Juniper SRX(Junos OS) Virtual LAN(VLAN) 虛擬區域網絡設定

-

Juniper SRX(Junos OS) Virtual LAN(VLAN) 虛擬區域網絡設定

何謂VLAN?
所謂虛擬區域網路(Virtual LAN - VLAN)就是一種邏輯區域網路(Logical LAN),能夠根據邏輯關聯來規劃子網路。
VLAN 可以把一個實體 LAN 分割成多個虛擬 LAN 使用,分割出來的 VLAN 是各自獨立的,VLAN VLAN 之間是互相無法溝通的,而VLAN之間的溝通需要透過路由器或是L3 Switches(L3交換器才有路由功能)來連接。

VLAN可以對不同實體區域網了設備進行邏輯分群管理,並降低區域網內大量數據流通時,因無用數據包過多導致擁塞的問題,以及提升區域網的信息安全保障。
為何要切VLAN,主要是藉由減少封包碰撞與網路廣播來提升網絡效能,並增加安全性。

如果整個網絡只有一個廣播域,那麼一旦發出廣播信息(Broadcast),就會傳遍整個網絡,並且對網絡中的主機帶來額外的負擔。
您也許會問:廣播信息真是那麼頻繁出現的嗎?
答案是:是的!實際上廣播幀會非常頻繁地出現。利用TCP/IP協議棧通信時,除了前面出現的ARP外,還有可能需要發出DHCPRIP等很多其他類型的廣播信息。
下面是一些常見的廣播通信:
1ARP請求:建立IP位址和MAC地址的映射關係。
2RIP:一種路由協議。
3DHCP:用於自動設定IP位址的協議。
4NetBEUIWindows下使用的網絡協議。
5IPXNovellNetware使用的網絡協議。
6Apple Talk:蘋果公司的Macintosh計算機使用的網絡協議。

VLAN 可以把實體 LAN 分割,一個 VLAN 的廣播信息不會傳送到另一個 VLAN,每一個 VLAN 就變成是一個獨立的廣播網域,能夠提升網絡效能。
另一方面,廣播信息在網絡上散播亦有可能造成保安問題,只要下載一些封包截取軟件例如:Wireshark,即可打開廣播信息封包,窺探到其他主機的重要資訊,例如IP位址 和 MAC位址,利用 VLAN 可以限制廣播信息只在信任的網絡中散播。

VLAN 有兩種封裝類型,就是 ISL (Inter-Switch Link) IEEE 802.1q (下稱 802.1q)ISL Cisco 專有的,只有 Cisco 設備才能設定; 802.1q 則是公開的,任何廠商均可支援。

只要在數據包包頭寫上 VLAN 號碼 (VLAN ID) 後才把數據包(Packet) 送走,其他的交換器(Switches) 就可以憑這個 VLAN ID 來知道數據包是屬於哪個VLAN的,這就是所謂 802.1q VLAN Tag
而要傳送這些 VLAN Tag,我們需要把交換器與交換器之間的連結端口(Link port)設定成 Trunk,因為只有 Trunk Link 才可以容納不同的 VLAN


