linux作单臂路由实现trunk 使vlan之间通讯

若是要使vlan之间进行通讯，咱们一般会使用三层交换机或者路由器子接口模式来作。Linux上关于VLAN与Cisco交换机中继链接，也是能够实现其互相之间的通讯的。

环境：RHEL 5.2 最小化安装，物理网卡eth1，做为VLAN交换机链接的Trunk口链接到2960的GigabitEthernet0/1。而另一张物理网卡eth0做为上行口，链接其余网络。
      Cisco 2960，启用VLAN，VLAN的网段规划入下：
       VLAN 1：fa0/1 - fa0/6 192.168.1.0/24
       VLAN 2：fa0/7 - fa0/12 192.168.2.0/24
       VLAN 3：fa0/13 - fa0/18 192.168.3.0/24
       VLAN 4：fa0/19 - fa0/24 192.168.4.0/24
因为2960支持的802.1q trunk协议对于本征vlan 1 的数据流是不会增长vlan标记的，以及交换机的配置过程，具体能够见本站点其余关于交换机配置介绍
能够用 Show interfaces trunk命令查看本征vlan 规划：对于本征vlan咱们不增长子接口，直接在物理网卡eth1上绑定IP便可，其余vlan都使用vconfig建立子接口便可。

一.首先要确认Linux系统内核是否已经支持VLAN功能：
当前使用内核以及操做系统版本：
[root@happyboy ~]# # lsmod |grep 8021q        //查看系统内核是否支持802.1q协议
8021q                 18633  0 
[root@happyboy ~]# lspci        //确认网卡驱动是否已经正常加载

通常来讲RH9之后的Linux发行版本，诸如RHEL4、RHEL5、CentOS4、CentOS5都已经默认支持了VLAN的功能。
  
二.物理网卡、子网卡、虚拟VLAN网卡的关系：
1.物理网卡：物理网卡这里指的是服务器上实际的网络接口设备，这里我服务器上双网卡，在系统中看到的2个物理网卡分别对应是eth0和eth1这两个网络接口。

2.子网卡：子网卡在这里并非实际上的网络接口设备，可是能够做为网络接口在系统中出现，如eth0:1、eth1:2这种网络接口。它们必需要依赖于物理网卡，虽然能够与物理网卡的网络接口同时在系统中存在并使用不一样的IP地址，并且也拥有它们本身的网络接口配置文件。可是当所依赖的物理网卡不启用时（Down状态）这些子网卡也将一同不能工做。

3.虚拟VLAN网卡：这些虚拟VLAN网卡也不是实际上的网络接口设备，也能够做为网络接口在系统中出现，可是与子网卡不一样的是，他们没有本身的配置文件。他们只是经过将物理网加入不一样的VLAN而生成的VLAN虚拟网卡。若是将一个物理网卡添加到多个VLAN当中去的话，就会有多个VLAN虚拟网卡出现，他们的信息以及相关的VLAN信息都是保存在/proc/net/vlan/config这个临时文件中的，而没有独自的配置文件。它们的网络接口名是eth0.1、eth1.2这种名字。
注意：当须要启用VLAN虚拟网卡工做的时候，关联的物理网卡网络接口上必须没有IP地址的配置信息，而且，这些主物理网卡的子网卡也必须不能被启用和必须不能有IP地址配置信息。这个在网上看到的结论根据个人实际测试结果来看是不许确的，物理网卡自己能够绑定IP，而且给本征vlan提供通讯网关的功能，但必须是在802.1q下。

三.规划网络：
1.VLAN的划分：
Cisco交换机2960上交换机配置不在赘述。
RHEL 5.2默认内核支持VLAN，而且默认只支持802.1q的中继封装。咱们须要对链接Cisco交换机2960的中继接口的eth1进行配置，在上面已经说明，对于vlan1本征vlan直接用物理eth1便可。另外，因为网络当中要使用3个VLAN，所以，中继网卡eth1也必需要添加虚拟网卡以及IP地址。规划以下：
       eth1：192.168.1.1/24
       eth1.2：192.168.2.1/24
       eth1.3：192.168.3.1/24
       eth1.4：192.168.4.1/24       

2.Linux网关转发部分：
VLAN功能网卡eth1上除其自己外，将被划分红3个VLAN虚拟网卡，经过中继网卡eth1与Cisco交换机2950的VLAN中继端口链接，另一个物理网卡eth0做为上行网络接口。而Linux服务器将在eth1与eth0之间作流量转发，这样VLAN与VLAN之间也实现了数据流的转发，若是不但愿VLAN之间转发的话，能够经过iptables来进行设定，这里就再也不展开iptables了。

