私の質問は、そのような設定が機能するかどうかです。
ケーブルモデム、複数のLANマシン、ルーター/サーバー(Linuxボックス、ポートは1つだけ)をTP-Linkなどの安価なスマートマネージドスイッチに接続します。TL-SG108ELAN マシンはルーターを介してインターネットに接続できる必要があります。
このようなスイッチは、LAN マシンがタグなしトラフィックを受信するが、ルータがそれらのトラフィックをたとえば VLAN ID 1 で受信し、モデムもタグなしトラフィックを受信するが、ルータがそれらのトラフィックをたとえば VLAN ID 2 で受信するように設定できますか?
さらに、セキュリティやパフォーマンスに関する考慮事項はありますか*?
*) ルータは 1 つのポートしか使用しないため、帯域幅が LAN トラフィックと WAN トラフィックに分割されることは承知しています。そのため、必要に応じて eth0 で両方向のシェーピングを実行します。
答え1
私は、あなたが言及した特定のルーター (TL-SG108E) の VLAN ブロードキャストの問題を調査していたため、あなたの質問を見つけました。その問題はさておき、あなたが尋ねていることは、そのデバイスまたは他の VLAN 対応の「スマート スイッチ」の VLAN で可能であるはずです。
ケーブル モデムが接続されるポートを特定の VLAN に対して「タグなし」として定義し、PVID をそれに合わせて設定します。このモードでは、スイッチはポートへのすべてのトラフィックに対して VLAN ヘッダーを自動的に挿入および削除するため、デバイスは自分が VLAN 上にあることを認識しませんが、ネットワーク内の他のデバイス (他のスイッチやルーターなど) は VLAN タグを受け取ります。そしてもちろん、その目的どおり、異なる VLAN 上のデバイスは互いのネットワーク トラフィックを見ることはできません。
他のすべてのローカル LAN デバイスに対しても同じ操作を実行し、別の VLAN でタグなしとして設定します。
次に、Linux ルーターに接続するポートを両方の VLAN を持つタグ付きポートとして定義します。これにより、スイッチは VLAN タグ付きパケットをデバイスに直接渡すようになります。Linux は、VLAN タグを処理してパケットを適切なインターフェイスに配信する VLAN インターフェイスを設定できます。
その時点で、Linux ボックス上にルーティングしたい 2 つの物理インターフェイスがある場合と同じように、FORWARD チェーンを使用して、iptables でそれらの間でパケットを自由にルーティングできます。