博客访问： 1054756
博文数量： 462
博客积分： 1291
博客等级： 中尉
技术积分： 2701
注册时间：
网络安全 编程
APP发帖 享双倍积分
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
分类： LINUX
原文地址： 作者：
如果要使vlan之间进行通信，我们通常会使用三层交换机或者路由器子接口模式来做。Linux上关于VLAN与Cisco交换机中继连接，也是可以实现其互相之间的通信的。环境：RHEL 5.2 最小化安装，物理网卡eth1，作为VLAN交换机连接的Trunk口连接到2960的GigabitEthernet0/1。而另外一张物理网卡eth0作为上行口，连接其他网络。Cisco 2960，启用VLAN，VLAN的网段规划入下：VLAN 1：fa0/1 - fa0/6 192.168.1.0/24VLAN 2：fa0/7 - fa0/12 192.168.2.0/24VLAN 3：fa0/13 - fa0/18 192.168.3.0/24VLAN 4：fa0/19 - fa0/24 192.168.4.0/24由于2960支持的802.1q trunk协议对于本征vlan 1 的数据流是不会增加vlan标记的，以及交换机的配置过程，具体可以见本站点其他关于交换机配置介绍可以用 Show interfaces trunk命令查看本征vlan 规划：对于本征vlan我们不增加子接口，直接在物理网卡eth1上绑定IP即可，其他vlan都使用vconfig创建子接口即可。一.首先要确认Linux系统内核是否已经支持VLAN功能：当前使用内核以及操作系统版本：[root@happyboy ~]# # lsmod |grep 8021q //查看系统内核是否支持802.1q协议 0 [root@happyboy ~]# lspci //确认网卡驱动是否已经正常加载一般来说RH9以后的Linux发行版本，诸如RHEL4、RHEL5、CentOS4、CentOS5都已经默认支持了VLAN的功能。
二.物理网卡、子网卡、虚拟VLAN网卡的关系：1.物理网卡：物理网卡这里指的是服务器上实际的网络接口设备，这里我服务器上双网卡，在系统中看到的2个物理网卡分别对应是eth0和eth1这两个网络接口。2. 子网卡：子网卡在这里并不是实际上的网络接口设备，但是可以作为网络接口在系统中出现，如eth0:1、eth1:2这种网络接口。它们必须要依赖于物理网卡，虽然可以与物理网卡的网络接口同时在系统中存在并使用不同的IP地址，而且也拥有它们自己的网络接口配置文件。但是当所依赖的物理网卡不启用时（Down状态）这些子网卡也将一同不能工作。3.虚拟VLAN网卡：这些虚拟VLAN网卡也不是实际上的网络接口设备，也可以作为网络接口在系统中出现，但是与子网卡不同的是，他们没有自己的配置文件。他们只是通过将物理网加入不同的VLAN而生成的VLAN虚拟网卡。如果将一个物理网卡添加到多个VLAN当中去的话，就会有多个VLAN虚拟网卡出现，他们的信息以及相关的VLAN信息都是保存在/proc/net /vlan/config这个临时文件中的，而没有独自的配置文件。它们的网络接口名是eth0.1、eth1.2这种名字。
注意：当需要启用VLAN虚拟网卡工作的时候，关联的物理网卡网络接口上必须没有IP地址的配置信息，并且，这些主物理网卡的子网卡也必须不能被启用和必须不能有IP地址配置信息。这个在网上看到的结论根据我的实际测试结果来看是不准确的，物理网卡本身可以绑定IP，并且给本征vlan提供通信网关的功能，但必须是在802.1q下。
三.规划网络：1.VLAN的划分：Cisco交换机2960上交换机配置不在赘述。RHEL 5.2默认内核支持VLAN，并且默认只支持802.1q的中继封装。我们需要对连接Cisco交换机2960的中继接口的eth1进行配置，在上面已经说明，对于vlan1本征vlan直接用物理eth1即可。另外，由于网络当中要使用3个VLAN，因此，中继网卡eth1也必须要添加虚拟网卡以及IP 地址。规划如下：eth1：192.168.1.1/24eth1.2：192.168.2.1/24eth1.3：192.168.3.1/24eth1.4：192.168.4.1/24 2.Linux网关转发部分：VLAN 功能网卡eth1上除其本身外，将被划分成3个VLAN虚拟网卡，通过中继网卡eth1与Cisco交换机2950的VLAN中继端口连接，另外一个物理网卡eth0作为上行网络接口。而Linux服务器将在eth1与eth0之间做流量转发，这样VLAN与VLAN之间也实现了数据流的转发，如果不希望 VLAN之间转发的话，可以通过iptables来进行设定，这里就不再展开iptables了。
