討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆
joychen
joychen
8分
樓主
joychen
joychen
個人積分:8分
文章編號:7123540

關於VLAN觀念的幾個疑問

  • 2008-07-17 16:42
  • 2134
不好意思,小弟想請教幾個基本的觀念問題!
在這裡先跟願意指導小弟我的人說聲謝謝了!
^_^

1.在一台設定VLAN的路由器上,接上一台不支援VLAN的設備,路由器的vlan設192.168.254.254,不支援vlan的設備設192.168.254.1,那麼從路由器上ping該192.168.254.1時是不是就不通?

2.算是接續上一個問題的,那該路由器假設接一台支援vlan的switch,並設相同的vlan ID,另外在該路由器上設定DHCP Server的功能,那麼接在Switch上的Client PC是否需要做另外的設定(網卡設VLAN?)才能取的IP?

3.再接續,假設DHCP server是由2003 server扮演,且接在路由器的LAN上(無VLAN),且已在路由器上設定了VLAN 和 Internal network之間的routing,那該2003 sever的DHCP server可以配合IP給VLAN裡面的Client PC嗎?
2008-07-17 16:42 #1
文章關鍵字
VLAN觀念 疑問
yanni1112
yanni1112
78分
2樓
yanni1112
yanni1112
個人積分:78分
文章編號:7124562
Q1.在一台設定VLAN的路由器上,接上一台不支援VLAN的設備,路由器的vlan設192.168.254.254,不支援vlan的設備設192.168.254.1,那麼從路由器上ping該192.168.254.1時是不是就不通?

A1. 不知您所謂的router的vlan設192.168.254.254是不是指的就是router Lan的interface所設的IP, 若是的話, 只要與此port所接的設備屬於同網段的就會互通, 不管是L2 or L3 or NB...

Q2.算是接續上一個問題的,那該路由器假設接一台支援vlan的switch,並設相同的vlan ID,另外在該路由器上設定DHCP Server的功能,那麼接在Switch上的Client PC是否需要做另外的設定(網卡設VLAN?)才能取的IP?

A2. 承上一個答案, client端的網卡只需設成DHCP的狀態, 應該就可取得IP了, 若無法取得的話, 可手動設定同網段的IP再ping router or gateway測試.

Q3.再接續,假設DHCP server是由2003 server扮演,且接在路由器的LAN上(無VLAN),且已在路由器上設定了VLAN 和 Internal network之間的routing,那該2003 sever的DHCP server可以配合IP給VLAN裡面的Client PC嗎?

A3. 嗯~若是Vlan之間可以互通的話, 在2003 server上發DHCP只要設定好要發的subnet, 接著在cisco上好像要加一個指令叫IP help xxx, 應該就可以了; 這題我不是很確定, 因為很久沒用了...哈~~

yanni
2008-07-17 17:42 #2
joychen
joychen
8分
樓主
joychen
joychen
個人積分:8分
文章編號:7124782
感謝您的回覆!
但我在Q1你說的測試中,我拿NB設網段的IP去試著ping 該路由器的vlan interface ip,結果是不通的~
路由器為fortigate 60,該vlan interface ip有打開ping的存取..
2008-07-17 17:56 #3
sammy_01
sammy_01
4分
4樓
sammy_01
sammy_01
個人積分:4分
文章編號:7125759
Q1 .要看你的Switch或Router互接的Port是否有啟動 Vlan Tag 的功能 ( Tag port) ,如果都沒有那只要在對應的Vlan上bind相同網段的IP即可,如您所說Router是Fortigate ,且啟動VLAN功能,那Fortigate就會在這個Port上自動帶vlan tag,那不支援Vlan的設備自然無法解析這個封包,所以就ping不到囉,另外VLAN TAG跟 IP沒有絕對的關係喔 (VLAN是L2 , IP是L3 , L2不通就不用談L3 ,當然L2通了 L3設錯也白搭)

Q2. Client PC不用設定但是Switch對這個PC的Port要設untag並 assign到與router相同vlan上

架構會是這樣 Router(Tag port) ------- (Tag port) Switch (untag port ) ------- PC (全部都在同一個VLAN)

Q3.你所提到的問題應該是跨Vlan發IP吧 ,只要基本網路能通 那只要在 router上設定 DHCP Relay(FG上別忘記設policy,並在DHCP Server建立屬於這個VLAN的IP Segment領域(gateway 要設對,其他可以一樣 dns,wins ..etc) ,


你現在似乎要把firewall當成gateway ? 有特殊要求嗎?是想要FG-60做兩個網段間的Policy控管 還是你的switch不支援L3 Routing ? 如果機器沒幾台的話又沒有安全上的需求,不用搞到這麼複雜吧.一個普通的switch或是用FG-60的DMZ Port都可以很簡單的搞定你要的東西.而且開啟VLAN TAG的功能對firewall來說是要耗CPU resrouce來處理這些封包的,似乎沒有很大的意義.
2008-07-17 19:06 #4
beaver999
beaver999
15分
5樓
beaver999
beaver999
個人積分:15分
文章編號:7127593
想順便撘個便車問個vlan問題

有三台設備 cisco 3550 2950 與Dlink 1224T
2950有vlan 1 & vlan 2

1224T也有vlan 1 & vlan 2
要如何使他們互通彼此存取都沒有問題....2950 vlan 1 可以到 1224T vlan 1 & 2950 vlan 2...
反之亦可

trunk又有何用處....