關於TrunkHybridAccessTagUntagVIDPvid的關係與區別
一、相關定義
1Trunk端口
Trunk口上可以同時傳送多個VLAN的包,一般用於交換機之間的鏈結。
要為物理接口上接收的未標記數據包配置VLAN標識符,請使用native-vlan-id選項。如果未配置native-vlan-id選項,則刪除未標記的數據包。
2Hybrid端口
Hybrid口上可以同時傳送多個VLAN的包,一般用於交換機之間的互聯或交換機和電腦主機之間的連接。
3Access端口
Access口只能屬於1VLAN,一般用於連接電腦主機的端口。
4TagUntag
Tag是指vlan的標識,即vlanid,用於指名資料包是屬於那個vlan
Untag指資料包沒有vlan標識,不屬於任何vlan
Tag是數據包中一個四字節數據,其包含數據包的vlan id及優先級信息。若數據包中包含tag信息,則其將跟隨數據包在交換機間進行交換,並在不同設備中保存此標記信息。
5VIDPVID
VIDVLAN ID)是VLAN的標識,定義其中的端口可以接收發自這個VLAN的包。
PVIDPort VLAN ID)定義這個untag端口可以轉發哪個VLAN的包。
綜合起來說,一個端口只有一個PVID,但可屬於多個VID
比如,當端口1同時屬於VLAN1VLAN2VLAN3時,而它的PVID1,那麽端口1 可以接收到VLAN123的數據,但發出的包只能發到VLAN1中。
pvid的意思就是說,一個ip包進入交換機端口的時候,如果沒有帶tag頭,且該端口上配置了pvid,那麽,該數據包就會被打上相應的tag頭! 如果 進入的ip包已經帶有tag頭(vlan資料)的話,那麽交換機一般不會再增加tag頭,即使是端口上配置了pvid號;pvid (端口vlan id) 是非標記端口的vlan id 設定。當非標記數據包進入交換機,交換機將檢查vlan設定並決定是否進行轉發。
即端口vlan id號,當非標記資料包進入交換機,交換機將檢查vlan設定並決定是否進行轉發。當一個ip包進入交換機埠的時候,如果沒有帶tag頭,而該埠上配置了 pvid,那麼,該資料包就會被打上相應的tag頭!如果進入的ip包已經帶有tag頭(vlan資料)的話,那麼交換機一般不會再增加tag頭。
PVID通常代表端口IDVID代表VLANID,在沒有出現802.1Q前,都是采用基於MAC或端口的VLAN,推出基於標記的802.1Q後才出現VID,如果劃分基於端口的VLAN時,只需配置PVID就可以了,如果要劃分基於802.1Q的加標記的VLAN 時,就需配置VID了。
二、埠的TagUntag
若某一埠在vlan設定中被指定為非標記埠untagged port,所有從此埠轉發出的資料包上都沒有標記 (untagged)。若有標記的資料包進入交換機,則其經過非標記埠時,標記將被去除。因為目前眾多設備並不支援標記資料包,其也無法識別標記資料包,因此,需要將與其連接的埠設定為非標記。
若某一埠在vlan設定中被指定為標記埠tagged port,所有從此埠轉發出的資料包上都將有標記 (tagged)。若有非標記的資料包進入交換機,則其經過標記埠時,標記將被加上。此時,其將使用在ingress 埠上的pvid設定作為增加的標記中的vlan id號。
三、埠的封裝類型:ISL802.1Q
ISL Trunk上所有的包都是tag的(Cisco專用);
802.1q 設計的時候為了相容與不支援VLAN的交換機混合部署,特地設計成可以不tag:但是只有一個VLAN允許不tag (Native VLAN),這樣NVLAN(N-1)個都tag了,不tag的包一定是來自那個特殊VLAN的,所以不會亂套(當然也可以所有VLANtag)。
四、各類型的埠收發資料的區別

VLAN各類型的埠收發資料的區別
端口類型
對接收封包的處理
發送封包時的處理
當接收到的封包不帶Tag
當接收到的封包帶有Tag
Access端口
接收該封包,並為封包添加預設VLANTag
1.VLAN ID與預設VLAN ID相同時:接收該封包。
2.VLAN ID與預設VLAN ID不同時:丟棄該封包。
由於VLAN ID就是預設的VLAN ID,不用設置,去掉Tag後發送
Trunk端口
1.VLAN ID與預設VLAN ID相同時:接收該封包。
2.VLAN ID與預設VLAN ID不同時,但VLAN ID是該端口允許通過的VLAN ID時:接收該封包。
3.VLAN ID與預設VLAN ID不同時,但VLAN ID是該端口不允許通過的VLAN ID時:丟棄該封包。
1.VLAN ID與預設VLAN ID相同時:去掉該Tag,發送該封包。
2.VLAN ID與預設VLAN ID不同時:保持原有Tag,發送該封包。
Hybrid端口
當封包中攜帶的VLAN ID是該端口允許通過的VLAN ID時,發送該封包,並可以通過port hybrid vlan命令配置端口在發送該VLAN(包括預設VLAN)的封包時是否攜帶Tag






下面為Juniper SRX100 vlan設定示範:

設定L2 ethernet-switching VLAN
set vlans vlan-trust vlan-id 3
set vlans vlan-trust l3-interface vlan.0
set interfaces vlan unit 0 family inet address 192.168.1.1/24
set interfaces fe-0/0/1 unit 0 family ethernet-switching port-mode access
set interfaces fe-0/0/1 unit 0 family ethernet-switching vlan members vlan-trust
set interfaces fe-0/0/2 unit 0 family ethernet-switching port-mode access
set interfaces fe-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust

set vlans vlan-sales vlan-id 5
set vlans vlan-sales l3-interface vlan.1
set interfaces vlan unit 1 family inet address 192.168.2.1/24
set interfaces fe-0/0/3 unit 0 family ethernet-switching port-mode access
set interfaces fe-0/0/3 unit 0 family ethernet-switching vlan members vlan-sales
set interfaces fe-0/0/4 unit 0 family ethernet-switching port-mode access
set interfaces fe-0/0/4 unit 0 family ethernet-switching vlan members vlan-sales


設定L3 VLAN
set interfaces fe-0/0/5 vlan-tagging   ##設定vlan-tagging 才能與swithces溝通vlan訊息
set interfaces fe-0/0/5 unit 0 vlan-id 66
set interfaces fe-0/0/5 unit 0 family inet address 192.168.66.1/24
set interfaces fe-0/0/5 unit 1 vlan-id 67
set interfaces fe-0/0/5 unit 1 family inet address 192.168.67.1/24
set interfaces fe-0/0/5 unit 2 vlan-id 68
set interfaces fe-0/0/5 unit 2 family inet address 192.168.68.1/24


設定VLAN所屬安全區
set security zones security-zone trust host-inbound-traffic system-services all  ##DHCP服務能通過trust安全區,也能設定在個別介面
set security zones security-zone trust interfaces vlan.0
set security zones security-zone trust interfaces vlan.0 host-inbound-traffic system-services dhcp  ##DHCP服務能通過個別介面
set security zones security-zone trust interfaces vlan.1
set security zones security-zone trust interfaces vlan.1 host-inbound-traffic system-services dhcp

set security zones security-zone trust interfaces fe-0/0/5.0
set security zones security-zone trust interfaces fe-0/0/5.1
set security zones security-zone trust interfaces fe-0/0/5.2


設定VLAN會用到的DHCP pool address
set system services dhcp name-server 168.95.1.1      ##指定DNS SERVER,會套用到子網路(若子網路個別設定了以個別子網路的設定為主)
set system services dhcp name-server 168.95.192.1

set system services dhcp pool 192.168.1.0/24 address-range low 192.168.1.11      ##指定位址集區範圍
set system services dhcp pool 192.168.1.0/24 address-range high 192.168.1.111
set system services dhcp pool 192.168.1.0/24 router 192.168.1.1             ##指定子網路的default gateway
set system services dhcp pool 192.168.1.0/24 propagate-settings vlan.0      ##指定套用設定之介面

set system services dhcp pool 192.168.2.0/24 address-range low 192.168.2.11
set system services dhcp pool 192.168.2.0/24 address-range high 192.168.2.111
set system services dhcp pool 192.168.2.0/24 router 192.168.2.1
set system services dhcp pool 192.168.2.0/24 propagate-settings vlan.1

set system services dhcp pool 192.168.66.0/24 address-range low 192.168.66.11
set system services dhcp pool 192.168.66.0/24 address-range high 192.168.66.111
set system services dhcp pool 192.168.66.0/24 router 192.168.66.1
set system services dhcp pool 192.168.66.0/24 propagate-settings fe-0/0/5.0

set system services dhcp pool 192.168.67.0/24 address-range low 192.168.67.11
set system services dhcp pool 192.168.67.0/24 address-range high 192.168.67.111
set system services dhcp pool 192.168.67.0/24 router 192.168.67.1
set system services dhcp pool 192.168.67.0/24 propagate-settings fe-0/0/5.1

set system services dhcp pool 192.168.68.0/24 address-range low 192.168.68.11
set system services dhcp pool 192.168.68.0/24 address-range high 192.168.68.111
set system services dhcp pool 192.168.68.0/24 router 192.168.68.1
set system services dhcp pool 192.168.68.0/24 propagate-settings fe-0/0/5.2


設定安全策略讓VLAN之間彼此能互通
由於本範例將所有的vlan都設置在trust安全區,所以只要一條安全策略就能讓所有的vlan都能互通,但是您也可以將vlan配置在不同的安全區,這樣就可以個別指定那些vlan可以互通,那些不能互通,藉以提高安全性。
又或者您可以將firewall filters套用在個別的vlan介面上,好限制此vlan介面不能存取的網段。
set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match application any
set security policies from-zone trust to-zone trust policy trust-to-trust then permit



