少做更多:构建一个Linux VLAN

虚拟LAN提供灵活性和可管理性,而不为新硬件打破银行。了解如何使用Linux构建VLAN。

 By Carla Schroder.
Page 1 of 2

Virtual Lans(VLAN)逻辑地划分本地网络,而不是仅在物理交换机和路由器上依赖。这为您提供了一个美妙的灵活性。物理上子网LAN需要多个路由器,或具有多个网络接口的路由器和多个交换机。使用VLAN,您可以对您的网络进行分割并进行更改而不会受到硬件的限制。您可以创建物理和逻辑子网的复杂混合,直到您的头部爆炸或一切愉快地工作。

例如,节俭网络管理员可以从单个以太网交换机和路由器上运行多个子网。您需要一个支持VLAN的交换机来进行这项工作,客户端网络接口需要VLAN地址,并且您必须配置路由来传递新的虚拟子网之间的流量。这是实惠的,现在只为极客的最苛刻,因为我们现在有一整套新的课程 廉价的“智能”开关 包含在高端兄弟姐妹中发现的许多功能。 Linux支持VLAN寻址和路由,大多数商业路由器支持VLAN。在本系列中,我们将使用自本草基于基于Linux的路由器。

网络艺术

让我们制作一些漂亮的ASCII图片来说明。这是一个简单的网络,具有单个路由器/防火墙和三个物理子网:

              router/firewall
                         ----------------/ | ----------------
   /                  |                  
switch              switch              switch                                 192.168.1.0/24   192.168.2.0/24   192.168.3.0/24
lan1                 lan2                   lan3

路由器有三个以太网接口。每个人连接到单独的开关,然后连接到多个主机。这很好,简单易懂。它也是不灵活的。假设您希望在同一子网上的LAN1和LAN2中有一些主机,或者假设要添加第四个子网。您将必须物理移动电缆或计算机,并可能购买新装备。

因此,您可以创建一个VLAN结构,它打开了各种可能性,如整个网络的单个开关:

              router/firewall
                      --------------------switch----------------------                                    192.168.1.0/24   192.168.2.0/24    192.168.3.0/24
vlan1                vlan2                  vlan3

然后,您可以添加物理分离的DMZ(定义):

              router/firewall
                      |-----switch--192.168.4.0/24
                      |               lan1, DMZ
                      --------------------switch----------------------                                    192.168.1.0/24   192.168.2.0/24    192.168.3.0/24
vlan1                vlan2                  vlan3

因此,即使在小型网络上,您也会看到它如何为您提供令人难以置信的灵活性。您仅限于交换机的大小和功能。

VLAN不是安全设备

你永远不应该用VLAN做的一件事是为了满足任何一种安全性。它们是方便,而不是安全设备,并且在LAN上很容易地绕过软件实用程序 Dsniff. 窥探工具套件。顺便说一句,可以窥探任何交换网络。因此,如果您需要DMZ或任何必须分离的网络段,请不要将其放在VLAN上。在路由器上使用单独的物理网络接口或单独的路由器,适当的防火墙分开它,并给它自己的交换机。

术语

让我们来定义一些术语,以便我们知道我们正在谈论的是什么。 LAN是一个局域网,通常是同一建筑物或建筑物群中的计算机,打印机和其他网络设备的地理上定义的以太网连接的镜像。兰斯经常分为 子网 或者 网段。单个子网中的所有主机都可以在不需要路由器的情况下彼此通信。最简单的例子是通过交叉电缆连接的两台PC。连接到单个交换机(不vlanned)的每个主机都位于同一子网上。你也可以打电话给这个 广播域名,由于以太网广播不会交叉路由器,但仅限于单个LAN段。 VLAN组是广播域。在我们谈过的枢纽的古老天 碰撞域名,但谢天谢地切换治疗碰撞。

值得注意的是,交叉电缆是一种濒临灭绝的物种,因为大多数现代交换机和NIC都有自动MDI / MDI-X,也称为通用电缆识别,自动传感,自动上行链路和其他营销条款。最初需要交叉电缆,以确保直接连接的两个NIC或彼此连接的两个开关,将具有正确匹配的发射和接收电线。交换机和集线器在内部交叉,所以需要 直截了当的 电缆。幸运的是,在这里,现代时代几乎不需要跟踪两种不同的电缆类型。

A 门户网关 是不同网络的入口,如互联网或私人WAN(广域网)。 WAN是两个或更多LAN的网络。私有IP地址,无论是IPv4还是IPv6,都无法跨网关。请注意,这是路由器和防火墙的函数;私人地址可以进入互联网,但智能网络管理员和服务提供商阻止它们。如果您的主机可以在不穿过网关的情况下相互通信,即使他们跨过一些路由器,他们也会在局域网中。

当您在同一设备上有两个以太网接口,例如路由器或无线接入点时,它们必须位于不同的子网上。在同一子网上不能在同一设备上有两个NIC;如果发生这种情况,没有流量将通过。这就是为什么必须将有线和无线主机的小型家庭网络的原因如下。因此,您需要一个路由器以使流量能够在两者之间传递。没有要求这样做,因为两个子网可以共享Internet连接而不能够彼此交谈。这是隔离子网的简单方法;例如,如果您慷慨地共享打开的无线接入点,您只能将其限制为Internet连接,并将其安全地从局域网中围绕。

本文最初发布于2008年1月23日
通过网络更新通讯获取最新的勺子