現時点では、Debian ゲートウェイ、いくつかの管理対象スイッチ、およびアクセス ポイントを含むシンプルなトポロジを使用しています。
トポロジに 3 つの VLAN を追加し、Debian ゲートウェイで 802.1Q を使用すれば、VLAN 間のすべてのトラフィックがゲートウェイのファイアウォールを通過するようになります。
ネットワーク内の多くのホストはゲートウェイの IP を手動で構成しています。
ここで助けが必要なんです。
Debian ゲートウェイで Linux ブリッジ インターフェイス機能を使用したいと考えています。これにより、ネットワーク内部の物理ポート (eth1) が、新しい VLAN と、VLAN ID のないフレーム (タグなし) の両方を受け入れると同時に、すべての新しい VLAN を介して同じ古い IP でアクセスできるようになります。家庭用 Wi-Fi ルーターの機能と似ています。
/etc/network/interfaces と VLAN パッケージを使用すると仮定すると、トポロジと構成はどのようになるでしょうか?
eth0 に VLAN を作成し、それぞれに「vlan_raw_device eth0」を配置し、eth0 自体の IP アドレスのみを設定すればよいのでしょうか?
それとも、ブリッジを作成し、その中にすべての VLAN インターフェイスと eth0 を配置し、IP アドレスを eth0 からブリッジに移動する必要がありますか?
ゲートウェイの代わりにエンドポイント Devian でこのような構成を行う場合、デフォルト ゲートウェイとして指定されたデバイスにも両方の VLAN がある場合、インターネットへの送信トラフィックにはどのエンドポイントの VLAN インターフェイスが使用されますか?
スイッチ側のポートをトランク モードに設定する必要がありますか?
スイッチが PVST に対応していない可能性があるため、ループに関する懸念はありますか。
答え1
私のネットワーク内部の物理ポート(eth1)が、新しいVLANとVLAN IDのないフレーム(タグなし)の両方を受け入れるようにする。
それは機能しません。スイッチ ポートからトランクされたタグ付き VLAN ごとに、802.1q VLAN タグ付けを使用して NIC 上のサブインターフェイスを構成する必要があります。
新しいVLANを介して同じ古いIPでアクセスすることもできます
これも不可能です。VLAN は、ルーティングを有効にするために独自の IP サブネットを使用する必要があるレイヤー 2 セグメントです。エンド ノードが使用する各ゲートウェイは、エンド ノードのサブネットの一部である必要があるため、新しいサブネットで古いゲートウェイ IP を使用することはできません。
ルーティングを機能させるには、明確で重複しないサブネットが必要であるため、新しい VLAN では古い IP アドレスとサブネットを使用することはできません。
VLAN をブリッジすると、それらは本質的に 1 つになり、何も得られません。
正しいやり方:
- Debian ゲートウェイのサブインターフェースと接続スイッチの VLAN を設定します。スイッチとゲートウェイ間で VLAN (タグ付き) をトランクします。各サブインターフェースと VLAN に (新しい) IP サブネットを設定します。接続をテストします。
- 新しい VLAN を他のスイッチにトランクします。接続をテストします。
- 既存のホストを目的の VLAN (スイッチ ポートをアクセス モードにし、VLAN をタグなし/ネイティブにする) に必要に応じて 1 つずつ移動します。新しい IP アドレスとデフォルト ゲートウェイを割り当てます。集中 IP 管理には DHCP を使用することをお勧めします。
ゲートウェイでブリッジせず、スイッチ間で冗長リンクを作成しない場合は、RSTP/MSTP/RPVST+は必要ありません。誰かが誤ってバックリンクを作成した場合に優れたループ保護を提供するため、いずれにせよ検討することをお勧めします。スイッチベンダーに応じて、適切なルートブリッジを選択し、すべてのエッジポートをportfastまたはadmin-edge-portモードに設定するようにしてください。そしてもちろん、全てスイッチは同じプロトコルを使用して参加する必要があります (RSTP とデフォルトの MSTP は相互運用できますが、RPVST+ は相互運用できません)。