各位大大您好
小弟是網路新手,請各位指教一下
我有一個Aruba Instant On 1930 Switch (24port),想架設網路,架設兩個VLAN,這兩個VLAN之間是不通的,然再這兩個VLAN再經該Switch中的一個Port,接到router/firewall上網。
大致設定如下:
Port 01-10 : VLAN 10 (Untag VLAN 10、Tag VLAN 40) <VLAN 10為Management VLAN>
Port 11-20 : VLAN 20 (Untag VLAN 20、Tag VLAN 40)
Port 23 : VLAN 30,會設定為Trunk,預留用作接駁另外一隻switch使用
Port 24 : VLAN 40 (Untag VLAN 40、Tag VLAN 10和VLAN 20),此Port用於接到router/firewall上網。
PVID跟Untag的一樣
我用這樣設定,最後是不成功,不能上網,我發現VLAN 10和VLAN 20,是跟VLAN 40不能互通,但我已經在VLAN 40 Tag了這兩個VLAN,而VLAN10和VLAN20也TAG了VLAN 40,是否我概念上有錯誤呢?
已邀請的邦友 {{ invite_list.length }}/5
概念上是大錯特錯
VLAN 互通是用路由器/ROUTER再配合POLICY去達成的
有LAYER 3功能的交換機是當是路由器處理
1960就我所知是LAYER 2而已
謝謝大大回覆
我也測試過,當我將Port24設定為trunk port,那立即成功上網。
為什麼?
另外我也想弄請楚,我在PVID 10 (即VLAN 10) tag上VLAN 40,是不是送出的DATA會打上VLAN 40的資料,然後DATA可以進VLAN 40,不能到其他VLAN嗎?
大錯特錯 again
PVID = 你普通電腦接上SWITCH時候要到那個VLAN
UNTAGGED VLAN = Swithchpoint mode Trunk Native vlan 1
TAGGED VLAN = Swithchpoint mode Trunk 上可以通行的VLAN
可以通行的VLAN =/= 那些VLAN之間可以到其他VLAN
再說一次, VLAN 互通是用路由器/ROUTER再配合POLICY去達成的
感覺完全錯誤,
你會通完全是誤打誤撞
Trunking Port 基本上不應該把經過的 packet 貼上 tag,
Access Port 是用來接終端設備(非 Switch 設備),所以應該只帶一個 Tag,或設成 untag
而不同 VLAN 之間應該透過 VLAN Routing 來完成
tag 跟 untag是交換機或是Router之間通訊的協定
1.設定是針對port設定vlan,例如port24 tag vlan10 或 port23 untag vlan20,所以你上面說vlan40 tag vlan10 以及 vlan10、20 tag vlan40這個說法是錯誤的
2.設定是用來互相通訊的所以除了你的1930外你對接的設備也要設定,你說你port24設定tag會通那就代表你對接的設備設定是帶tag的
3.vlan之間的互通跟樓上blue大說的一樣是要透過路由跟policy去決定的,1930應該是無法做到L3的功能,你需要設定的應該是1930上串的L3設備
基本上tag是用在兩個設備都支援VLAN的情況下,要從一台設備告訴另外一台設備VLAN ID才會需要用到。
untag可以想成在單一設備裡面這個untag的Port群組是互通的,但是不能跨設備,因為是untag(不會帶VLAN ID),所以跨設備的話,另外一台設備會不知道怎麼處理封包。這時候就需要PVID來幫忙帶上VLAN ID。
依照您的設定分別解釋如下:
Port 01-10 : VLAN 10 (Untag VLAN 10、Tag VLAN 40)
Port 01-10在這個設備裡面傳送的untag封包都會被視為VLAN 10的封包,並在該設備內部轉發到其他Port 01-10;
Port 01-10在這個設備裡面傳送的tag封包會被標記為VLAN 40,並在該設備內部或外部轉發到其他允許VLAN 40封包通過的設備。也就是說兩個設備之間有要求互通的VLAN,並且希望跨設備時標記不同的VLAN ID,需要在這些端口上進行tagging。
Port 01-10設定為Untag VLAN 10、Tag VLAN 40,表示此設備上的流量在進出這些端口時,會被當作VLAN 10的流量處理,但如果流量離開這些端口進入另一台設備,會被標記為VLAN 40。
Port 11-20 : VLAN 20 (Untag VLAN 20、Tag VLAN 40)
Port 11-20在這個設備裡面傳送的untag封包都會被視為VLAN 20的封包,並在該設備內部轉發到其他 Port 11-20;
Port 11-20在這個設備裡面傳送的tag封包會被標記為VLAN 40,並在該設備內部或外部轉發到其他允許VLAN 40封包通過的設備。也就是說兩個設備之間有要求互通的VLAN,並且希望跨設備時標記不同的VLAN ID,需要在這些端口上進行tagging。
Port 11-20設定為Untag VLAN 20、Tag VLAN 40,表示此設備上的流量在進出這些端口時,會被當作VLAN 20的流量處理,但如果流量離開這些端口進入另一台設備,會被標記為VLAN 40。
Port 24 : VLAN 40 (Untag VLAN 40、Tag VLAN 10和VLAN 20),此Port用於接到router/firewall上網。
這表示Port 24可以傳送和接收untag VLAN 40 封包,以及帶tag的 VLAN 10 和 VLAN 20 封包。
Port24設定為trunk port,那立即成功上網<==這個是有原因的,因為trunk會變成這個Port允許哪些帶Tag的VLAN通過。也就是說Port 24在非trunk port情況下,只允許VLAN 40通過,這時router/firewall接的那個孔要設定成VLAN 40才會通。
PVID指的是如果跨設備不指定(沒有給Tag)VLAN ID,預設使用PVID。
※以上小結,如有錯誤再麻煩大神幫忙糾正,感謝!
Port 01-10 : VLAN 10 (Untag VLAN 10、Tag VLAN 40) <VLAN 10為Management VLAN>
這個設定是指 Port 01-10 要連去10台交換器(或是AP上要區分VLAN)的設定
通常會設成
Port 01-10 : VLAN 10 Untag --->PC
Port 11-20 : VLAN 20 Untag --->PC
Port 21-22 : VLAN 30 Untag --->PC
Port 23 : VLAN 10 Untag, Tag 30,40 ---> Switch
Port 24 : VLAN 10 Untag, Tag 20,30,40 --->router/firewall
各VLAN通或不通在router/firewall上設定,跟1930沒關係
善用1930 Default VLAN 1的預設值,先把環境設通後,再去加Tag的設定
iThome鐵人賽
看影片追技術