如何在一台交换机上设置两个独立的 VLAN（HP v1910-48G 交换机）

Question 1

新回应：

首先了解这些术语：

框架：当数据包在 OSI 模型的第 2 层上运行时，它们被分解为帧/以太网帧。
802.1q VLAN：我们将通过在数据包/帧上放置 VLAN 标记来设置 VLANS - 可以删除和添加标记到数据包/帧（这引入了标记/取消标记/PVID）。还有另一个基于端口的 VLANS 概念，它基本上根据数据包/帧到达的端口来分离数据包/帧，使用基于端口的 VLANS 无法添加或删除标记的数据包/帧操作。基于端口的 VLANS 非常有限，不再使用。我们可以使用 802.1q 实现“基于端口”的 VLANS 类型的行为 - 我将在此处展示。某些端口上的 PC 将根据我们为其提供的 PVID 绑定到某个 VLAN
标签：设置为标记 VLAN #x 的端口将允许数据包/帧离开该端口（如果它们带有 VLAN #x 标记）。在离开交换机的途中，标记将保留。如果您想将数据包发送到另一个可识别 VLAN 的设备（例如交换机、VOIP 电话或可识别 VLAN 的路由器），则最好这样做。标签 = 带标签退出。
取消标记：设置为 UnTag VLAN #x 的端口将允许数据包/帧离开该端口（如果它们带有 VLAN #x 标记）。在离开交换机时，标记将被剥离。计算机和非 VLAN 感知设备需要接收未标记的数据包，因为它们不理解 VLAN 标记（除非它们具有具有此功能的特殊接口）。取消标签 = 不带标签退出。
物理标识符（PVID）：进入交换机且不带任何 VLAN 标识符（不带标签）的数据包/帧将被标记为 PVID。最终结果是交换机内的每个数据包/帧都带有某种标签。端口不能有空白的 PVID，我的意思是从技术上讲可以，但 Netgear/HP 交换机的默认 PVID 为 1。这意味着在出厂默认的交换机内，所有数据包/帧都带有标签 1，但这并不重要，因为在输出时它们都是未标记的 1（因此被删除）——就好像帧从未被更改过一样。
空白端口：如果端口没有特定 VLAN # 的 TAG 或 UNTAG，会怎么样？那么，附有特定 VLAN #（已标记）的数据包将不会离开该端口。空白端口 = 无出口。
边注：在这里，我将 PC 的下一跳称为路由器。此路由器也是您通往互联网的网关（在这种情况下，在现实生活中，您可能有一个路由器连接到另一个网络，但不能连接到互联网）。因此，我们的这个路由器可以进行路由、NAT（因此它是一个很好的默认网关，并且它还可以充当连接的状态防火墙）

如何设置 2 个 VLAN：

我假设这里的交换机严格来说是第 2 层交换机。这意味着您无法在其 VLAN 上设置 IP，因此您无法在其上进行 VLAN 路由。如果您有第 3 层交换机，并且该交换机支持在其 VLAN 上设置 IP，则可以通过不启用“IP 路由”来取消该功能。

