Configuração de VLAN

Estou tentando entender como a VLAN funciona e como configurar a VLAN em um switch e a caixa do Linux anexada a ela.

Basicamente, eu entendi teoricamente como um switch lida com VLANs e trunking. Embora eu esteja confuso em vários aspectos.

Para facilitar a ilustração, suponha que eu tenha o seguinte cenário:

1. Um roteador R com servidor DHCP em execução no eth0, com IP 1.1.1.1
2. Um switch S com portas A a D, 4 no total
3. S: A está conectado a R: eth0
4. Três usuários estão conectados a S: B-D, ou seja, U1, U2, U3
5. U1 pertence a VLAN1, IP: 2.2.2.2/24
6. U2 pertence a VLAN2, IP: 3.3.3.3/24
7. U3 pertence a ambos VLAN1 & amp; 2, IP: 2.2.2.3/24 & amp; 3.3.3.4/24
8. Suponha que o roteador e todos os usuários sejam do tipo Debian

As perguntas são:

1. Como faço para configurar o roteador que ambas as VLANs podem ter acesso a ele e pode rotear pacotes entre si?
2. Como configuro três usuários? Especialmente para o User3, já que ele pertence a ambas as VLANs. (Devo simplesmente atribuir vários endereços IP à mesma interface física?)
3. Se todos os IPs não são estáticos e devem ser atribuídos via DHCP, e eu quero que a VLAN1 esteja variando de 2.2.2.2-10, e a VLAN2 seja 3.3.3.3-11, como devo configurar o servidor DHCP em execução no roteador?
4. Qual é a diferença entre VLAN, interface virtual e múltiplos endereços IP em single if?

Eu apreciaria suas respostas ou ponteiros para outros materiais.

Desde já, obrigado!

1. How do I configure the router that both VLANs can have access to it and can route packets to each other?

Isso depende do seu roteador específico. O termo que geralmente é usado para descrever isso é "roteador no palito". Sem conhecer a marca / modelo específico do seu roteador, não podemos informá-lo sobre como configurá-lo.

2. How do I configure three Users? Especially for User3 since it belongs to both VLAN. (Should I simply assign multiple IP address to the same physical interface?)

Você não configura usuários para uma VLAN. Você configura as portas do switch para serem membros de uma determinada VLAN. O switch não sabe qual usuário é qual. Só sabe quais portas são membros de quais VLANs. Uma porta de switch não pode ser membro de mais de uma VLAN. Uma porta de switch pode ser uma porta de tronco e pode transportar tráfego para mais de uma VLAN, mas pode não ser um membro de mais de uma VLAN. Portanto, para o User3, você configuraria a porta à qual o computador do User3 está conectado como uma porta de tronco para transportar tráfego para VLAN1 e VLAN2. A NIC do computador do User3 teria que suportar a marcação de VLAN para que isso funcionasse.

3. If all IPs are not static and should be assigned via DHCP, and I want VLAN1 be ranging from 2.2.2.2-10, and VLAN2 be 3.3.3.3-11, how should I configure the DHCP server running in the router?

Você criaria um escopo DHCP para cada faixa de IPs da VLAN. Normalmente, você precisaria configurar um agente de retransmissão DHCP (DHCP helper ou ip-helper) em seu roteador, mas não deveria precisar de um "roteador em um bastão".

4. What's the difference among VLAN, virtual interface and multiple IP addr on single if?

Perguntar qual é a diferença é pedir uma comparação entre os três, mas são coisas completamente diferentes que desempenham funções diferentes, então você não as compararia. O que você quer é uma definição de cada um e um exemplo de caso de uso para cada um. O Google é um ótimo lugar para começar sua pesquisa.

Uma VLAN, como o nome indica, é uma rede virtual. É idêntico em todos os aspectos a uma rede física separada, exceto por estar sobreposto a outra rede física.

As VLANs possuem suas próprias interfaces de rede e podem ser tratadas exatamente da mesma forma que interfaces físicas separadas.

Configurar interfaces de VLAN no Linux é bem simples. Há um bom guia passo a passo no cyberciti .

Em resumo: crie uma interface de alias (por exemplo, eth0.1) e "marque-a" com o ID da sua VLAN e atribua-lhe o endereço IP da sua VLAN. Faça isso para cada VLAN que o computador quiser conversar.