四.在Linux配置VLAN Trunk：由于在Linux上eth1要被设定为Trunk与Cisco交换机2960中继连接，因此，网络中有几个VLAN的话，那么中继网卡上也必须要加入多个VLAN才能支持到(本征vlan不需要添加，属于本征vlan的端口设置IP同该物理网卡网段，并将网关指向eth1即可，关于eth0和eth1的配置，可以直接编辑配置文件 /etc/sysconfig/network-scripts/ifcfg-eth0和ifcfg-eth1，或用setup来配置等文本图形工具配置)。1.将eth1添加到VLAN 2中：[root@happyboy net]# vconfig add eth1 2WARNING: Could not open /proc/net/vlan/config. Maybe you need to load the 8021q module, or maybe you are not using PROCFS??Added VLAN with VID == 2 to IF -:eth1:-第一次添加VLAN虚拟网卡的时候就一定会出现上面的那句提示，原因是因为默认下/proc/net/vlan/config这个专门用来保存VLAN信息的文件是没有的。由于第一次添加VLAN网卡，那么这个文件也会被自动建立起来。另外，在/proc/目录下面的文件都是系统的临时文件，因此重新启动后必定丢失休息，所以在配置并测试VLAN成功后，可以将一些相关命令添加到rc.local这个启动脚本当中去了。在执行该命令之前可以先到/proc /net/目录查看下，并不存在vlan文件夹，执行后会创建一个vlan文件夹，并生成config配置文件，以及对应的虚拟vlan网卡配置文件 eth1.2等后面的一句Added VLAN with VID == 2 to IF -:eth1:-这里表示已经将eth1网卡添加到了VLAN 2中，并且它在VLAN中的虚拟网卡是eth1.2。
<FONT color=#.同样将eth1添加到VLAN 3、4中：[root@happyboy ~]# vconfig add eth1 3Added VLAN with VID == 3 to IF -:eth1:-[root@happyboy ~]# vconfig add eth1 4Added VLAN with VID == 4 to IF -:eth1:-4.检查添加的VLAN虚拟网卡信息：[root@happyboy ~]# cat /proc/net/vlan/config --------------------------------------------------VLAN Dev name | VLAN IDName-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PADeth1.2 | 2 | eth1eth1.3 | 3 | eth1eth1.4 | 4 | eth1虚拟网卡 VLANID 归属的主网卡--------------------------------------------------可以看到所有的VLAN虚拟网卡以及它们所归属的主物理网卡。
五.为VLAN虚拟网卡设定IP地址并且进行启用：[root@happyboy ~]# ifconfig eth1.2 192.168.2.1 up[root@happyboy ~]# ifconfig eth1.3 192.168.3.1 up[root@happyboy ~]# ifconfig eth1.4 192.168.4.1 up
六.确认Linux系统下的所有网络接口配置：1.重新启动网络服务[root@happyboy ~]# service network restart--------------------------------------------------Shutting down interface eth0: [ OK ]Shutting down interface eth1: [ OK ]Shutting down loopback interface: [ OK ]Bringing up loopback interface: [ OK ]Bringing up interface eth0: [ OK ]Bringing up interface eth1: [ OK ]--------------------------------------------------2.检查Linux系统下的所有网络接口信息：[root@happyboy ~]# ifconfig |more到这里已经基本上将VLAN的主要配置完成了。