子網路Swithcesvlan相關設定(搭配SRX100 fe-0/0/5介面的設定)
本範例為一8prots簡單網管型switches,簡單網管交換機預設埠1為溝通彙聚埠(Trunk port),且vlan 1無法被刪除。
首先要將交換機埠1SRX100 fe-0/0/5埠相連,SRX100 fe-0/0/5埠已經設定好VLAN ID66,67,68三個VLAN,並已經設定好DHCP Server服務,預設只要接入交換機的2,3,4埠,就能取得相對應的IP網段之IP
設定方法如下:
交換機1為連接SRX100 fe-0/0/5埠的VLAN彙聚口(Trunk port),埠2-4設定給VLAN 66-68使用,埠5-8用不到,我們設定成單獨的VLAN 6
首先,在VLAN ID號裏填66VLAN 名可以任意(本例空白),然後埠1 選擇Tagged,埠2 Untagged,然後點增加。
然後設置VLAN67VLAN68
設置完後結果如下:


VLAN ID 設置好之後,進入VLAN PVID埠設置,將埠的PVID 設置成跟VLAN ID 一致,封包的允許類型設定為ALL(所有),如下圖:
(PS:同一個VLANVLAN IDPVID編號要設定一致,否則VLAN會不通,無論有無TAG標記都一樣不通)
                                                               


設置完後請在工具裏點擊保存,否則斷電後會導致設置丟失。



這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

-
圖片
如何測試網路連線--網路斷線了怎麼辦? 如何測試網路連線 -- 網路不通了 DIY 自行檢測網路連線 當我們打開電腦,卻發現無法上網了,這時候我們該怎麼辦呢 ? 如果在公司的話,我們可以請電腦人員來處理,而若是在家裡,我們就必須 DIY 先自行檢查一遍,如果檢查後仍然不能上網的話,我們也只能請朋友或是廠商來維修了。 而我們又要如何 DIY 先自行檢查呢 ? 請您依照下列步驟來進行: 第一步:進入 DOS 命令列模式。 按 " 視窗鍵 +R 鍵 " ,開啟執行視窗並輸入 " cmd " 後按 enter 鍵來進入 DOS 命令列模式。 第二步:檢查 ip 是否正常。 請輸入 " ipconfig " 來 檢查有無取得正常 IP 或是 IP 設定是否正確。 若電腦要上網,則每台電腦 一 定都要配有一個 IP 位址才行,本例的 IP 位址為 192.168.1.11 。 而 IP 位址分成 公共 IP 與 私有 IP 兩種, 只有公共 IP 才能上網 ( 網際網路 ) ,私有 IP 是無法直接上網的,私有 IP 只能在區域網路中使用 。而因為公共 IP 太少,所以要搭配私有 IP 來上網才行,這樣就可以達到以 100 台電腦,或是以 10000 台電腦,使用私有 IP 經過網路設備的轉換而達成只需使用 1 個公共 IP 就能讓大家一起上網的目的了。 私有 IP 無法直接連接網際網路,需要使用 網絡地址轉換( Network Address Translator , NAT ) 或者 代理伺服器   ( proxy server ) 來實現。與公網 IP 相比,私有 IP 是免費的,同時節省了 IP 位址資源,適合在區域網使用。私有 IP 常被用於家庭,學校和企業的區域網。 私有 IP 的範圍: 192.168.XX. XX 172.16. XX.XX – - 172.31. XX.XX 10. XX.XX.XX 我們只要看到 IP 位址開頭為上述範圍的 IP ,就表示您的 IP 為私有 IP 。 還有一種 ip 位址為 169.254. X.X , 這種
閱讀完整內容

