Configuración de VLAN

Estoy tratando de entender cómo funciona VLAN y cómo configurar VLAN en un conmutador y una caja Linux conectada a él.

Básicamente, entendí teóricamente cómo un conmutador maneja las VLAN y el enlace troncal. Aunque, estoy confundido en varios aspectos.

Para facilitar la ilustración, supongamos que tengo el siguiente escenario:

1. Un enrutador R con servidor DHCP que se ejecuta en eth0, con IP 1.1.1.1
2. Un conmutador S con puertos A a D, 4 en total
3. S: A está conectado a R: eth0
4. Tres usuarios están conectados a S: BD, a saber, U1, U2, U3
5. U1 pertenece a VLAN1, IP: 2.2.2.2/24
6. U2 pertenece a VLAN2, IP: 3.3.3.3/24
7. U3 pertenece a VLAN1 y 2, IP: 2.2.2.3/24 y 3.3.3.4/24
8. Supongamos que el enrutador y todos los usuarios son un sistema similar a Debian

Las preguntas son:

1. ¿Cómo configuro el enrutador para que ambas VLAN puedan tener acceso a él y puedan enrutar paquetes entre sí?
2. ¿Cómo configuro tres usuarios? Especialmente para User3 ya que pertenece a ambas VLAN. (¿Debo simplemente asignar múltiples direcciones IP a la misma interfaz física?)
3. Si todas las IP no son estáticas y deben asignarse a través de DHCP, y quiero que VLAN1 varíe de 2.2.2.2-10 y VLAN2 sea 3.3.3.3-11, ¿cómo debo configurar el servidor DHCP que se ejecuta en el enrutador?
4. ¿Cuál es la diferencia entre VLAN, interfaz virtual y múltiples direcciones IP en un solo si?

Agradecería sus respuestas o sugerencias a otros materiales.

¡Gracias por adelantado!

1. How do I configure the router that both VLANs can have access to it and can route packets to each other?

Eso depende de su enrutador particular. El término que generalmente se usa para describir esto es "enrutador en un palo". Sin conocer la marca / modelo específico de su enrutador, no podemos decirle cómo configurarlo.

2. How do I configure three Users? Especially for User3 since it belongs to both VLAN. (Should I simply assign multiple IP address to the same physical interface?)

No configura usuarios para una VLAN. Configura los puertos del conmutador para que sean miembros de una VLAN particular. El conmutador no sabe qué usuario es cuál. Solo sabe qué puertos son miembros de qué VLAN. Un puerto de conmutador no puede ser miembro de más de una VLAN. Un puerto de conmutador puede ser un puerto troncal y puede transportar tráfico para más de una VLAN, pero no puede ser miembro de más de una VLAN. Entonces, para el Usuario3, configuraría el puerto al que está conectada la computadora del Usuario3 como un puerto troncal para transportar tráfico para VLAN1 y VLAN2. La NIC de la computadora de User3 debería admitir el etiquetado de VLAN para que esto funcione.

3. If all IPs are not static and should be assigned via DHCP, and I want VLAN1 be ranging from 2.2.2.2-10, and VLAN2 be 3.3.3.3-11, how should I configure the DHCP server running in the router?

Crearía un alcance DHCP para el rango de ip de cada VLAN. Normalmente, necesitaría configurar un agente de retransmisión DHCP (ayudante DHCP o ayudante de IP) en su enrutador, pero no debería necesitarlo con un "enrutador en un dispositivo".

4. What's the difference among VLAN, virtual interface and multiple IP addr on single if?

Preguntar cuál es la diferencia es pedir una comparación entre los tres, pero son cosas completamente diferentes que realizan diferentes funciones para que no las compares. Lo que desea es una definición de cada uno y un ejemplo de caso de uso para cada uno. Google es un gran lugar para comenzar su investigación.

Una VLAN, como su nombre lo indica, es una red virtual. Es idéntico en todos los aspectos a una red física separada, excepto que se superpone sobre otra red física.

Las VLAN tienen sus propias interfaces de red y pueden tratarse exactamente igual que las interfaces físicas separadas.

Configurar interfaces VLAN en Linux es bastante simple. Hay una buena guía paso a paso sobre ciberciti .

En resumen: cree una interfaz de alias (por ejemplo, eth0.1) y "etiquétela" con la ID de su VLAN, y asígnele la dirección IP de su VLAN. Haga esto para cada VLAN con la que la computadora quiera hablar.

