Linux и VLAN, настройка, блог на Amin

Linux и VLAN, конфигурация.

И така, от някакъв момент нататък, в допълнение към моите машини, периодично трябваше да свържа още няколко машини към интернет / интранет, но по такъв начин, че да не могат да взаимодействат по никакъв начин (или да взаимодействат изключително ограничено) с основната ми локална мрежа и нейните устройства. Освен това понякога беше необходимо да се свържат виртуални машини там и трябваше да се уверя, че дори левият трафик не се появява в друг сегмент. Разбира се, можете да добавите трети мрежов интерфейс, да купите друг скапан суич и да настроите всичко, но това е лошо, неизползваемо решение. Да, и с моето чувство за красота е лошо съвместимо. …

Така че ще използваме стандартно, изпитано във времето решение за това - разделяне на една физическа мрежа на няколко виртуални или VLAN. Целият този позор е описан от стандарта 802.1q и накратко, същността е проста за опозоряване: ние пакетираме (маркираме) трафика по специален начин (802.1q капсулиране), след което умното парче желязо използва тези етикетиразбира към кой виртуален локал принадлежи този или онзи пакет от данни. Портът (и връзката, съответно) може да бъде два вида - Access Port и Trunk Port. Първият по същество е нормален порт на комутатора. От страна на клиентското устройство е невъзможно да се определи фактът на използване на VLAN и по някакъв начин да се намеси в този механизъм - всичко работи, както и на неуправляван хардуер. Нормалният трафик преминава през портовете за достъп до клиента, без никакви етикети. Тагове слага и маха желязо напълно прозрачно за клиента! Вторият тип порт - трънк - се различава само по едно нещо - трафикът отива там заедно с етикети, тоест 802.1q-капсулиран, и от няколко VLAN наведнъж. Ясно е, че за да се стигне до опакованата рамка, марката трябва да бъде премахната. По-конкретно, ще ми трябва магистрала, за да имам достъп до всички VLAN и да конфигурирам маршрутизиране между VLAN. Като цяло има две опции за настройка на маршрутизиране между VLAN мрежи - „рутер на пръчка“ (когато рутер е свързан към комутатора чрез магистрала) и използване на L3 устройство. Ще направя първия вариант, като рутер ще е машина с федора.

Вероятно вече сте задали име на устройство, парола и т.н. и следователно е време да направите резервно копие на конфигурацията чрез [SYSTEM] -> [Инструменти] -> [Конфигурация за качване/изтегляне] -> [Изтегляне] -> [Прилагане]:

След това копирайтеifcfg-eth0.1 вifcfg-eth0.2 и променете параметрите на DEVICE в него (числото след точката указва номера на VLAN на реалния физически интерфейс), NAME и IPADDR на необходимите. Параметърът NETMASK е същият, за DNS - вие сами ще разберете какнеобходимо. 3). След като тези скриптове бъдат създадени, VLAN интерфейсите могат да се управляват от system-config-network. Можете да активирате опцията NM_CONTROLLED (=yes), ако желаете и да я управлявате чрез Network Manager, но аз не съм я пробвал. Сега повдигаме интерфейсите - и готово, машината е в две VLAN наведнъж.

За допълнителна справка: поддръжката на протокола 802.1q и съответно VLAN се реализира от модул на ядрото, наречен ... колкото и да е странно, 8021q.ko, например, за ядро ​​2.6.32.16-150 се намира в /lib/modules/2.6.32.16-150.fc12.i686/kernel/net/8021q/, изненадващо ly even =) За интерес погледнах размера на модула - общо 26732 байта. И никакви шибани 200 MB фреймуърци, инсталации с пет рестартирания и други задници. Fedora е активирана по подразбиране.

Между другото, използването на WireShark първо директно на eth0, а след това на eth0.1 / eth0.2 става ясно как работи цялата тази кухня. Ако е имало виртуални машини, свързани към реалния интерфейс eth0, тогава те трябва да бъдат превключени към VLAN интерфейси (eth0.1). В противен случай може да се наложи да конфигурирате магистрална връзка за някои нишки на Windows Vista Home Basic. Повярвай ми, със сигурност нищо добро няма да излезе :p .