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

-
圖片
ASUS 筆記電腦更新 BIOS 失敗無法開機 —用 CH341A 編程 器重刷 BIOS 教學! 前一陣子買了一台新的筆記電腦 (∩_∩) ,因此讓跟了我多年的 ASUS A42JA 筆電因此就被束之高閣沒有再被使用了 ヽ (´ ー ` )┌ ,後來想說反正放著不用也是浪費,乾脆就整理一下拿到拍賣網站給便宜賣掉算了 (¬ ‿ ¬) ,於是便動手開始移除個人的資料, 把 WINDOWS 7 系統還原到出廠狀態,順便一起更新 BIOS 的版本 ,而更新的過程很順利,在寫入 100% 後便自行重開機,重開機後小弟發現電源燈與硬碟燈皆恆亮,且螢幕沒有畫面,但小弟當然得等著它繼續開機更新 BIOS ,可是 2 分鐘 .. , 5 分鐘過了 .. ,情況還是一樣,此時心中不禁起了疑惑   (• ิ _• ิ )? ,不會吧 ! 會不會更新失敗了 ? 難道這麼倒楣的事都讓小弟我給碰上了 ? 一直等到十分鐘過後,小弟我終於失去耐性了,便下定決心長按電源鍵來讓筆記電腦強行關機   ( ╯‵ □′) ╯ ︵ ╧═╧ ,然後再開機,結果依然還是沒有畫面,電源燈與硬碟燈都恆亮的情況,小弟仍不死心的又重試了幾次,問題最後終於明朗化了,他媽的 BIOS 真的更新失敗了,對小弟來說一直是傳說中的問題竟被我給遇上了 !!!   。゜゜ (´ O `) ゜゜。 因為這台 ASUS A42JA 筆電已購置多年,早就過保固了,因此小弟先上網 GOOGLE 下,發現這類問題 ASUS 原廠通常是換主機板(這是在論壇上討論的內容),且一片要價 $5000 元   ( ⊙ _ ⊙ ) ,所以送回原廠維修的方案小弟就不考慮了(超出了筆電的價值沒有維修的必要),小弟接著再努力的 GOOGLE 幾下,終於發現 BIOS 更新失敗後似乎可以自行使用燒錄器來重刷 BIOS  (¬_¬;) ,於是這便成為小弟唯一可行的解決方案了。 從網路上找到的刷 BIOS 案例中,發現大多是使用 ”CH341A 編程器 ( 燒錄器 ) ” 來進行燒錄作業,其基本作法是用烙鐵將主機板上的 BIOS 晶片( 芯片 ) 拆下,再用 CH341A 燒錄器將原廠下載的 BIOS 檔案燒入芯片中,最後再將 BIOS 芯片焊接回筆電主機板上。而因為小弟也是電子相關科系出身,也曾拿烙鐵來焊接電子零件,所以
閱讀完整內容

INTEL XTU使用教學以及對筆電應具備的XTU設定概念

-
圖片
INTEL XTU 使用教學以及對筆電應具備的 XTU 設定概念 這篇文章除了教您如何使用 Intel XTU 之外,還告訴您許多 XTU 設定上的觀念,以及如何使用 XTU 來優化您的筆電等,在文中還有新、舊版本的 Intel XTU 開機自啟動相關的設定方法提供給大家來參考看看。 本篇文章主要是從初學者的角度出發來撰寫的,所以內容較為初淺,且繁雜,尚請各位大大多多體諒 ! 內容多為網路上蒐集而來,由小弟加以整理並加入個人的看法,若有校稿不力或是觀念錯誤的地方,尚請各位大大不吝指正,小弟必盡速更正 ! 在此先萬分感謝各位大大的愛護與支持,感謝您 !   內文開始   Intel 原廠網站是這樣說明的: Intel® 極致調整公用程式( Intel ® Extreme Tuning Utility - Intel® XTU )是一種簡易的 Windows 效能調整應用程式,可讓新手和經驗豐富的愛好者超頻、監控和壓力系統。軟體介面有一系列強大的功能,在大部分玩家平臺中都很常見。這種介面在新的 Intel® 處理器和主機板上也有特殊功能。 PS:上面這段話的意思是 -- Intel XTU 是 Intel 所推出的 一種簡易的 Windows 效能調整應用程式,透過對 CPU 電壓與功耗限制等的調整,可讓新手和經驗豐富的愛好者來對 Intel CPU 進行 超頻 、 監控 和 做壓力測試 。以小弟的電腦來說, CPU 經過 XTU 適當的調教之後,可以憑空增加約 30% 左右的效能,這可是得多花好幾千塊錢買更好的電腦才辦的到的事哦 ! 適用於下列產品。     Intel® Core™ i3-7350K 處理器 ( 4M 快取記憶體, 4.20 GHz)     Intel® Core™ i3-8350K 處理器( 8M 快取記憶體, 4.00 GHz )     Intel® Core™ i3-9350K 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i3-9350KF 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i5-3570K 處理器 ( 6M 快取記憶體,最高 3.80 GHz)     I
閱讀完整內容