七.简单测试：测试从各个vlan 之间的连通性，可以直接在属于各个vlan的交换机端口上连接一台PC，设置其属于对应网段IP，并将网关指向到对应vlan虚拟网卡的IP，会发现与网关之间的通信正常，但是vlan之间无法通信，那时因为linux默认不会转发数据，具体介绍可以参考,直接修改ip_forward值为1即可使vlan之间正常通信
后续可以：配置iptables进行NAT各个网络接口间转发；配置iptables来限制指定VLAN之间的转发以实现安全性以及优化处理。
在上面说过，这些配置信息是写到系统临时文件的，系统重启将会导致配置丢失，我们可以在/etc/rc.local中增加以下语句即可
vconfig add eth1 2vconfig add eth1 3vconfig add eth1 4ifconfig eth1.2 192.168.2.1 upifconfig eth1.3 192.168.3.1 upifconfig eth1.4 192.168.4.1 upecho '1' > /proc/sys/net/ipv4/ip_forward
Vconfig命令的简要说明：vconfig - VLAN 802.1q 配置程序。说明Vconfig程序能够建立VLAN虚拟网卡并且与远程的VLAN设备对接，但是前提是内核首先必须支持VLAN功能。VLAN虚拟网卡是以太网卡上虚拟出来的、为了能够在一个物理网络上支持VLAN虚拟网络的虚拟网卡。
选项add 物理网卡 VLAN-ID号在指定的物理网卡上虚拟出指定VLAN号的VLAN虚拟网卡。VLAN虚拟网卡名将记录在/proc/net/vlan/config文件中。rem VLAN虚拟网卡删除指定的VLAN虚拟网卡，如果不清楚VLAN虚拟网卡名的话可以到/proc/net/vlan/config文件中查看VLAN虚拟网卡名。相关文件/proc/net/vlan/config/proc/net/vlan/VLAN虚拟网卡
阅读(456) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧！~~
请登录后评论。Linux实现的IEEE 802.1Q VLAN
第3页_Linux教程_Linux公社-Linux系统门户网站
你好，游客
Linux实现的IEEE 802.1Q VLAN
来源：Linux社区&
作者：dog250
第二部分：Linux上的VLANLinux上的VLAN和Cisco/H3C上的VLAN不同，后者的VLAN是现有了LAN，再有V，也就是说是先有一个大的LAN，再划分为不同的VLAN，而Linux则正好相反，由于Linux的Bridge设备是被创建出来的逻辑设备，因此Linux需要先创建VLAN，再创建一个Bridge关联到该VLAN，创建VLAN很简单：ifconfig eth0 0.0.0.0 upvconfig eth0 10ifconfig eth0.10 up当使用vconfig创建了eth0.10之后，它就是一个“真实意义”的虚拟网卡设备了，类似br0，tap0，bond0之类的，在这个虚拟网卡之下绑定的是一个真实网卡eth0，也就是数据从eth0这块真实网卡发出，eth0.10中的“.10”表示它可以承载VLAN 10的数据帧，并且在通过eth0发出之前要打上tag。那么打tag这件事自然而然就是通过eth0.10这个虚拟设备的hard_xmit来完成的，在这个hard_xmit中，打上相应的tag后，再调用eth0的hard_xmit将数据真正发出，如下图所示：因此一个真实的物理网卡比如ethx，它可以承载多个VLAN的数据帧，因此它就是trunk端口了，如下所示：Linux的VLAN工具vconfig采用ethx.y的方式以ethx为trunk端口加入VLAN id为y的VLAN中。类比Cisco/H3C，我们已经创建了trunk，总结一下：使用vconfig创建一个ethx.y的虚拟设备，就创建了一个trunk，其中ethx就是trunk口，而y代表该trunk口连接的trunk链路可以承载的VLAN数据帧的id，我们创建ethx.a，ethx.b，ethx.c，ethx.d，就说明ethx可以承载VLAN a，VLAN b，VLAN c，VLAN d的数据帧。&&&&&&& 接下来，我们看一下如何创建access端口。