Im Moment habe ich eine einfache Topologie mit dem Debian-Gateway, einigen verwalteten Switches und Zugriffspunkten.
Ich möchte meiner Topologie drei VLANs hinzufügen und möglicherweise 802.1Q auf dem Debian-Gateway verwenden, sodass der gesamte Datenverkehr zwischen den VLANs durch die Firewall des Gateways läuft.
Viele Hosts im Netzwerk haben die Gateway-IP manuell konfiguriert.
Hier brauche ich Hilfe.
Ich möchte die Linux Bridge-Schnittstellenfunktionen auf dem Debian-Gateway verwenden, sodass der physische Port, der in mein Netzwerk zeigt (eth1), sowohl neue VLANs als auch Frames ohne VLAN-ID (untagged) akzeptiert und gleichzeitig mit derselben alten IP über alle neuen VLANs erreichbar ist. So ähnlich wie es WLAN-Router zu Hause machen.
Wie sollte meine Topologie und Konfiguration aussehen, vorausgesetzt, dass ich /etc/network/interfaces und das VLAN-Paket verwenden würde?
Erstelle ich einfach VLANs auf eth0, setze für jedes davon „vlan_raw_device eth0“ ein und lege nur die IP-Adresse für eth0 selbst fest?
Oder sollte ich eine Brücke erstellen, alle VLAN-Schnittstellen und eth0 darin platzieren und die IP-Adresse von eth0 zur Brücke verschieben?
Wenn ich solche Konfigurationen anstelle des Gateways am Endpunkt Devian vornehme, die VLAN-Schnittstelle welches Endpunkts wird für den ausgehenden Datenverkehr zum Internet verwendet, wenn das als Standard-Gateway angegebene Gerät auch über beide VLANs verfügt?
Muss ich den Port auf der Switch-Seite in den Trunk-Modus versetzen?
Gibt es Bedenken hinsichtlich der Schleife, da die Switches möglicherweise nicht PVST-fähig sind?
Antwort1
damit der physische Port, der in mein Netzwerk zeigt (eth1), sowohl neue VLANs als auch Frames ohne VLAN-ID (untagged) akzeptiert
Das wird nicht funktionieren. Sie müssen auf Ihrer Netzwerkkarte eine Subschnittstelle mit 802.1q-VLAN-Tagging für jedes getaggte VLAN konfigurieren, das vom Switch-Port aus gebündelt wird.
und gleichzeitig mit derselben alten IP über alle neuen VLANs erreichbar
Auch das ist nicht möglich: Ein VLAN ist ein Layer-2-Segment, das sein eigenes IP-Subnetz verwenden muss, um Routing zu ermöglichen. Da jedes von einem Endknoten verwendete Gateway Teil des Subnetzes des Endknotens sein muss, können Sie keine alte Gateway-IP in einem neuen Subnetz verwenden.
Sie können die alten IP-Adressen und Subnetze auch nicht mit neuen VLANs verwenden, da Sie für ein funktionierendes Routing eindeutige, nicht überlappende Subnetze benötigen.
Wenn Sie VLANs miteinander überbrücken, werden sie im Wesentlichen zu einem und Sie gewinnen nichts.
So geht's richtig:
- Konfigurieren Sie Subschnittstellen auf Ihrem Debian-Gateway und VLANs auf dem Verbindungsswitch. Trunken Sie die VLANs (wie markiert) zwischen Switch und Gateway. Konfigurieren Sie ein (neues) IP-Subnetz für jede Subschnittstelle und jedes VLAN. Testen Sie die Konnektivität.
- Trunkieren Sie die neuen VLANs zu Ihren anderen Switches. Testen Sie die Konnektivität.
- Verschieben Sie Ihre bestehenden Hosts in die vorgesehenen VLANs (Switch-Port in Access-Modus und VLAN als untagged/native) – wenn nötig, einen nach dem anderen. Weisen Sie neue IP-Adressen und Standard-Gateways zu. Ich empfehle DHCP für die zentrale IP-Verwaltung.
Wenn Sie das Gateway nicht überbrücken und keine redundanten Verbindungen zwischen den Switches herstellen, ist RSTP/MSTP/RPVST+ nicht erforderlich. Ich würde trotzdem empfehlen, es in Betracht zu ziehen, da es einen guten Schleifenschutz bietet, falls jemand versehentlich einen Backlink erstellt. Stellen Sie einfach sicher, dass Sie eine gute Root-Bridge auswählen und alle Edge-Ports in den portfastoder admin-edge-portModus versetzen, je nach Switch-Anbieter. Und natürlichalleSwitches müssen mit demselben Protokoll teilnehmen (RSTP und Standard-MSTP sind kompatibel, RPVST+ nicht).