四.在Linux配置VLAN Trunk：
因为在Linux上eth1要被设定为Trunk与Cisco交换机2960中继链接，所以，网络中有几个VLAN的话，那么中继网卡上也必需要加入多个VLAN才能支持到(本征vlan不须要添加，属于本征vlan的端口设置IP同该物理网卡网段，并将网关指向eth1便可，关于eth0和eth1的配置，能够直接编辑配置文件 /etc/sysconfig/network-scripts/ifcfg-eth0和ifcfg-eth1，或用setup来配置等文本图形工具配置)。
1.将eth1添加到VLAN 2中：
[root@happyboy net]# vconfig add eth1 2
WARNING:  Could not open /proc/net/vlan/config.  Maybe youneed to load the 8021q module, or maybe you are not using PROCFS??
Added VLAN with VID == 2 to IF -:eth1:-
第一次添加VLAN虚拟网卡的时候就必定会出现上面的那句提示，缘由是由于默认下/proc/net/vlan/config这个专门用来保存VLAN信息的文件是没有的。因为第一次添加VLAN网卡，那么这个文件也会被自动创建起来。另外，在/proc/目录下面的文件都是系统的临时文件，所以从新启动后一定丢失休息，因此在配置并测试VLAN成功后，能够将一些相关命令添加到rc.local这个启动脚本当中去了。在执行该命令以前能够先到/proc/net/目录查看下，并不存在vlan文件夹，执行后会建立一个vlan文件夹，并生成config配置文件，以及对应的虚拟vlan网卡配置文件eth1.2等
后面的一句
Added VLAN with VID == 2 to IF -:eth1:-
这里表示已经将eth1网卡添加到了VLAN 2中，而且它在VLAN中的虚拟网卡是eth1.2。
2.一样将eth1添加到VLAN 3、4中：
[root@happyboy ~]# vconfig add eth1 3
Added VLAN with VID == 3 to IF -:eth1:-
[root@happyboy ~]# vconfig add eth1 4
Added VLAN with VID == 4 to IF -:eth1:-

4.检查添加的VLAN虚拟网卡信息：
[root@happyboy ~]# cat /proc/net/vlan/config 
--------------------------------------------------
VLAN Dev name    | VLAN ID
Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD
eth1.2         | 2  |     eth1
eth1.3         | 3  |     eth1
eth1.4         | 4  |     eth1
虚拟网卡       VLANID  归属的主网卡
--------------------------------------------------
能够看到全部的VLAN虚拟网卡以及它们所归属的主物理网卡。

五.为VLAN虚拟网卡设定IP地址而且进行启用：
[root@happyboy ~]# ifconfig eth1.2 192.168.2.1 up
[root@happyboy ~]# ifconfig eth1.3 192.168.3.1 up
[root@happyboy ~]# ifconfig eth1.4 192.168.4.1 up

六.确认Linux系统下的全部网络接口配置：
1.从新启动网络服务
[root@happyboy ~]# service network restart
--------------------------------------------------
Shutting down interface eth0:                          [  OK  ]
Shutting down interface eth1:                          [  OK  ]
Shutting down loopback interface:                      [  OK  ]
Bringing up loopback interface:                        [  OK  ]
Bringing up interface eth0:                            [  OK  ]
Bringing up interface eth1:                            [  OK  ]
--------------------------------------------------

2.检查Linux系统下的全部网络接口信息：
[root@happyboy ~]# ifconfig |more
到这里已经基本上将VLAN的主要配置完成了。

七.简单测试：
测试从各个vlan 之间的连通性，能够直接在属于各个vlan的交换机端口上链接一台PC，设置其属于对应网段IP，并将网关指向到对应vlan虚拟网卡的IP，会发现与网关之间的通讯正常，可是vlan之间没法通讯，那时由于linux默认不会转发数据，具体介绍能够参考
http://www.happyboy.net.cn/article.asp?id=19
,直接修改ip_forward值为1便可使vlan之间正常通讯

后续能够：配置iptables进行NAT各个网络接口间转发；配置iptables来限制指定VLAN之间的转发以实现安全性以及优化处理。
在上面说过，这些配置信息是写到系统临时文件的，系统重启将会致使配置丢失，咱们能够在/etc/rc.local中增长如下语句便可
vconfig add eth1 2
vconfig add eth1 3
vconfig add eth1 4
ifconfig eth1.2 192.168.2.1 up
ifconfig eth1.3 192.168.3.1 up
ifconfig eth1.4 192.168.4.1 up
echo '1' > /proc/sys/net/ipv4/ip_forward

Vconfig命令的简要说明：
vconfig - VLAN 802.1q 配置程序。
说明
       Vconfig程序可以创建VLAN虚拟网卡而且与远程的VLAN设备对接，可是前提是内核首先必须支持VLAN功能。VLAN虚拟网卡是以太网卡上虚拟出来的、为了可以在一个物理网络上支持VLAN虚拟网络的虚拟网卡。
选项
add  物理网卡  VLAN-ID号
在指定的物理网卡上虚拟出指定VLAN号的VLAN虚拟网卡。VLAN虚拟网卡名将记录在/proc/net/vlan/config文件中。
rem VLAN虚拟网卡
删除指定的VLAN虚拟网卡，若是不清楚VLAN虚拟网卡名的话能够到/proc/net/vlan/config文件中查看VLAN虚拟网卡名。

相关文件
       /proc/net/vlan/config
       /proc/net/vlan/VLAN虚拟网卡
http://www.kernelchina.org/?q=node/49#comment-446
http://www.kernelchina.org/?q=node/49


本文来自ChinaUnix博客，若是查看原文请点：http://blog.chinaunix.net/u3/94024/showart_2160641.html