VLAN 上的第 2 层广播过滤?(Cisco SG-500-52MP 上的接入端口)

tag-icon tag-icon cisco switch vlan
VLAN 上的第 2 层广播过滤?(Cisco SG-500-52MP 上的接入端口)

这是我第一次在 Cisco 上设置 VLAN,因此可能犯了一些错误 - 希望能得到一些建议。提前谢谢您。

...

根据我对交换机的理解,当收到第 2 层广播数据包时,交换机应该将其发送到广播域内除原始端口之外的所有其他端口。

如果没有 VLAN,广播域应该是所有物理端口。如果这些端口连接到交换机,那么这些交换机也会将其复制到所有其他端口。

在 VLAN 设置中,广播域是“配置”为使用该 VLAN 的所有物理端口。
注意:从技术上讲,“接口”和“标记”是正确的术语,但我注意不要使用对不同供应商可能具有不同含义的词语。

因此,如果我的理解正确,那么似乎有某种东西阻止广播流量发送到所有其他端口。我已在路由器上使用数据包嗅探器来确定这一点。在目标 mac 地址为 ff:ff:ff:ff:ff:ff:ff:ff 的特定接口上没有接收到数据包。

我的物理设置是这样的:

Cisco SG500-52MP 交换机。为 VLAN #14 配置了三个端口。在 Cisco 语言中,这些端口配置为“访问端口”。我的理解是,这意味着所有入站流量都标记为 VLAN 14。所有出站流量均未加标签。当我说“加标签”时,我的意思是将 VLAN ID 添加到数据包中,而未加标签则意味着将其剥离。

在这三个端口中,一个连接到 PC,一个连接到控制器,一个连接到 Mikrotik 路由器。路由器上的接口根本没有 VLAN 配置 - 端口没有桥接 - 它作为实际路由器运行。

在思科交换机上,当我“显示 VLAN“它告诉我:

`Vlan 标记端口 未标记端口 ---- ------------ -------------- 1 gi1/23-24、gi1/31-47、gi1/49-52、po1-32 10 14 gi1/25-30 32 gi1/49 gi1/1-22、gi1/48 200 gi1/50

接口 27-29 具有相同的交换机端口配置。
显示接口交换机端口 ge1/1/27

Added by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, T-Guest VLAN, V-Voice VLAN
Port : gi1/27
Port Mode: Access 
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: admitAll
Ingress UnTagged VLAN ( NATIVE ): 14

Port is member in: 

Vlan               Name               Egress rule     Added by     
---- -------------------------------- ----------- ---------------- 
 14                BMS                 Untagged          S         


Forbidden VLANS: 
Vlan               Name               
---- -------------------------------- 


Classification rules: 

Protocol based VLANs:                                 
  Group ID   Vlan ID 
------------ ------- 


Mac based VLANs: 
  Group ID   Vlan ID 
------------ -------

我注意到它说“入口过滤:true”..我的理解是不应该过滤掉没有 VLAN 标识符(思科语言中的 VLan #1)的数据包,因为它是一个访问端口。

显示运行 int ge1/1/29

interface gigabitethernet1/29
 switchport mode access
 switchport access vlan 14
!

另外 - 版本... 显示版本

SW version    1.4.11.2 ( date  26-Sep-2019 time  20:01:21 )
Boot version    1.3.5.06 ( date  21-Jul-2013 time  15:12:21 )
HW version    V03

当我在该 VLAN 的特定端口上使用路由器的数据包嗅探器工具时,我只能看到交换机和路由器之间的多播数据包……以及来自路由器的一个单独的发现数据包。它非常清楚地显示没有收到带有 VLAN ID 的数据包 - 这正是我所期望的。 数据包嗅探/Winbox 被动结果

当我尝试 ping 控制器主机的静态 IP 时进行数据包嗅探时,我可以看到 ARP 请求离开路由器正确,但没有收到任何内容。 数据包嗅探/Winbox ARP 结果

之前我拿了另一个小型 Mikrotik 并将其连接到思科的三个端口之一,并在接收端进行了数据包捕获。ARP 数据包没有通过。

所以这告诉我思科正在过滤它们……但为什么呢?我应该补充一点,当我配置这些交换机时,我进行了完全的出厂重置,然后复制/粘贴了我保存的配置命令。这是我排除任何拼写错误或意外引用错误界面的方法。我知道这些小型企业交换机与 Catalysts 相比有一些细微差别——有东西告诉我我被其中一个攻击了。

相关内容