首先确定您的路由器是否支持 VLAN。
如果确实如此，那么您不需要在交换机上创建额外的 VLAN
优点：每个 VLAN 的本地和互联网流量都是分开的。工作量更少。
缺点：每个 VLAN 都需要位于不同的 L3 子网中（例如 VLAN 10 位于 10.10.0.x/24 中，而 VLAN 20 位于 10.20.0.x/24 中）。这其实不是一个很大的缺点。但这意味着如果我们想要 DHCP，我们还需要有 2 个 DHCP 池。这意味着我们的路由器最好支持 DHCP。如果它支持 VLAN，那么很可能它也支持这些 VLAN 的 DHCP。
您需要确保在路由器上创建两个 VLAN
在路由器上，确保已创建两个 VLAN，并为这两个 VLAN 指定 IP 和子网以及 VLAN 编号（我们将使用 10 和 20）。因此，VLAN 10 的 IP 为 10.10.0.1/24，VLAN 20 的 IP 为 10.20.0.1/24。（/24 表示子网掩码为 255.255.255.0）
每个 VLAN 上的 PC 都将指向这些 IPS 作为其网关地址。例如：VLAN10 中的 PC 的网关 IP 设置为 10.10.0.1，子网掩码设置为 255.255.255.0。其实际 IP 只需为 10.10.0.100。
路由器将允许 VLAN 间通信（有时默认启用，有时需要配置）。在 Netgear 路由器上，只需在两个 VLAN 上检查“VLAN 间通信”即可
如果没有，则需要在交换机上创建一个额外的 VLAN
缺点：每个 VLAN 上的互联网流量没有被分离（所有 PC 返回的互联网/路由器流量都可以在不属于 PC VLAN 的端口上接收）。但本地流量在广播域中被分离（如要求的那样）。您需要做更多工作，因为您必须创建另一个 VLAN。
优点：您的两个 VLAN 可以位于同一个第 3 层子网中，但它们将位于不同的第 2 层子网中，因此它们不会在本地流量上进行通信。如果路由器有 DHCP 服务器，则可以为您的两个 VLAN 提供 IP（因为来自路由器的流量将能够流向两个 VLAN）
在你的路由器上，你需要创建一个名为“INTERNET”的额外 VLAN，并给它一些数字，如9
取消标签99在所有端口上（特别是通向 IT 和每个人的电脑的端口上）。
在通向其他需要承载互联网 LAN 的交换机的端口上进行标记。
在通往路由器的端口上，将其 PVID 设置为99
现在您需要 2 个 VLAN。在交换机上创建它们。命名并编号。例如：10- 它，20- 每个人
- 避免使用 1 号。实际上，避免使用 1 到 10。这些可能在不同的交换机上为不同用途保留。1 在某些交换机上通常为管理保留，可能难以配置。因此，根据经验，永远不要使用 VLAN 编号 1。我自己的经验法则是永远不要使用 1 到 10（Netgear 和其他交换机供应商有时将 1、2、3 用于自己的用途）。
在通往 IT vlan 中的 PC 的端口上，设置此项：PVID：10，UNTAG：10（如果您的路由器不理解 VLAN，它们也将具有 UNTAG 99）
在通往 EVERYONE vlan 中的 PC 的端口上，设置此项：PVID：20，UNTAG：20（如果您的 Router 不理解 VLAN，它们也将具有 UNTAG 99）
在通向其他交换机或 VLAN 感知设备的端口上标记 10、20（如果存在，则为 99），这将保留您对这些设备的 VLAN 行为。
在通向路由器/网关的端口上（如果您的路由器支持 VLAN）：标记 10 和标记 20。将 PVID 保留为 1。由于此端口或多或少是一个中继端口，因此它的 PVID 无关紧要，因为理论上它上面接收的所有流量都应该被标记，所以 PVID 不会执行任何操作，因此最好将其保留为默认值 1。另外最好将中继端口的 PVID 保留为 1，以防另一端的设备发送一些所需的管理流量。
在通往路由器/网关的端口上（如果您的路由器不支持 VLAN）：取消标记 10,20,99。PVID 99。这意味着 VLAN 10,20 流量（从 PC 开始的流量可以流向互联网/路由器）。源自路由器（以及互联网）的流量将能够返回，并且它将以 99 的标记进入交换机（这要归功于 99 的 PVID）
奖金：在通往电话的端口上：
- 如果您有额外的 VOIP VLAN：假设您有第三个 VLAN，名为 VOIP，编号为 30。然后，您将标记 vlan 30。这里的 PVID 无关紧要，但请将其设置为 30，以防手机发出一些未标记的流量。如果手机需要互联网访问，则 UNTAG 99。
- 如果您将 IT vlan 用于 VOIP：那么您将标记 10。PVID 无关紧要（因此您可以将其保留为默认值），但以防万一，您可以将其设置为 10，以防手机发出一些未标记的流量。如果手机需要互联网访问，请取消标记 99。
奖金：在通过菊花链连接到 PC 的电话端口上：
- 如果您有额外的 VOIP VLAN：假设您有第三个 VLAN，名为 VOIP，编号为 30。然后，您将标记 vlan 30。这里的 PVID 无关紧要，但请将其设置为 30，以防手机发出一些未标记的流量。如果手机需要互联网访问，则 UNTAG 99。
  - 如果连接到手机的 PC 属于 IT：UNTAG 10，PVID 10，请确保设置了 UNTAG 99。注意，您只能将 PVID 设置为 1 个项目，因此如果您在 PVID 30 或 10 之间进行选择，请将其保留为 10
  - 如果连接到手机的 PC 属于所有人：UNTAG 20，PVID 20，请确保设置了 UNTAG 99。注意，您只能将 PVID 设置为 1 个项目，因此如果您在 PVID 30 或 10 之间进行选择，请将其保留为 20
- 如果您将 IT vlan 用于 VOIP：那么您将标记 10。PVID 无关紧要（因此您可以将其保留为默认值），但以防万一，您可以将其设置为 10，以防手机发出一些未标记的流量。如果手机需要互联网访问，请取消标记 99。
  - 如果连接到电话的 PC 属于 IT：您不能将 IT PC 放在这里，因为电话已经在 IT VLAN 上。这意味着我们需要取消标记 10（用于 PC）和标记 10（用于电话）。您不能在同一端口上取消标记和标记同一 VLAN。因为我们可以在退出时取下或不取下标记。
  - 如果连接到手机的 PC 属于所有人：UNTAG 20，PVID 20，请确保设置了 UNTAG 99。注意，您只能将 PVID 设置为 1 个项目，因此如果您在 PVID 20 或 10 之间进行选择，请将其保留为 20

