手里有两台设备,单网口OpenWRT设备 + 网管型交换机。我们该如何通过VLAN 实现网口拓展、流量隔离,进而将N1盒子如何成为一个主路由?
要回答这个问题,我们要先了解一下什么是VLAN?为什么需要VLAN?
VLAN是什么
虚拟局域网(Virtual Local Area Network或简写VLAN,V-LAN)是一种建构于局域网交换技术(LAN Switch)的网络管理的技术,网管人员可以借此透过控制交换机有效分派出入局域网的报文到正确的出入端口,达到对不同实体局域网中的设备进行逻辑分群(Grouping)管理,并降低局域网内大量数据流通时,因无用报文过多导致壅塞的问题,以及提升局域网的信息安全保障。[1]
为什么需要VLAN
简单来说当我们使用单网口路由器的时候,用一个网口同时处理WAN口与LAN口数据时容易造成报文壅塞,严重时可能造成网络风暴。所以即使我们只有一个网口,我们希望通过某些方式做到逻辑隔离,有效减少无用报文提高数据交换效率。
而VLAN便是一种实现交换机以太网广播隔离的一种理想解决方案,它可以为网络提供以下作用:
1 广播控制
2 带宽利用
3 降低延迟
4 安全性
所以单网口路由器加上VLAN便可以做为一个主力路由器。
为保证不同交换机能通过VLAN通信,1995年IEEE802委员会发表了802.1QVLAN技术的实现标准与帧结构。具体细节可自行Google查询。
前置条件
1 支持基于IEEE 802.1Q VLAN管理交换机
2 单网口OpenWRT设备(N1盒子)
题图是楼主自家的设备集合,一个N1盒子、一个8口全千兆管理型交换机、一个无线路由器。
基本原理与拓扑架构
通过交换机的管理页面,将网络划分为两个VLAN:
其中端口2为公用端口(tagged port),同时处理WAN口、LAN口两种流量,其他口为untagged port。
VLAN 设置 t=tagged u=untagged
然后为每个端口设置PVID,其作用是为所有不带标签的VLAN数据流进来时打上标签。
如光猫数据从端口1进来此时不带任何标签,经过端口1后便打上了100的标签,随后在VLAN100 的 VLAN 里面流通,找到唯一一个出口端口2,带上标签进入OpenWRT路由器。
PVID设置
结合以下拓扑图,我们不难分析数据走向(相同颜色即为同一VLAN):
1 无标签数据从光猫进入交换机的网口1,被打上100的标签
2 标签100只在属于VLAN100,所以找到唯一的一个可连接的端口2,从端口2进入路由器
3 路由器设置了WAN口连接VLAN100,LAN口连VLAN10。CPU处理带标签100的数据后,然后转换成标签10的数据流回端口2
4 数据流向端口3-6,从端口出去时将ID去掉,给到无线路由器或者有线PC等设备(各种设备对VLAN无感知)
5 从WAN到LAN的数据流结束
单网口OpenWRT设备 + 网管交换机的VLAN拓扑
如何设置
请参考视频资料,单网口OpenWRT设备如何设置VLAN?N1盒子如何成为主路由?最终实现网口拓展、流量隔离:https://www.bilibili.com/video/BV1B7411E7sK/。
1 交换机设置
VLAN划分设置
VLAN划分
PVID设置
PVID设置
2 OpenWRT接口设置
LAN桥接到 **eth0.10**,即使用VLAN10
LAN口设置
WAN口设置到 **eth0.100**,即连接到VLAN100。
WAN口设置
3 防火墙设置
将之前单臂路由时所设置的防火墙规则删掉或者注释掉,换为第二行的规则。
1 | #iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE |
总结
通过VLAN的划分我们的单网口路由即可摇身一变成主路由,同时WAN口/LAN口的数据流量不冲突、不会造成潜在的风险。剩余的3-8口都可以作为LAN口,只需要把网络设备接上即可正常上网。
