Сейчас у меня простая топология со шлюзом Debian, несколькими управляемыми коммутаторами и точками доступа.
Я хотел бы добавить 3 VLAN в свою топологию и, возможно, использовать 802.1Q на шлюзе Debian, чтобы весь трафик между VLAN проходил через брандмауэр шлюза.
Многие хосты в сети имеют вручную настроенный IP-адрес шлюза.
Вот тут мне нужна помощь.
Я хотел бы использовать возможности интерфейса моста Linux на шлюзе Debian, чтобы физический порт, смотрящий внутрь моей сети (eth1), принимал обе новые VLAN, кадры без VLAN-id (немаркированные), а также был доступен с тем же старым IP через все новые vlan. Что-то вроде того, что делают домашние маршрутизаторы Wi-Fi.
Как должны выглядеть моя топология и конфигурация, если я буду использовать /etc/network/interfaces и пакет VLAN?
Мне просто создать VLAN на eth0, указать «vlan_raw_device eth0» для каждого из них и задать IP-адрес только для самого eth0?
Или мне следует создать мост, поместить все VLAN-интерфейсы и eth0 внутрь него и перенести IP-адрес с eth0 на мост?
Если вместо шлюза я сделаю такие конфигурации на конечной точке Devian, какой интерфейс VLAN конечной точки будет использоваться для исходящего трафика в Интернет, если устройство, указанное в качестве шлюза по умолчанию, также имеет обе VLAN?
Нужно ли мне переводить порт на стороне коммутатора в режим транка?
Есть ли какие-либо проблемы с петлями, поскольку коммутаторы могут быть неспособны выполнять PVST.
решение1
так что физический порт, смотрящий внутрь моей сети (eth1), будет принимать обе новые VLAN, кадры без VLAN-id (немаркированные)
Это не сработает. Вам необходимо настроить подинтерфейс на вашей сетевой карте с тегированием VLAN 802.1q для каждой тегированной VLAN, подключенной к порту коммутатора.
при этом доступ возможен с тем же старым IP через все новые VLAN
Это также невозможно: VLAN — это сегмент уровня 2, которому необходимо использовать собственную подсеть IP для включения маршрутизации. Поскольку каждый шлюз, используемый конечным узлом, должен быть частью подсети конечного узла, вы не можете использовать старый IP-адрес шлюза в новой подсети.
Вы также не сможете использовать старые IP-адреса и подсети с новыми VLAN, поскольку для работы маршрутизации необходимы однозначные, непересекающиеся подсети.
Если вы объедините VLAN вместе, они по сути станут одним целым, и вы ничего не выиграете.
Правильный способ сделать это:
- Настройте подынтерфейсы на вашем шлюзе Debian и VLAN на подключающемся коммутаторе. Соедините VLAN (как помечено) между коммутатором и шлюзом. Настройте (новую) IP-подсеть для каждого подынтерфейса и VLAN. Проверьте подключение.
- Подключите новые VLAN к другим коммутаторам. Проверьте подключение.
- Переместите существующие хосты в предполагаемые VLAN (порт коммутатора в режиме доступа и VLAN как немаркированный/родной) - если необходимо, по одному. Назначьте новые IP-адреса и шлюзы по умолчанию. Я бы рекомендовал использовать DHCP для централизованного управления IP.
Если вы не используете мост на шлюзе и не создаете избыточных ссылок между коммутаторами, RSTP/MSTP/RPVST+ не нужен. Я бы рекомендовал рассмотреть его в любом случае, так как он обеспечивает хорошую защиту от петель в случае, если кто-то случайно создаст обратную ссылку. Просто убедитесь, что вы выбрали хороший корневой мост и перевели все граничные порты в режим portfastили admin-edge-port, в зависимости от поставщика коммутатора. И, конечно,всекоммутаторы должны участвовать, используя один и тот же протокол (RSTP и MSTP по умолчанию взаимодействуют, RPVST+ — нет).