Layer-2交换机全局默认网关

Question

我的问题是:如果一个交换机只能有一个全局默认网关，这是否意味着他只能通过一个接口VLAN IP地址来远程管理(局域网外)，如果是的话，为什么每个VLAN接口都没有默认网关。

我知道这不是一个非常技术性的问题，但是如果有人能解释的话，它会帮助我理清头脑中的事情。

Answer 1

交换机只需要一个管理地址。该地址就像连接到VLAN的主机(大多数主机只有一个地址)，而该主机需要一个地址和一个默认网关。你为什么认为这个主机需要多个地址？

我们生活在一个第三层的世界，你应该能够从你的路由器(S)(默认情况下)允许的任何网络到达交换机管理地址。是的，如果您是从不同的网络开始，您必须通过路由器才能到达交换机管理地址，但这并不重要。

您还可以在路由器(S)中的网络之间放置ACL，以限制VLAN之间的访问。这使您可以为您的网络基础设施设备(如交换机、WAPs等)创建一个管理VLAN，并且可以限制某些人对此VLAN的访问。安全性应该是分层的:首先限制对设备管理的任何访问，然后使用AAA来管理设备。

Answer 2

第二层交换机不使用全局网关路由任何通信量。只有当您使用开关来切换某物或向其发送telnet之类的内容时，才会使用它。因为它是第二层，所以它实际上并不关心路由中的ip地址。交换机、子网和全球网关的ip地址就像您的计算机地址。

对于流量fromm其他设备，它使用arp请求和Mac地址表。如果计算机试图在自己的子网中说出自己的话，它就会请求自己的网关。第二层的开关没有这样做。

至于与交换机ip地址对话的多个vlans，它的工作方式就像您的计算机。如果有路由器，您可以使用不同的子网来获得不同的子网。如果没有路由器，我发现只有vlan 1才能切换到2950交换机。允许您更改管理vlan的交换机可以选择哪个vlan是“主要”可用网络。

这个问题确实引起了我的兴趣，我认为它可能会帮助其他人做一些测试并显示结果，所以我通过测试得出了上述结论。我采取了我的虚拟设置，并测试了这个，因为我有一个以上的方式，它可以在脑海中工作。当不使用路由器时，我的发现与我预期的略有不同。

测试1我使用了两个旧的Cisco 2950。我设置了vlan 1和vlan 2。我在第二个开关上设置了vlan 1 192.168.10.1和10.2。我设置了vlan 2 192.168.20.1和20.2。我在每个交换机上将一台pc插入vlan 1和2端口，这样vlan就会在两个交换机上上升。我在他们之间用一根主干电缆做了这个实验，也在接入端口上尝试了两根电缆。一根电缆携带vlan 1，一条电缆携带vlan 2。结果是相同的。

结果1.。从交换机我可以点击两个“我的”地址。我可以平移远程vlan 1地址，但不能选择vlan 2地址.

使用相同的设置，测试2，如果我设置一个192.168.20.50的全局网关地址，它将迫使vlan 2成为可用的子网。记住，在这个测试中，我实际上没有路由器。

结果2.开关仍按下vlan 1本地和远程。因此，通过将一个全局网关设置为vlan 2，它没有改变交换机的反应方式。

测试3我引入了一个路由器和3个子网。我有192.160.10.50，20.50和30.50。在我连接的开关上，我有192.168.10.1，20.1，20.2。没有设置全球网关。

结果3从交换机我可以平所有3个路由器地址。

测试4我在交换机上禁用了vlan接口3。

结果4由于开关没有直接连接的接口，使其不能再按192.168.30.50进行切换。

测试5我禁用了vlan 1，以查看vlan 2是否仍然可以与没有vlan 1的vlan 1进行平分。

结果5平vlan 2~ 192.168.20.50工作良好。

测试6--我启用了vlan 1，并添加了一个默认网关192.168.20.50 (VLAN2s网关)--我关闭了接口vlan 3。

结果6开关能平193.168.30.50 (一个子网，目前不在开关上)，没有问题。尽管默认网关位于VLAN2s地址上，但我仍然可以选择路由器可以获得的任何可行地址。

现在就够了。如果您有机会获得网络仿真器数据包跟踪器，这是很好的测试东西。有些人在www.4shared.com数据包跟踪器6.1上共享它，当您进入思科类时，您可以免费获得它。

Answer 3

如果一个交换机有3个子网，并且全局网关指向一个路由器，该路由器从您的管理计算机所在的任何网络中路由到所有3个子网，那么您可以使用交换机上的任意地址来管理交换机。

原因是当你用那个地址指向网关时，只要它与适当的子网有接口，路由器就会查看数据并正确地路由它。

我想我明白你为什么要问了。如果一台计算机有一个来自不同子网的网关地址，它就无法工作。