首先注意，由于Linux的Bridge是虚拟的，逻辑意义的，因此可以先创建了VLAN之后，再根据这个VLAN动态的创建Bridge，而不是“为每一个端口配置VLAN id”，我们需要做的很简单：创建VLAN：ifconfig eth0 0.0.0.0 upvconfig eth0 10ifconfig eth0.10 up为该VLAN创建Bridge：brctl addbr brvlan10brctl addif brvlan10 eth0.10为该VLAN添加网卡：ifconfig eth1 0.0.0.0 upbrctl addif brvlan10 eth1ifconfig eth2 0.0.0.0 upbrctl addif brvlan10 eth2...这就完了。从此，eth1和eth2就是VLAN 10的access端口了，而eth0则是一个trunk端口，级联VLAN的时候要用到，如果不需要级联VLAN，而仅仅需要扩展VLAN 10，那么你大可将eth1连接在一个二层常规交换机或者hub上...同样的，你可以再创建一个VLAN，同样通过eth0来级联上游VLAN交换机：ifconfig eth0 0.0.0.0 upvconfig eth0 20ifconfig eth0.20 upbrctl addbr brvlan20brctl addif brvlan20 eth0.20ifconfig eth5 0.0.0.0 upbrctl addif brvlan20 eth5如下图所示：3
相关资讯 & & &
& (08月09日)
& (08月01日)
& (07月31日)
& (08月09日)
& (07月31日)
& (07月31日)
　　　同意评论声明
　　　发表
尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款一.首先要确认系统是否已经支持功能：当前使用内核以及版本：[@happyboy ~]# #&lsmod |grep 8021q&&&&&&&& //查看系统内核是否支持802.1q协议8021q&&&&&&&&&&&&&&&&& 18633 0&[root@happyboy ~]#&lspci&&&&&& //确认驱动是否已经正常加载&二.物理网卡、子网卡、虚拟VLAN网卡的关系：1.物理网卡：物理网卡这里指的是上实际的设备，这里我服务器上双网卡，在系统中看到的2个物理网卡分别对应是eth0和eth1这两个网络接口。2. 子网卡：子网卡在这里并不是实际上的网络接口设备，但是可以作为网络接口在系统中出现，如eth0:1、eth1:2这种网络接口。它们必须要依赖于物理网卡，虽然可以与物理网卡的网络接口同时在系统中存在并使用不同的，而且也拥有它们自己的网络接口文件。但是当所依赖的物理网卡不启用时（Down状态）这些子网卡也将一同不能工作。3.虚拟VLAN网卡：这些虚拟VLAN网卡也不是实际上的网络接口设备，也可以作为网络接口在系统中出现，但是与子网卡不同的是，他们没有自己的。他们只是通过将物理网加入不同的VLAN而生成的VLAN虚拟网卡。如果将一个物理网卡添加到多个VLAN当中去的话，就会有多个VLAN虚拟网卡出现，他们的信息以及相关的VLAN信息都是保存在/proc/net /vlan/config这个临时文件中的，而没有独自的配置文件。它们的网络接口名是eth0.1、eth1.2这种名字。当需要启用VLAN虚拟网卡工作的时候，关联的物理网卡网络接口上必须没有IP地址的配置信息，并且，这些主物理网卡的子网卡也必须不能被启用和必须不能有IP地址配置信息。这个在网上看到的结论根据我的实际测试结果来看是不准确的，物理网卡本身可以绑定IP，并且给本征vlan提供通信网关的功能，但必须是在802.1q下.[root@VlanLinux ~]# vi /etc/sysconfig/-scripts/ifcfg-eth1————————————————–DEVICE=eth1ONBOOT=yesBOOTPROTO=static设定静态地址并且不给IP地址设定。三、在Linux配置VLAN Trunk：由于在Linux上eth1要被设定为Trunk，因此，网络中有几个VLAN的话，那么中继网卡上也必须要加入多个VLAN才能支持到(本征vlan不需要添加，属于本征vlan的端口设置IP同该物理网卡网段，并将网关指向eth1即可，关于eth0和eth1的配置，可以直接编辑配置文件 /etc/sysconfig/network-scripts/ifcfg-eth0和ifcfg-eth1，或用setup来配置等文本图形工具配置)。1.