3550接1224T的那一port要如何設定..

感謝...
2008-07-17 21:29 #5
sammy_01
sammy_01
4分
6樓
sammy_01
sammy_01
個人積分:4分
文章編號:7129037
你的這三台設備有L3 function ? 如果沒有的話,你只能Vlan 1 跟 Vlan 1通 ,Vlan 2 跟Vlan 2通 要Vlan 1通 Vlan 2是要配合 L3 Function才行的 . (別忘記Vlan 是 L2的東西) , 基本上設備跟設備間是只會接一條線的,接這個設備的Port 設成 1q Tag , 記得Cisco設定後預設會自動學習這個Port上有的Vlan,D-Link可能就要自己設定那個Port上要有哪些Vlan . Cisco 上有一些指令(不熟Cisco,但是不外乎show vlan or show interface ...)可以看目前這個Port上有哪些Vlan or 某個Vlan有哪些Port是屬於他.

至於 Trunk Port 在每個設備上的定義不太一樣. 有些設備是指 Port Trunk(多個Port視為同一個Logic Port ,像Ether channel,802.3ad等) ,有些是指設定成802.1q Tag port .這個查一下各家設備的文件就可以了 . Cisco的資料蠻多的你可以直接在cisco網站上找802.1q 之類的 keyword search一下,裡面有一堆sample可以參考.

如果這三台有一台有L3功能,那只要把 不同IP 網段的IP bind 在Vlan 1跟Vlan 2上 .enable ip routing (當然同Vlan 要先通), 底下不同Vlan所接的設備的gateway分別指到該L3 設備Vlan的IP 上就可以routing了
2008-07-17 22:53 #6
beaver999
beaver999
15分
7樓
beaver999
beaver999
個人積分:15分
文章編號:7132125
cisco 3550就是L3 switch
當初問過Dlink..
Dlink說Cisco 3550似乎不支援帶Tag
似懂非懂..

2950要與1224的同Vlan相通....

如果3550上面設switchport mode access valn 1
1224T不用設定即可跟2950 vlan 1 vlan 2相通...
但是1224T 的vlan 2就連上網都不行....

2008-07-18 6:41 #7
自由人
自由人
114分
8樓
自由人
自由人
個人積分:114分
文章編號:7133048

beaver999 wrote:
Dlink說Cisco 3550似乎不支援帶Tag


Cisco 3550應該有支援帶Vlan Tag,試看看vlan dot1q tag native指令吧!

beaver999 wrote:
如果3550上面設switchport mode access valn 1
1224T不用設定即可跟2950 vlan 1 vlan 2相通...
但是1224T 的vlan 2就連上網都不行....


這段不確定,您要給三台機器的接線圖,再加上各機器switch port的組態,才有辦法知道您的問題在那!
非必取而不出眾,非全勝而不交兵,緣是萬舉萬當,一戰而定!
2008-07-18 9:14 #8
joychen
joychen
8分
樓主
joychen
joychen
個人積分:8分
文章編號:7133706
感謝各位大大的回覆!
會這樣接只是想要學習跟嘗試而已,並不是想要玩的這麼複雜啦^^"
所以從Fortigate出來的VLAN封包因為是帶Tag的關係,所以才會讓直接接的notebook取不了Fortigate上的dhcp ip囉

感謝^^吸收了不少知識~~
2008-07-18 9:55 #9
sammy_01
sammy_01
4分
10樓
sammy_01
sammy_01
個人積分:4分
文章編號:7140219
你如果是啟用FG上的Vlan功能,那個Interface就會把Vlan tag加上去,不然沒辦法辨認這個封包是屬於哪個Vlan的.介接的設備如果沒有啟動Vlan 功能,就不會去解析Vlan Tag的欄位. 而且會把這個封包當成一般untag的封包處理,那整個封包的format就不對了,自然解出來的東西就是錯的.所以DHCP就配不到IP了
至於Cisco Switch的問題剛剛看了一下Cisco網站, 3550的確至少有支援basic ip routing 功能,就如自由人所說要看網路架構跟設定檔了.不過猜一下應該是1224T接3550的Port並沒有啟動 Vlan tag , 他是用default Vlan(VID 1) untag 送到Cisco上,所以vlan 1可以通,vlan 2就不行了,如果是這樣你不只要改Cisco上的設定 1224T也要改喔,應該是在1224T的 802.1Q VLAN的選單下 把 接 cisco 的port assign tag到 vlan1 跟vlan 2上喔(預設應該是vlan 1 untag )
2008-07-18 16:26 #10
我要回覆

小惡魔廣編特輯

vivo X200 Pro 蔡司影像旗艦 從人像到望遠一機搞定!v.s. Samsung S25 Ultra
別再觀望!入門 Gogoro 千載難逢的最佳時刻就是現在!
LG Styler 第二代蒸氣電子衣櫥-極淨護衣 品味如新
關閉廣告
顯示廣告
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定

今日熱門文章 網友點擊推薦!