No momento tenho uma topologia simples com o gateway debian, poucos switches gerenciados e pontos de acesso.
Gostaria de adicionar 3 VLANs à minha topologia e talvez usar 802.1Q no gateway debian, para que todo o tráfego entre VLANs passasse pelo firewall do gateway.
Muitos hosts na rede configuraram manualmente o IP do gateway.
É aqui que preciso de ajuda.
Eu gostaria de usar os recursos de interface de ponte do Linux no gateway Debian, para que a porta física que olha dentro da minha rede (eth1) aceitasse novas VLANs, quadros sem ID de VLAN (não marcados), além de ser acessível com o mesmo IP antigo através de todas as novas vlans. Algo parecido com o que os roteadores Wi-Fi domésticos fazem.
Como deveria ser minha topologia e configuração, assumindo que eu usaria /etc/network/interfaces e pacote VLAN?
Acabei de criar VLANS na eth0, colocar "vlan_raw_device eth0" para cada uma delas e definir apenas o endereço IP para a própria eth0?
Ou devo criar uma ponte, colocar todas as interfaces VLAN e eth0 dentro dela e mover o endereço IP de eth0 para a ponte?
Se, em vez de gateway, eu fizer tais configurações no endpoint Devian, qual interface VLAN do endpoint será usada para o tráfego de saída para a internet, se o dispositivo especificado como gateway padrão também possuir ambas as VLANS?
Preciso colocar a porta do lado do switch para o modo tronco?
Há alguma preocupação com o loop, uma vez que os switches podem não ser capazes de PVST.
Responder1
para que a porta física que está dentro da minha rede (eth1) aceite ambas as novas VLANs, quadros sem ID de VLAN (sem marcação)
Isso não vai funcionar. Você precisa configurar uma subinterface em sua NIC com marcação de VLAN 802.1q para cada VLAN etiquetada entroncada na porta do switch.
ao mesmo tempo que pode ser acessado com o mesmo IP antigo por meio de todas as novas vlans
Isso também não é possível: uma VLAN é um segmento da camada 2 que precisa usar sua própria sub-rede IP para permitir o roteamento. Como cada gateway usado por um nó final precisa fazer parte da sub-rede do nó final, você não pode usar um IP de gateway antigo em uma nova sub-rede.
Você também não pode usar os endereços IP e sub-redes antigos com novas VLANs porque, para que o roteamento funcione, você precisa de sub-redes inequívocas e não sobrepostas.
Se você conectar VLANs, elas essencialmente se tornarão uma e você não ganhará nada.
A maneira correta de fazer isso:
- Configure subinterfaces em seu gateway Debian e VLANs no switch de conexão. Entronque as VLANs (conforme marcadas) entre o switch e o gateway. Configure uma (nova) sub-rede IP para cada subinterface e VLAN. Teste a conectividade.
- Tronque as novas VLANs para seus outros switches. Teste a conectividade.
- Mova seus hosts existentes para as VLANs pretendidas (porta do switch em modo de acesso e VLAN como não marcada/nativa) - se necessário, um por um. Atribua novos endereços IP e gateways padrão. Eu recomendaria usar DHCP para gerenciamento central de IP.
Se você não fizer ponte no gateway e não criar links redundantes entre switches, não haverá necessidade de RSTP/MSTP/RPVST+. Eu recomendo considerá-lo de qualquer maneira, pois fornece uma boa proteção de loop caso alguém crie um backlink por acidente. Apenas certifique-se de selecionar uma boa ponte raiz e colocar todas as portas de borda no modo portfastou admin-edge-port, dependendo do fornecedor do switch. E claro,todosos switches precisam participar usando o mesmo protocolo (RSTP e MSTP padrão interoperam, RPVST+ não).