Linux та VLANs, налаштування, Amin - s Blog

Linux та VLANs, налаштування.

Отже, з якогось моменту, крім моїх машин, мені періодично потрібно було підключати до інтернету/інтранету ще кілька машинок, але таким чином, щоб вони ніяк не могли взаємодіяти (або взаємодіяти вкрай обмежено) з моєю основною локальною мережею та її пристроями. Крім того, потрібно іноді приєднувати туди ж віртуальні машини, причому мені треба було зробити так, щоб в іншому сегменті навіть трафіку лівого не з'являлося. Можна звичайно пристосувати третій мережевий інтерфейс, купити ще один говносвіт і все налаштувати, але це погане, непридатне рішення. Та й з моїм почуттям прекрасного воно погано сумісне. …

Отже, ми застосуємо для цього стандартне, перевірене часом рішення - поділ однієї фізичної мережі на кілька віртуальних або VLAN-ів. Описується все це неподобство стандартом 802.1q, а якщо коротко, то суть проста до неподобства: ми особливим чином упаковуємо (мітимо) трафік (802.1q-інкапсуляція), після чого розумна залозка за цими міткамирозуміє, якої віртуальної локалці належить той чи інший пакет даних. Порт (і лінк відповідно) може бути двох типів — Access Port і Trunk Port. Перший - це по суті звичайний порт на свитчі. З боку клієнтського пристрою неможливо визначити факт використання VLAN і якось втрутитися в цей механізм - все працює, як і на некерованому залозі. По acсess-портах до клієнта ходить звичайний трафік, без жодних міток. Теги ставить та знімає залізниця повністю прозоро для клієнта! Другий тип порту - транк - відрізняється тільки одним - туди трафік йде разом з мітками, тобто 802.1q-інкапсульований, причому відразу від кількох VLAN-ів. Зрозуміло, що для того, щоб дістатися упакованого кадру, мітку треба зняти. Саме мені транк буде потрібен, щоб мати доступ до всіх VLAN-ів і налаштувати маршрутизацію між VLAN-ами. Взагалі є два варіанти налаштування маршрутизації між VLAN - "роутер на паличці" (коли до світчу через транк підключений маршрутизатор) і за допомогою L3-девайсу. Я робитиму перший варіант, як маршрутизатор буде машина з федорою.

Ви напевно до цього вже призначили ім'я пристрою, пароль та інше, а саме час збекапит конфіг через [SYSTEM] -> [Tools] -> [Upload/Download Configuration] -> [Download] -> [Apply]:

Після цього копіюємоifcfg-eth0.1 уifcfg-eth0.2 і змінюємо в ньому параметри DEVICE (число після точки задає номер VLAN-а на реальному фізичному інтерфейсі), NAME та IPADDR на потрібні. Параметр NETMASK той самий, про DNS - самі розберетеся, як вамтреба. 3). Після створення цих скриптів VLAN-інтерфейсами можна керувати із system-config-network. Можна увімкнути за бажанням параметр NM_CONTROLLED (=yes) і керувати через Network Manager, але я не пробував. Тепер піднімаємо інтерфейси – і вуаля, машина одразу у двох VLAN-ах.

Для додаткової довідки: підтримка протоколу 802.1q і відповідно VLAN-ів релізована модулемя ядра з ім'ям… як не дивно, 8021q.ko, наприклад для ядра 2.6.32.16-150 він лежить в /lib/modules/2.6.32.16-150.f .i686/kernel/net/8021q/, дивно навіть =) Я заради інтересу подивився на розмір модуля - всього 26732 байт. І ніяких ебучих фреймворків по 200 Мб, установок з перезавантаженнями та іншої сраки. У Федорі включений за замовчуванням.

До речі, використання WireShark спочатку прямо на eth0, а потім на eth0.1/eth0.2 ясно дає зрозуміти, як працює вся ця кухня. Якщо були віртуалки, причеплені до реального інтерфейсу eth0, їх треба переключити на VLAN-інтерфейси (eth0.1). Інакше вам можливо доведеться налаштовувати під якусь нитку Windows Vista Home Basic транковий лінк. Повірте, нічого хорошого з цього точно не вийде: p.