笔记：如果没有额外的 VLAN 99，使用不了解 VLAN 的路由器将无法进行互联网通信。这是因为返回的流量必须放在 VLAN 10 或 20 上，这意味着一半的返回流量将无法正确传输。VLAN 99 允许将返回流量分发到所有端口。

欲了解更多信息请查看下面的链接。

旧回复：

我有一篇与你完全相同的文章。你需要的这种设置可以通过一台交换机和一台路由器/网关来实现，它们可以识别 VLAN，而不能识别（您只需要创建一个额外的互联网 VLAN。不幸的是，互联网流量将被共享）。链接在这里：http://www.infotinks.com/netgear-vlans/

Netgear 和 HP 使用它们的 tag、untag、blank 和 pvid 符号以相同的方式处理 VLAN。Cisco 不使用这些词，但最终结果是一样的。（例如，Cisco 的中继端口与 HP 或 NETGEAR 交换机在端口上标记每个 VLAN 相同。中继端口上的 Pvid 无关紧要，您将从本文中了解到这一点）。本文将解释所有内容。您将了解如何进行一般设置。唯一未涉及的是分步 UI 说明，但作为一名技术人员，一旦您了解了目标及其实现方法，这应该很容易。首先阅读所有更新，然后重新阅读文章以确保您理解。