将eth1添加到VLAN 2中：[root@happyboy net]# vconfig add eth1 2WARNING: Could not open /proc/net/vlan/config. Maybe you need to load the 8021q module, or maybe you are not using PROCFS??Added VLAN with VID == 2 to IF -:eth1:-第一次添加VLAN虚拟网卡的时候就一定会出现上面的那句提示，原因是因为默认下/proc/net/vlan/config这个专门用来保存VLAN信息的文件是没有的。由于第一次添加VLAN网卡，那么这个文件也会被自动建立起来。另外，在/proc/目录下面的文件都是系统的临时文件，因此重新启动后必定丢失休息，所以在配置并测试VLAN成功后，可以将一些相关命令添加到rc.local这个启动当中去了。在执行该命令之前可以先到/proc /net/目录查看下，并不存在vlan，执行后会创建一个vlan文件夹，并生成config配置文件，以及对应的虚拟vlan网卡配置文件 eth1.2等后面的一句Added VLAN with VID == 2 to IF -:eth1:-这里表示已经将eth1网卡添加到了VLAN 2中，并且它在VLAN中的虚拟网卡是eth1.2。&2.同样将eth1添加到VLAN 3、4中：[root@happyboy ~]# vconfig add eth1 3Added VLAN with VID == 3 to IF -:eth1:-[root@happyboy ~]# vconfig add eth1 4Added VLAN with VID == 4 to IF -:eth1:-4.检查添加的VLAN虚拟网卡信息：[root@happyboy ~]# cat /proc/net/vlan/config&--------------------------------------------------VLAN Dev name&&& | VLAN IDName-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PADeth1.2&&&&&&&& | 2 |&&&&& eth1eth1.3&&&&&&&& | 3 |&&&&& eth1eth1.4&&&&&&&& | 4 |&&&&& eth1虚拟网卡&&&&&& VLANID&& 归属的主网卡--------------------------------------------------可以看到所有的VLAN虚拟网卡以及它们所归属的主物理网卡。五.为VLAN虚拟网卡设定IP地址并且进行启用：[root@happyboy ~]# ifconfig eth1.2 192.168.2.1 up[root@happyboy ~]# ifconfig eth1.3 192.168.3.1 up[root@happyboy ~]# ifconfig eth1.4 192.168.4.1 up六.确认Linux系统下的所有网络接口配置：1.重新启动网络服务[root@happyboy ~]# service network restart--------------------------------------------------Shutting down
eth0:&&&&&&&&&&&&&&&&&&&&&&&&&&& [ OK ]Shutting down interface eth1:&&&&&&&&&&&&&&&&&&&&&&&&&&& [ OK ]Shutting down loopback interface:&&&&&&&&&&&&&&&&&&&&&&& [ OK ]Bringing up loopback interface:&&&&&&&&&&&&&&&&&&&&&&&&& [ OK ]Bringing up interface eth0:&&&&&&&&&&&&&&&&&&&&&&&&&&&&& [ OK ]Bringing up interface eth1:&&&&&&&&&&&&&&&&&&&&&&&&&&&&& [ OK ]--------------------------------------------------2.检查Linux系统下的所有网络接口信息：[root@happyboy ~]# ifconfig |more到这里已经基本上将VLAN的主要配置完成了。| 502: 无效网关
-- Event ID: 31afc4bdf0bc212c
如果您是网站管理员，点击查看。如需网站监控，可以使用。
您的浏览器
百度云加速『上海电脑维修_上海笔记本电脑维修_上海电脑上门维修_上海上门维修电脑-上海电脑维修网欢迎您的光临』 Inc.}