Мой вопрос в том, будет ли работать такая схема:
Кабельный модем, несколько сетевых компьютеров, а также маршрутизатор/сервер (компьютер Linux, всего с 1 портом) подключаются к дешевому интеллектуальному управляемому коммутатору, например TP-Link.TL-SG108E. Машины локальной сети должны иметь возможность подключаться к Интернету через маршрутизатор.
Можно ли настроить такой коммутатор таким образом, чтобы машины локальной сети получали нетегированный трафик, но маршрутизатор получал их трафик, например, с идентификатором VLAN 1, и чтобы модем также получал нетегированный трафик, но маршрутизатор получал его трафик, например, с идентификатором VLAN 2?
Кроме того, существуют ли какие-либо соображения безопасности или производительности*?
*) Я знаю, что поскольку маршрутизатор использует только 1 порт, то пропускная способность будет разделена между трафиком LAN и WAN. Для этого я бы сделал шейпинг на eth0 в обоих направлениях в соответствии с моими потребностями.
решение1
Я нашел ваш вопрос, потому что я исследовал проблему широковещательной передачи VLAN с конкретным маршрутизатором, который вы случайно упомянули (TL-SG108E). Оставив эту проблему в стороне на данный момент, то, о чем вы спрашиваете, должно быть возможно с VLAN на этом устройстве или любом другом "умном коммутаторе" с поддержкой VLAN.
Вы бы определили порт, к которому подключается кабельный модем, как «немаркированный» для данной VLAN и установили бы соответствующий PVID. В этом режиме коммутатор будет автоматически вставлять и удалять заголовки VLAN для всего трафика на порт, так что устройство не будет знать, что оно находится в VLAN, но другие устройства в сети (другие коммутаторы или ваш маршрутизатор, например) получат теги VLAN. И, конечно, в соответствии со своей целью, устройства в разных VLAN не будут видеть сетевой трафик друг друга.
То же самое можно сделать для всех остальных локальных устройств локальной сети, настроив их как нетегированные в другой VLAN.
Затем для порта, идущего к маршрутизатору Linux, вы бы определили его как тегированный порт с обеими VLAN, что сообщает коммутатору о необходимости передавать пакеты с тегами VLAN непосредственно на устройство. Linux способен настраивать интерфейсы VLAN, которые будут обрабатывать теги VLAN и доставлять пакеты на соответствующий интерфейс.
На этом этапе вы можете использовать iptables для маршрутизации пакетов между ними по своему усмотрению с помощью цепочек FORWARD, как если бы у вас было два физических интерфейса на компьютере Linux, между которыми вы хотите маршрутизировать пакеты.