Meine Frage ist, ob ein solches Setup funktionieren würde:
Ein Kabelmodem, mehrere LAN-Maschinen sowie der Router/Server (Linux-Box, mit nur 1 Port) werden mit einem günstigen Smart Managed Switch wie dem TP-Link verbunden.TL-SG108E. Die LAN-Geräte sollten über den Router eine Verbindung zum Internet herstellen können.
Kann ein solcher Switch so konfiguriert werden, dass die LAN-Maschinen ungetaggten Datenverkehr empfangen, der Router ihren Datenverkehr jedoch z. B. mit der VLAN-ID 1 empfängt, und dass das Modem ebenfalls ungetaggten Datenverkehr empfängt, der Router seinen Datenverkehr jedoch z. B. mit der VLAN-ID 2 empfängt?
Gibt es darüber hinaus Sicherheits- oder Leistungsaspekte*?
*) Mir ist bewusst, dass die Bandbreite zwischen LAN- und WAN-Verkehr aufgeteilt wird, da der Router nur einen Port verwendet. Dafür würde ich eth0 in beide Richtungen entsprechend meinen Anforderungen modellieren.
Antwort1
Ich bin auf Ihre Frage gestoßen, weil ich ein VLAN-Broadcast-Problem mit dem von Ihnen erwähnten Router (TL-SG108E) untersucht habe. Wenn wir dieses Problem einmal beiseite lassen, sollte das, was Sie fragen, mit VLANs auf diesem Gerät oder jedem anderen VLAN-fähigen „Smart Switch“ möglich sein.
Sie würden den Port, an den das Kabelmodem angeschlossen wird, für ein bestimmtes VLAN als „ungetaggt“ definieren und die PVID entsprechend einstellen. In diesem Modus fügt der Switch automatisch VLAN-Header für den gesamten Datenverkehr zum Port ein und entfernt sie, sodass das Gerät keine Ahnung hat, dass es sich in einem VLAN befindet, andere Geräte im Netzwerk (andere Switches oder beispielsweise Ihr Router) jedoch die VLAN-Tags erhalten. Und natürlich sehen Geräte in verschiedenen VLANs, wie es ihr Zweck ist, den Netzwerkverkehr der anderen nicht.
Sie würden dasselbe für alle anderen lokalen LAN-Geräte tun und sie auf einem anderen VLAN als ungetaggt festlegen.
Dann würden Sie den Port, der zum Linux-Router führt, als getaggten Port mit beiden VLANs definieren, was dem Switch sagt, dass er die VLAN-getaggten Pakete direkt an das Gerät weiterleiten soll. Linux kann VLAN-Schnittstellen einrichten, die die VLAN-Tags verarbeiten und die Pakete an die entsprechende Schnittstelle übermitteln.
An diesem Punkt können Sie iptables verwenden, um Pakete mithilfe der FORWARD-Ketten beliebig zwischen ihnen zu routen, so, als ob Sie zwei physische Schnittstellen auf der Linux-Box hätten, zwischen denen Sie routen möchten.