网络接口 VLAN 静态寻址

网络接口 VLAN 静态寻址

我一直在尝试使用Ubuntu 16.04 Dabian版本配置静态IP地址。网络如下图所示

我一直无法在客户端和 HTTP 服务器之间进行 ICMP(ping 回显)。有没有办法可以通过路由器 192.168.1.11 和 192.168.1.12 连接服务器和客户端?

我当前的网络接口配置为 192.168.1.11 和 192.168.1.12,可以在 192.168.0.16 和 192.168.2.16 之间进行 ICMP,但不能从 192.168.1.12 到 192.168.0.17,也不能从 192.168.1 到 192.168.2.17。 11:

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback


# adding vlan 201 on eno1 - static IP address
auto eno1.201
iface eno1.201 inet static
        address 192.168.1.12
        netmask 255.255.255.0
        vlan-raw-device eno1
        post-up ip route add default dev eno1.201

# Adding vlan 101 on eno1 - Static IP address
auto eno1.101
iface eno1.101 inet static
        address 192.168.2.16
        gateway 192.168.1.10 # switch IP address
        netmask 255.255.255.0
        vlan-raw-device eno1

我的客户端静态地址:

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

auto eno1
iface eno1 inet static
        address 192.168.2.17
        netmask 255.255.255.0
        network 192.168.2.0
        gateway 192.168.2.16

注意:当我使用 IPsec 时,我可以连接服务器和客户端,但是当我停止 IPsec 时,它们不会相互进行 ICMP。

编辑: 基本交换机端口配置 在此输入图像描述

答案1

让我快速解释一下 VLAN 如何在线路上工作:普通以太网数据包没有专门的 VLAN id 字段。另一方面,VLAN 数据包是后来的扩展,它使用新的数据包格式,该格式由旧​​格式的所有字段加上附加标记组成,如中定义的802.1Q。因此,在同一条线上,您可以拥有未标记和标记的数据包,其解释是它们“只是互相经过”并在物理连接之上形成不同的“虚拟连接”。

那么,当您定义带有标记和未标记端口的 VLAN 组时,交换机会做什么VID=100?如果交换机100在端口 1-4 上收到标记为 的数据包,它将把它们(具有相同标记)转发到端口 1-4(中的其他数字),并且它将剥离标记并将它们转发到端口 5-6。端口 1-4 上的所有其他标记和未标记数据包都将被忽略。当它在端口 5-6 上收到未标记的数据包时,它将把未标记的数据包转发到 5-6 中的另一个端口,并标记它们100并将其转发到端口 1-4。端口 5-6 上收到的所有带标记的数据包都将被忽略(对于此 VLAN)

类似地VID=201:如果它201在端口 5-6 或 10-11 上收到标记为 的数据包,它将把标记的数据包转发到 5-6,10-11 中的其他端口和未标记的 7-9 等。

什么不做是以某种方式在不同 VLAN 之间转发数据包:标记为100并在端口 1-4 上接收的数据包是不是重新标记为201“在端口 5-6 上”并转发到 VLAN VID=201,然后再次重新标记为 101并转发到端口 12-15。

交换机中分配的 IP 地址在此根本不起任何作用:交换机在 OSI 级别 2 上工作,其中没有 IP 地址。

DHCP 问题也完全无关,这纯粹是网络问题。

因此,在您当前的配置中,VLAN 100 和 VLAN 101 之间没有连接(除非您在某处定义了路由表),它们是完全独立的,因此服务器和客户端无法相互 ping 通。

如果你能解释你想要什么达到根据您的网络配置,我可以尝试提出解决方案。大致意思是:

客户端和服务器应始终通信,左侧笔记本电脑应仅与服务器通信而不与客户端通信,右侧笔记本电脑应仅与客户端通信而不与服务器通信,笔记本电脑应仅通过 IPsec 通信。所有计算机都只有一个以太网插头。

通常在这种情况下,您将为每个“单独”连接使用一个 VLAN,因此每台计算机都将属于多个 VLAN。请注意,这纯粹是管理性的,并不安全:没有什么可以阻止任何“恶意”计算机假装它也在其他 VLAN 上。因此,如果有任何安全问题,请提及。

相关内容