LINUX.ORG.RU
ФорумAdmin

настроить маршрутизацию VLAN с использованием Debian в качестве роутера?

 , , , ,


0

1

Всех приветствую.

Имеется задача развернуть лабораторный стенд, где в качестве маршрутизатора выступает Debian, к нему подключены 5 сетевых адаптеров (4 из которых различные VLAN и 1 - выход в Интернет). Необходимо организовать связь между разными VLAN по определенному признаку (например, дать доступ из первого в четвёртый и обратно, запретить первым трём VLAN доступ к сети Интернет, но обязательно разрешить устройствам четвёртого VLAN). Сначала показалось, что задача проще некуда: почитал статьи в Интернете (в том числе и тут) и понял, что нужно создать виртуальные адаптеры с тегированным трафиком, назначить адреса и перезапустить сетевую службу, но не сработало. Тогда я начал читать про alias, накидывал его, и пытался играть с маршрутами, но тоже не вышло.

Работа с iptables довольно простая, дело как раз в другом. Пинг не идёт даже от устройства, например, с VLAN 4 до роутера на Debian (при этом порт тоже относится к VLAN 4, IP назначен, возможно, всё связано с trunk и access режимами, не совсем понимаю какой здесь должен быть режим, вроде как access, я пробовал и так, и так).

Потому прошу помощи у вас, что можно попробовать сделать, в какую сторону лучше копать? Какие статьи почитать?

пытался играть с маршрутами

У меня под окном ребята мяч гоняют, предлагаю вам присоединятся к ним на тему «играть»

anc ★★★★★
()

Если у тебя есть отдельные сетевые интерфейсы и на каждый из них ты хочешь назначить отдельный VLAN, на каждый один, то непонятно немного зачем.

VLAN нужен для построения виртуальные сетей в рамках одного канала передачи данных. Т.е. под одному проводу (интерфейсу) будут идти тегированные пакеты с признаком своего VLAN и кадры из разных VLAN не будут доступны друг другу.

Возможно, тебе просто нужно назначить на каждый сетевой интерфейс адрес из разных сетей, с разной адресацией и настроить маршрутизацию.

Если тебе всё же нужны VLAN, то сетевые интерфейсы устройства, которые будут подключаться к тегированному сетевому интерфейсу твоего Debian так же должны быть тегированными, т.е. быть в режиме trunk, т.е. принимать тегированные пакеты того же VLAN, что и на интерфейсе Debian.

Если ты будешь подключать к сетевому интерфейсу Debian обычный неуправляемый коммутатор, без поддержки VLAN, то IP адрес нужно добавлять не на тегированный сетевой интерфейс на Debian, а на физический нетегированный.

Для блокировки движения пакетов «между VLAN», как ты пишешь, просто запрещаешь движение пакетов между нужными тебе сетями.

Для выхода в интернет только для нужных сетей настраиваешь NAT только для них.

Для прохождения пакетов между разными сетями (интерфейсами) нужно включить ip_forward.

И для того, что бы шёл обмен пакетами между разными сетями у всех участников обмена в качестве шлюза (маршрута по умолчанию) должен быть прописан IP адрес сетевого интерфейса Debian из той сети, к которой принадлежит компьютер (сетевое устройство) в сети, как ты пишешь Vlan`е.

kostik87 ★★★★★
()

Debian на реальном железе или виртуалка?

Пинг не идёт даже от устройства, например, с VLAN 4

всё связано с trunk и access режимами

Ну дак с этого и начинайте описание проблемы. Если у вас не получается насторить VLAN, то зачем столько текста про маршруты и iptables? Какой у вас коммутатор, какое «устройство»? На устройстве вы поднимаете VLAN, или оно должно получать нетегированый трафик?

Какие статьи почитать?

Ну про tcpdump почитайте...

mky ★★★★★
()

что нужно создать виртуальные адаптеры с тегированным трафиком,

чего?

перезапустить сетевую службу,

да ты наркоман. после перезапуска «сетевой службы» все те настройки что ты наделал удаляются и инсталятся те что были были в конфигах. sudo ip l add link enp5s0 name v7 type vlan id 7 адреса, линк ап, пинг. как можно заблудится в трех соснах?

antech
()
Admin