独的 VLAN ID。