Answer

新回应：

首先了解这些术语：

框架：当数据包在 OSI 模型的第 2 层上运行时，它们被分解为帧/以太网帧。
802.1q VLAN：我们将通过在数据包/帧上放置 VLAN 标记来设置 VLANS - 可以删除和添加标记到数据包/帧（这引入了标记/取消标记/PVID）。还有另一个基于端口的 VLANS 概念，它基本上根据数据包/帧到达的端口来分离数据包/帧，使用基于端口的 VLANS 无法添加或删除标记的数据包/帧操作。基于端口的 VLANS 非常有限，不再使用。我们可以使用 802.1q 实现“基于端口”的 VLANS 类型的行为 - 我将在此处展示。某些端口上的 PC 将根据我们为其提供的 PVID 绑定到某个 VLAN
标签：设置为标记 VLAN #x 的端口将允许数据包/帧离开该端口（如果它们带有 VLAN #x 标记）。在离开交换机的途中，标记将保留。如果您想将数据包发送到另一个可识别 VLAN 的设备（例如交换机、VOIP 电话或可识别 VLAN 的路由器），则最好这样做。标签 = 带标签退出。
取消标记：设置为 UnTag VLAN #x 的端口将允许数据包/帧离开该端口（如果它们带有 VLAN #x 标记）。在离开交换机时，标记将被剥离。计算机和非 VLAN 感知设备需要接收未标记的数据包，因为它们不理解 VLAN 标记（除非它们具有具有此功能的特殊接口）。取消标签 = 不带标签退出。
物理标识符（PVID）：进入交换机且不带任何 VLAN 标识符（不带标签）的数据包/帧将被标记为 PVID。最终结果是交换机内的每个数据包/帧都带有某种标签。端口不能有空白的 PVID，我的意思是从技术上讲可以，但 Netgear/HP 交换机的默认 PVID 为 1。这意味着在出厂默认的交换机内，所有数据包/帧都带有标签 1，但这并不重要，因为在输出时它们都是未标记的 1（因此被删除）——就好像帧从未被更改过一样。
空白端口：如果端口没有特定 VLAN # 的 TAG 或 UNTAG，会怎么样？那么，附有特定 VLAN #（已标记）的数据包将不会离开该端口。空白端口 = 无出口。
边注：在这里，我将 PC 的下一跳称为路由器。此路由器也是您通往互联网的网关（在这种情况下，在现实生活中，您可能有一个路由器连接到另一个网络，但不能连接到互联网）。因此，我们的这个路由器可以进行路由、NAT（因此它是一个很好的默认网关，并且它还可以充当连接的状态防火墙）

如何设置 2 个 VLAN：

我假设这里的交换机严格来说是第 2 层交换机。这意味着您无法在其 VLAN 上设置 IP，因此您无法在其上进行 VLAN 路由。如果您有第 3 层交换机，并且该交换机支持在其 VLAN 上设置 IP，则可以通过不启用“IP 路由”来取消该功能。

