En este momento tengo una topología simple con la puerta de enlace de Debian, algunos conmutadores administrados y puntos de acceso.
Me gustaría agregar 3 VLAN a mi topología y tal vez usar 802.1Q en la puerta de enlace de Debian, de modo que todo el tráfico entre las VLAN pase a través del firewall de la puerta de enlace.
Muchos hosts de la red han configurado manualmente la IP de la puerta de enlace.
Aquí es donde necesito ayuda.
Me gustaría usar las capacidades de interfaz de puente de Linux en la puerta de enlace de Debian, de modo que el puerto físico que mira dentro de mi red (eth1) acepte ambas VLAN nuevas, marcos sin ID de VLAN (sin etiquetar), y al mismo tiempo sea accesible con la misma IP anterior. a través de todas las VLAN nuevas. Algo parecido a lo que hacen los routers Wi-Fi domésticos.
¿Cómo deberían verse mi topología y configuración, suponiendo que usaría /etc/network/interfaces y el paquete VLAN?
¿Simplemente creo VLAN en eth0, pongo "vlan_raw_device eth0" para cada una de ellas y solo configuro la dirección IP para eth0?
¿O debería crear un puente, colocar todas las interfaces VLAN y eth0 dentro de él y mover la dirección IP de eth0 al puente?
Si, en lugar de la puerta de enlace, realizo dichas configuraciones en el punto final Devian, ¿qué interfaz VLAN del punto final se utilizará para el tráfico saliente a Internet, si el dispositivo especificado como puerta de enlace predeterminada también tiene ambas VLAN?
¿Tengo que poner el puerto del lado del interruptor en el modo troncal?
¿Existe algún problema con el bucle, ya que es posible que los conmutadores no sean capaces de realizar PVST?
Respuesta1
para que el puerto físico que mira dentro de mi red (eth1) acepte ambas VLAN nuevas, tramas sin VLAN-id (sin etiquetar)
Eso no funcionará. Debe configurar una subinterfaz en su NIC con etiquetado VLAN 802.1q para cada VLAN etiquetada troncalizada desde el puerto del conmutador.
y al mismo tiempo es accesible con la misma IP anterior a través de todas las VLAN nuevas
Eso tampoco es posible: una VLAN es un segmento de capa 2 que necesita usar su propia subred IP para permitir el enrutamiento. Dado que cada puerta de enlace utilizada por un nodo final debe ser parte de la subred del nodo final, no puede usar una IP de puerta de enlace antigua en una subred nueva.
Tampoco puede utilizar las antiguas direcciones IP y subredes con nuevas VLAN porque para que el enrutamiento funcione necesita subredes inequívocas y que no se superpongan.
Si une las VLAN, esencialmente se convierten en una y no gana nada.
La forma correcta de hacerlo:
- Configure subinterfaces en su puerta de enlace Debian y VLAN en el conmutador de conexión. Enlace las VLAN (según las etiquetas) entre el conmutador y la puerta de enlace. Configure una (nueva) subred IP para cada subinterfaz y VLAN. Probar la conectividad.
- Conecte las nuevas VLAN a sus otros conmutadores. Probar la conectividad.
- Mueva sus hosts existentes a las VLAN previstas (cambie el puerto en modo de acceso y la VLAN como sin etiquetar/nativa); si es necesario, uno por uno. Asigne nuevas direcciones IP y puertas de enlace predeterminadas. Recomiendo usar DHCP para la administración central de IP.
Si no realiza un puente en la puerta de enlace y no crea enlaces redundantes entre conmutadores, no hay necesidad de RSTP/MSTP/RPVST+. Recomiendo considerarlo de todos modos, ya que proporciona una buena protección de bucle en caso de que alguien cree un vínculo de retroceso por accidente. Solo asegúrese de seleccionar un buen puente raíz y poner todos los puertos perimetrales en modo portfasto admin-edge-port, según el proveedor del conmutador. Y por supuesto,todoLos conmutadores deben participar utilizando el mismo protocolo (RSTP y MSTP predeterminado interoperan, RPVST+ no).