vlan转发
vlan转发
提问于 2022-11-16 22:49:48
我有一个具有集群上行链路和vlan上的访问端口的juniper ex2200c。我将设备插入访问端口,端口镜像访问端口和上行链路(在不同的时间,因为一次只能有一个分析器)。我看到dhcp请求出现在访问端口中,但是只有CDP数据包在vlan上输出上行链路(用于设备mac地址的tshark)。在2200上不启用STP。我不知道什么能让一些数据包被转发,而不允许其他的。这是一个简单的配置,唯一的防火墙是在lo0上控制对2200本身的访问。
轻微修改配置:
## Last commit: 2022-11-17 08:40:26 PST by alan
version 15.1R7-S12;
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members vlan3999;
}
}
}
}
...
ge-0/0/10 {
description "Mirror tap";
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
description "Phone connection";
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members vlan24;
}
}
}
}
ge-0/1/0 {
description "Uplink";
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
/* Phone VLAN */
members vlan24;
}
/* Local Engineering VLAN */
native-vlan-id 3999;
}
}
}
ge-0/1/1 {
unit 0 {
family ethernet-switching;
}
}
lo0 {
unit 0 {
family inet {
filter {
input acl99;
}
}
}
}
vlan {
unit 24 {
description "Phone LAN";
family inet {
address 10.64.24.21/24;
}
}
unit 3999 {
description "Engineering LAN";
family inet {
address 10.64.18.21/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.64.18.1;
}
}
protocols {
lldp {
interface all;
}
lldp-med {
interface all;
}
}
policy-options {
prefix-list all {
0.0.0.0/0;
}
prefix-list acl99 {
10.64.18.0/24;
}
prefix-list acl98 {
10.64.18.0/24;
}
}
firewall {
family inet {
filter acl99 {
term ssh_telnet_allow {
from {
source-prefix-list {
acl99;
}
destination-port [ ssh telnet http ];
}
then accept;
}
term ssh_telnet_deny {
from {
source-prefix-list {
all;
}
destination-port [ ssh telnet http ];
}
then {
discard;
}
}
term snmp_allow {
from {
source-prefix-list {
acl98;
}
destination-port 161;
}
then accept;
}
term snmp_deny {
from {
source-prefix-list {
all;
}
destination-port 161;
}
then {
discard;
}
}
term ntp_allow {
from {
source-prefix-list {
acl98;
}
destination-port 123;
}
then accept;
}
term ntp_deny {
from {
source-prefix-list {
all;
}
destination-port 123;
}
then {
discard;
}
}
term everything_else {
then accept;
}
}
}
}
ethernet-switching-options {
analyzer phone {
ratio 1;
loss-priority low;
input {
ingress {
interface ge-0/0/11.0;
}
egress {
interface ge-0/0/11.0;
}
}
output {
interface {
ge-0/0/10.0;
}
}
}
inactive: analyzer uplink {
ratio 1;
loss-priority low;
input {
ingress {
interface ge-0/1/0.0;
}
egress {
interface ge-0/1/0.0;
}
}
output {
interface {
ge-0/0/10.0;
}
}
}
storm-control {
interface all;
}
}
vlans {
vlan24 {
description "Phone VLAN";
vlan-id 24;
l3-interface vlan.24;
}
vlan3999 {
description "Engineering LAN";
vlan-id 3999;
l3-interface vlan.3999;
}
}回答 1
Network Engineering用户
发布于 2022-11-16 23:15:02
如果您镜像了上行链路端口,这是一个802.1q中继,您将不得不找出(或确保).
- 端口镜像配置将标记的和未标记的帧复制到镜像目标端口。
- 镜像目标端口不会像在源端口那样剥离vlan标记。
- 捕获设备的NIC不会丢弃标记的帧(并非所有的NIC都可以这样做,有些需要在Windows中的NIC驱动程序或注册表标志中进行特殊配置)
另外,查看DHCP在该交换机上窥探的可能配置位。DHCP窥探可以拦截非法DHCP数据包,并将其丢弃在不需要的端口上,这是一种阻止流氓DCHP服务器的功能。可能存在这样的设置--或者早期配置的剩菜。
页面原文内容由Network Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://networkengineering.stackexchange.com/questions/80571
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号