首先确定您的路由器是否支持 VLAN。
如果确实如此，那么您不需要在交换机上创建额外的 VLAN
优点：每个 VLAN 的本地和互联网流量都是分开的。工作量更少。
缺点：每个 VLAN 都需要位于不同的 L3 子网中（例如 VLAN 10 位于 10.10.0.x/24 中，而 VLAN 20 位于 10.20.0.x/24 中）。这其实不是一个很大的缺点。但这意味着如果我们想要 DHCP，我们还需要有 2 个 DHCP 池。这意味着我们的路由器最好支持 DHCP。如果它支持 VLAN，那么很可能它也支持这些 VLAN 的 DHCP。
您需要确保在路由器上创建两个 VLAN
在路由器上，确保已创建两个 VLAN，并为这两个 VLAN 指定 IP 和子网以及 VLAN 编号（我们将使用 10 和 20）。因此，VLAN 10 的 IP 为 10.10.0.1/24，VLAN 20 的 IP 为 10.20.0.1/24。（/24 表示子网掩码为 255.255.255.0）
每个 VLAN 上的 PC 都将指向这些 IPS 作为其网关地址。例如：VLAN10 中的 PC 的网关 IP 设置为 10.10.0.1，子网掩码设置为 255.255.255.0。其实际 IP 只需为 10.10.0.100。
路由器将允许 VLAN 间通信（有时默认启用，有时需要配置）。在 Netgear 路由器上，只需在两个 VLAN 上检查“VLAN 间通信”即可
如果没有，则需要在交换机上创建一个额外的 VLAN
缺点：每个 VLAN 上的互联网流量没有被分离（所有 PC 返回的互联网/路由器流量都可以在不属于 PC VLAN 的端口上接收）。但本地流量在广播域中被分离（如要求的那样）。您需要做更多工作，因为您必须创建另一个 VLAN。
优点：您的两个 VLAN 可以位于同一个第 3 层子网中，但它们将位于不同的第 2 层子网中，因此它们不会在本地流量上进行通信。如果路由器有 DHCP 服务器，则可以为您的两个 VLAN 提供 IP（因为来自路由器的流量将能够流向两个 VLAN）
在你的路由器上，你需要创建一个名为“INTERNET”的额外 VLAN，并给它一些数字，如9
取消标签99在所有端口上（特别是通向 IT 和每个人的电脑的端口上）。
在通向其他需要承载互联网 LAN 的交换机的端口上进行标记。
在通往路由器的端口上，将其 PVID 设置为99
现在您需要 2 个 VLAN。在交换机上创建它们。命名并编号。例如：10- 它，20- 每个人
- 避免使用 1 号。实际上，避免使用 1 到 10。这些可能在不同的交换机上为不同用途保留。1 在某些交换机上通常为管理保留，可能难以配置。因此，根据经验，永远不要使用 VLAN 编号 1。我自己的经验法则是永远不要使用 1 到 10（Netgear 和其他交换机供应商有时将 1、2、3 用于自己的用途）。
在通往 IT vlan 中的 PC 的端口上，设置此项：PVID：10，UNTAG：10（如果您的路由器不理解 VLAN，它们也将具有 UNTAG 99）
在通往 EVERYONE vlan 中的 PC 的端口上，设置此项：PVID：20，UNTAG：20（如果您的 Router 不理解 VLAN，它们也将具有 UNTAG 99）
在通向其他交换机或 VLAN 感知设备的端口上标记 10、20（如果存在，则为 99），这将保留您对这些设备的 VLAN 行为。
在通向路由器/网关的端口上（如果您的路由器支持 VLAN）：标记 10 和标记 20。将 PVID 保留为 1。由于此端口或多或少是一个中继端口，因此它的 PVID 无关紧要，因为理论上它上面接收的所有流量都应该被标记，所以 PVID 不会执行任何操作，因此最好将其保留为默认值 1。另外最好将中继端口的 PVID 保留为 1，以防另一端的设备发送一些所需的管理流量。
在通往路由器/网关的端口上（如果您的路由器不支持 VLAN）：取消标记 10,20,99。PVID 99。这意味着 VLAN 10,20 流量（从 PC 开始的流量可以流向互联网/路由器）。源自路由器（以及互联网）的流量将能够返回，并且它将以 99 的标记进入交换机（这要归功于 99 的 PVID）
奖金：在通往电话的端口上：
- 如果您有额外的 VOIP VLAN：假设您有第三个 VLAN，名为 VOIP，编号为 30。然后，您将标记 vlan 30。这里的 PVID 无关紧要，但请将其设置为 30，以防手机发出一些未标记的流量。如果手机需要互联网访问，则 UNTAG 99。
- 如果您将 IT vlan 用于 VOIP：那么您将标记 10。PVID 无关紧要（因此您可以将其保留为默认值），但以防万一，您可以将其设置为 10，以防手机发出一些未标记的流量。如果手机需要互联网访问，请取消标记 99。
奖金：在通过菊花链连接到 PC 的电话端口上：
- 如果您有额外的 VOIP VLAN：假设您有第三个 VLAN，名为 VOIP，编号为 30。然后，您将标记 vlan 30。这里的 PVID 无关紧要，但请将其设置为 30，以防手机发出一些未标记的流量。如果手机需要互联网访问，则 UNTAG 99。
  - 如果连接到手机的 PC 属于 IT：UNTAG 10，PVID 10，请确保设置了 UNTAG 99。注意，您只能将 PVID 设置为 1 个项目，因此如果您在 PVID 30 或 10 之间进行选择，请将其保留为 10
  - 如果连接到手机的 PC 属于所有人：UNTAG 20，PVID 20，请确保设置了 UNTAG 99。注意，您只能将 PVID 设置为 1 个项目，因此如果您在 PVID 30 或 10 之间进行选择，请将其保留为 20
- 如果您将 IT vlan 用于 VOIP：那么您将标记 10。PVID 无关紧要（因此您可以将其保留为默认值），但以防万一，您可以将其设置为 10，以防手机发出一些未标记的流量。如果手机需要互联网访问，请取消标记 99。
  - 如果连接到电话的 PC 属于 IT：您不能将 IT PC 放在这里，因为电话已经在 IT VLAN 上。这意味着我们需要取消标记 10（用于 PC）和标记 10（用于电话）。您不能在同一端口上取消标记和标记同一 VLAN。因为我们可以在退出时取下或不取下标记。
  - 如果连接到手机的 PC 属于所有人：UNTAG 20，PVID 20，请确保设置了 UNTAG 99。注意，您只能将 PVID 设置为 1 个项目，因此如果您在 PVID 20 或 10 之间进行选择，请将其保留为 20