Uma vez que você tenha as interfaces de VLAN configuradas, e coisas como o servidor DHCP escutando e configurando corretamente, então é "apenas" uma questão de configurar o roteamento.

Contanto que você tenha o encaminhamento de IP ativado, e seu concentrador de VLAN é o seu roteador padrão (ambos provavelmente são verdadeiros), então ele deve funcionar sem alterações.

Se você quiser seguir em frente e fazer um roteamento mais avançado, recomendo quagga como um mecanismo de roteamento. Ele suporta todos os principais protocolos de roteamento e é quase idêntico ao trabalho com Cisco roteadores, então as habilidades seriam amplamente transferíveis.

então você basicamente tem a seguinte configuração física:

R -------(Port A)(VLANx)|  
                        |
U1 ------(Port B)(VLAN1)|
                        |-S
U2 ------(Port C)(VLAN2)|
                        |
U3 ----(Port D)(VLAN1&2)|

Em primeiro lugar, as VLANs são redes da camada 2 virtual (veja-as como uma rede Ethernet separada) e você pode interconectá-las por vários meios, mas ainda é apenas a camada 2 (Ethernet)

É um único domínio de transmissão Ethernet. O que é originado em uma VLAN permanece nela (ARP, solicitações DHCP, etc.) É mais fácil usar / solucionar problemas do que várias redes IP na mesma LAN / VLAN, porque o tráfego IP de uma VLAN não é encontrado na outra

Se você quiser que várias redes de camada 3 (IP) sejam capazes de se comunicar, elas precisam ser roteadas. Isto pode ser feito por roteadores e / ou switches de camada 3 (switches capazes de rotear) Se o seu switch NÃO é um switch L3, então você DEVE rotear com o roteador, usando várias interfaces (uma por VLAN)

Segundo. Se você quiser mais de uma VLAN em uma única porta de roteador / switch / server, você deve usar Tagging (AKA 802.1Q), que adicionará um cabeçalho aos quadros Ethernet para identificar qual VLAN eles são (e algumas outras coisas, como CoS Prioridade, etc).

Por último, de acordo com sua configuração, seu roteador não faz parte de uma VLAN, o que significa que, por padrão, deve ser a VLAN 1 no switch. isso significa que você está tendo 1.1.1.0/24 & amp; 2.2.2.0/24 na mesma VLAN. Não necessariamente mau mas ainda não é ótimo

Eu suponho que você não tem um switch capaz de L3

R -(802.1Q)-------(Port A)(802.1Q)|  
                                  |
U1 ---------------(Port B)(VLAN20)|
                                  |-S
U2 ---------------(Port C)(VLAN30)|
                                  |
U3 -(802.1Q)------(Port D)(802.1Q)|

Eu usei VLAN 10/20/30/40 ... Sempre uma boa prática NÃO para usar a VLAN 1, como é normalmente a VLAN padrão (não configurada) em um switch.

Com R tendo 802.1Q configurado com uma interface IP em cada VLAN   * VLAN 10 1.1.1.0/24   * VLAN 20 2.2.2.0/24   * VLAN 30 3.3.3.0/24   * VLAN 40 4.4.4.0/24, etc ...

Ele também tem servidor DHCP configurado com vários pools para quaisquer interfaces necessárias   (pesquise no google por "debian dhcp multiple subnets" por exemplo, já que não é uma explicação de um liner

Portas de comutação A & amp; D são configurados com marcação 802.1Q, Port A permitindo todas as VLANs e a porta D permitindo pelo menos VLAN 30 & amp; 40

U3 tendo 802.1Q Tagging configurado

Se você tem um switch com capacidade para L3, você pode:

R ----------------(Port A)(VLAN10)|  
                                  |
U1 ---------------(Port B)(VLAN20)|
                                  |-S
U2 ---------------(Port C)(VLAN30)|
                                  |
U3 -(802.1Q)------(Port D)(802.1Q)|

Com R, U1 & amp; U2 sendo configurado normalmente, U3 (e a porta do switch voltada para ele) com marcação 802.1Q configurada, e as outras interfaces (2.2.2.0/24, 3.3.3.0/24 e 4.4.4.0/24) no switch.

Observe que nenhuma outra VLAN, exceto a VLAN10, teria o DHCP ativado (as solicitações de DHCP não cruzam os limites de roteamento, a menos que o encaminhamento de DHCP esteja configurado no dispositivo de roteamento e o servidor esteja configurado para atender a várias sub-redes).