如果您尝试通过 Linux 服务器集群中的网桥连接一组 VLAN,可能会发生什么异常?
我们假设您有一组正在运行虚拟机(qemu-kvm)的服务器,这些虚拟机的虚拟接口(vnet+)连接到 4 个 VLAN 接口(vlan1301、vlan1302、vlan1303、vlan1304),但您需要将这些 VLAN 加入一个(因为您需要所有 4 个网关都存在于同一个物理路由器的接口上:1.1.1.254/24、2.2.2.254/24、3.3.3.254/24、4.4.4.254/24,所有这些地址都是可通过 访问的同一接口的别名vlan666。
我该怎么做?我会在每个主机上创建一个到 vlan666 的接口,并将它们全部桥接在一起:
brctl addbr jjj
bectl addif jjj vlan666
brctl addif jjj vlan1301
brctl addif jjj vlan1302
brctl addif jjj vlan1303
brctl addif jjj vlan1304
您觉得怎么样?危险是什么?什么时候会出现问题?
感谢您分享您的想法!
答案1
在同一个网桥下添加多个 VLAN 使整个网络成为一个唯一的广播域,因此最重要的是来自一个 VLAN 的广播将到达其他 VLAN,例如 DHCP 请求等。如果您在内核中启用了 IP 转发(没有任何特殊的防火墙规则),您将自动转发 VLAN 之间所有 VLAN 的所有流量。在我看来,这绝对不是您在实施 VLAN 时所寻找的。
答案2
VLAN 用于划分原本是单个广播域/段的区域。将它们桥接在一起会将它们重新加入到单个广播域中 - 这样做毫无意义。您只需将所有链接移动到单个 VLAN 即可获得相同的效果。
如果希望 VLAN 之间相互通信,则需要路由器,而不是网桥。在路由器上,只需使用多个接口 - 不一定是物理接口,只需使用 VLAN 子接口并中继上行链路(标记交换机上的所有 VLAN 或除一个之外的所有 VLAN)。