Una vez que tiene las interfaces VLAN configuradas, y cosas como que el servidor DHCP las escucha y configura correctamente, entonces es "solo" una cuestión de configurar el enrutamiento.

Siempre que tenga activado el reenvío de IP y su concentrador de VLAN sea su enrutador predeterminado (los cuales probablemente sean ciertos), entonces debería funcionar sin cambios.

Si desea continuar y hacer un enrutamiento más avanzado, puedo recomendar quagga como motor de enrutamiento. Admite todos los principales protocolos de enrutamiento y es casi idéntico a trabajar con enrutadores Cisco , por lo que las habilidades serían en gran medida transferibles.

entonces básicamente tienes la siguiente configuración física:

R -------(Port A)(VLANx)|  
                        |
U1 ------(Port B)(VLAN1)|
                        |-S
U2 ------(Port C)(VLAN2)|
                        |
U3 ----(Port D)(VLAN1&2)|

En primer lugar, las VLAN son redes virtuales de capa 2 (considérelas como una red Ethernet separada) y puede interconectarlas por varios medios, pero sigue siendo solo la capa 2 (Ethernet)

Es un dominio de difusión único de Ethernet. Lo que se origina en una VLAN permanece en ella (solicitudes ARP, DHCP, etc.) Es más fácil de usar / solucionar problemas que varias redes IP en la misma LAN / VLAN, porque el tráfico IP de una VLAN no se encuentra en la otra

Si desea que varias Redes de Capa 3 (IP) puedan comunicarse entre sí, debe enrutarse. Esto puede hacerse mediante enrutadores y / o conmutadores de capa 3 (conmutadores capaces de enrutamiento) Si su conmutador NO ES un conmutador L3, DEBE enrutar con el enrutador, utilizando múltiples interfaces (una por VLAN)

Segundo. Si desea más de una VLAN en un solo puerto de enrutador / conmutador / servidor, debe usar Etiquetado (AKA 802.1Q), que agregará un encabezado a los marcos de Ethernet para identificar qué VLAN son (y algunas otras cosas, como CoS Prioridad, etc.).

Por último, según su configuración, su enrutador no es parte de una VLAN, lo que significa que, por defecto, debería ser la VLAN 1 en el conmutador. Esto significa que tiene 1.1.1.0/24 y 2.2.2.0/24 en la misma VLAN. No necesariamente malo pero aún no es óptimo

Asumiré que no tienes un interruptor compatible con L3

R -(802.1Q)-------(Port A)(802.1Q)|  
                                  |
U1 ---------------(Port B)(VLAN20)|
                                  |-S
U2 ---------------(Port C)(VLAN30)|
                                  |
U3 -(802.1Q)------(Port D)(802.1Q)|

He usado la VLAN 20/10/30/40 ... Siempre es una buena práctica NO usar la VLAN 1, ya que normalmente es la VLAN predeterminada (no configurada) en un conmutador.

Con R teniendo 802.1Q configurado con una interfaz IP en cada VLAN * VLAN 10 1.1.1.0/24 * VLAN 20 2.2.2.0/24 * VLAN 30 3.3.3.0/24 * VLAN 40 4.4.4.0/24, etc.

También tiene un servidor DHCP configurado con múltiples agrupaciones para cualquier interfaz requerida (busque en google "debian dhcp multiple subredes", por ejemplo, ya que no es una explicación única)

Los puertos de conmutación A y D están configurados con etiquetado 802.1Q, el puerto A permite todas las VLAN y el puerto D permite al menos VLAN 30 y 40

U3 que tiene configurado el etiquetado 802.1Q

Si tiene un conmutador compatible con L3, puede hacer lo siguiente:

R ----------------(Port A)(VLAN10)|  
                                  |
U1 ---------------(Port B)(VLAN20)|
                                  |-S
U2 ---------------(Port C)(VLAN30)|
                                  |
U3 -(802.1Q)------(Port D)(802.1Q)|

Con R, U1 y U2 configurados normalmente, U3 (y el puerto del conmutador frente a él) tienen configurado el etiquetado 802.1Q, y las otras interfaces (2.2.2.0/24, 3.3.3.0/24 y 4.4.4.0/24) en el cambiar.

Tenga en cuenta que ninguna otra VLAN, excepto VLAN10, tendría habilitado DHCP (las solicitudes de DHCP no cruzan los límites de enrutamiento, a menos que el reenvío de DHCP esté configurado en el dispositivo de enrutamiento y el servidor esté configurado para servir múltiples subredes).