笔记：如果没有额外的 VLAN 99，使用不了解 VLAN 的路由器将无法进行互联网通信。这是因为返回的流量必须放在 VLAN 10 或 20 上，这意味着一半的返回流量将无法正确传输。VLAN 99 允许将返回流量分发到所有端口。

欲了解更多信息请查看下面的链接。

旧回复：

我有一篇与你完全相同的文章。你需要的这种设置可以通过一台交换机和一台路由器/网关来实现，它们可以识别 VLAN，而不能识别（您只需要创建一个额外的互联网 VLAN。不幸的是，互联网流量将被共享）。链接在这里：http://www.infotinks.com/netgear-vlans/

Netgear 和 HP 使用它们的 tag、untag、blank 和 pvid 符号以相同的方式处理 VLAN。Cisco 不使用这些词，但最终结果是一样的。（例如，Cisco 的中继端口与 HP 或 NETGEAR 交换机在端口上标记每个 VLAN 相同。中继端口上的 Pvid 无关紧要，您将从本文中了解到这一点）。本文将解释所有内容。您将了解如何进行一般设置。唯一未涉及的是分步 UI 说明，但作为一名技术人员，一旦您了解了目标及其实现方法，这应该很容易。首先阅读所有更新，然后重新阅读文章以确保您理解。

Question 2

我认为你的主要错误是试图让不同 VLAN 中的设备直接通信。这是不可能的。

您写道，您将端口 1 配置为标记为 vlan 10 2 和 vlan 20 3。这是正确的，但还不够。

首先，路由器的端口必须支持 VLAN。您需要在路由器的物理端口上配置子接口，并将其“放入”相应的 VLAN。接下来，将 VLAN 子网中的 IP 地址相应地分配给子接口，并将其用作默认网关。

其次（但并不重要），您似乎使用的是私有子网，但 20.0.0.0 不是私有子网，您不应该以这种方式使用它。例如，考虑对 VLAN 10 和 20 使用 10.0.10.0/24 和 10.0.20.0/24。

更新型多巴胺

除了“Linksys X1000，192.168.0”之外，配置看起来是正确的。53“——我猜问题中有拼写错误，应该是253。

我认为 X1000 已预先配置为仅对 192.168.0.0/24 执行 NAT。因此其他子网无法访问互联网。

Answer

我认为你的主要错误是试图让不同 VLAN 中的设备直接通信。这是不可能的。

您写道，您将端口 1 配置为标记为 vlan 10 2 和 vlan 20 3。这是正确的，但还不够。

首先，路由器的端口必须支持 VLAN。您需要在路由器的物理端口上配置子接口，并将其“放入”相应的 VLAN。接下来，将 VLAN 子网中的 IP 地址相应地分配给子接口，并将其用作默认网关。

其次（但并不重要），您似乎使用的是私有子网，但 20.0.0.0 不是私有子网，您不应该以这种方式使用它。例如，考虑对 VLAN 10 和 20 使用 10.0.10.0/24 和 10.0.20.0/24。

更新型多巴胺

除了“Linksys X1000，192.168.0”之外，配置看起来是正确的。53“——我猜问题中有拼写错误，应该是253。

我认为 X1000 已预先配置为仅对 192.168.0.0/24 执行 NAT。因此其他子网无法访问互联网。

如何在一台交换机上设置两个独立的 VLAN（HP v1910-48G 交换机）

问题

细节

答案1

新回应：

旧回复：

答案2

相关内容