네트워크 인터페이스 VLAN 정적 주소 지정

네트워크 인터페이스 VLAN 정적 주소 지정

Ubuntu 16.04 Dabian 버전을 사용하여 고정 IP 주소를 구성하려고 했습니다. 네트워크는 아래와 같습니다.

클라이언트와 HTTP 서버 간에 ICMP(ping echo)를 얻을 수 없습니다. 라우터 192.168.1.11 및 192.168.1.12를 통해 서버와 클라이언트를 연결하는 방법이 있습니까?

현재 네트워크 인터페이스 구성은 192.168.1.11 및 192.168.1.12입니다. 192.168.0.16과 192.168.2.16 사이에서 ICMP를 사용할 수 있지만 192.168.1.12에서 192.168.0.17까지, 192.168.1에서 192.168.2.1까지는 사용할 수 없습니다. 7 . 11:

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback


# adding vlan 201 on eno1 - static IP address
auto eno1.201
iface eno1.201 inet static
        address 192.168.1.12
        netmask 255.255.255.0
        vlan-raw-device eno1
        post-up ip route add default dev eno1.201

# Adding vlan 101 on eno1 - Static IP address
auto eno1.101
iface eno1.101 inet static
        address 192.168.2.16
        gateway 192.168.1.10 # switch IP address
        netmask 255.255.255.0
        vlan-raw-device eno1

내 클라이언트 고정 주소:

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

auto eno1
iface eno1 inet static
        address 192.168.2.17
        netmask 255.255.255.0
        network 192.168.2.0
        gateway 192.168.2.16

참고: IPsec을 사용하면 서버와 클라이언트를 연결할 수 있지만 IPsec을 중지하면 서로 ICMP하지 않습니다.

편집하다: 기본 스위치 포트 구성 여기에 이미지 설명을 입력하세요.

답변1

VLAN이 유선에서 어떻게 작동하는지 빠르게 설명하겠습니다. 일반 이더넷 패킷에는 전용 VLAN ID 필드가 없습니다. 반면에 VLAN 패킷은 이후 확장이며 이전 형식의 모든 필드와 다음에 정의된 추가 태그로 구성된 새로운 패킷 형식을 사용합니다.802.1Q. 따라서 동일한 라인에 태그가 지정되지 않은 패킷과 태그가 지정된 패킷이 있을 수 있습니다. 설명은 이 패킷이 "서로 전달"되고 물리적 연결 위에 서로 다른 "가상 연결"을 형성한다는 것입니다.

그렇다면 태그가 지정된 포트와 태그가 지정되지 않은 포트가 있는 VLAN 그룹을 정의할 때 스위치는 무엇을 수행합니까 VID=100? 스위치가 100포트 1-4에 태그된 패킷을 수신하면 해당 패킷(동일한 태그 포함)을 포트 1-4(다른 번호 포함)로 전달하고 태그를 제거하여 포트 5-6으로 전달합니다. 포트 1-4의 다른 모든 태그 지정 및 태그 지정되지 않은 패킷은 무시됩니다. 포트 5-6에서 태그가 지정되지 않은 패킷을 수신하면 태그가 지정되지 않은 패킷을 5-6의 다른 포트로 전달하고 해당 패킷에 태그를 지정하여 100포트 1-4로 전달합니다. 포트 5-6에서 수신된 태그가 지정된 모든 패킷은 무시됩니다(이 VLAN의 경우).

마찬가지로 포트 5-6 또는 10-11에서 태그가 지정된 패킷을 수신 VID=201하면 201태그가 지정된 패킷을 5-6, 10-11 및 태그가 지정되지 않은 7-9 ​​대기의 다른 포트로 전달됩니다.

무엇하지 마세요어떻게든 서로 다른 VLAN 간에 패킷을 전달합니다. 100포트 1-4에서 태그가 지정되고 수신된 패킷은아니요201"포트 5-6"에 태그를 다시 지정 하고 VLAN으로 전달한 VID=201다음 다시 태그를 지정 101하고 포트 12-15로 전달합니다.

스위치에 할당된 IP 주소는 여기서 전혀 역할을 하지 않습니다. 스위치는 IP 주소가 없는 OSI 레벨 2에서 작동합니다.

DHCP 문제도 전혀 관련이 없으며 이는 순전히 네트워크 문제입니다.

따라서 현재 구성에서는 VLAN 100과 VLAN 101 사이에 연결이 없으며(어딘가에 정의된 라우팅 테이블이 없는 한) 완전히 독립적이므로 서버와 클라이언트가 서로 핑할 수 없습니다.

원하는 것을 설명할 수 있다면성취하다네트워크 구성에 따라 해결책을 찾아볼 수 있습니다. 대략적인 의미는 다음과 같습니다.

클라이언트와 서버는 항상 통신해야 하고, 왼쪽 노트북은 클라이언트가 아닌 서버하고만 통신해야 하며, 오른쪽 노트북은 서버가 아닌 클라이언트하고만 통신해야 하고, 노트북은 IPsec을 통해서만 통신해야 합니다. 모든 컴퓨터에는 이더넷 플러그가 하나만 있습니다.

일반적으로 이 경우 각 "별도" 연결에 대해 하나의 VLAN을 사용하므로 각 컴퓨터는 여러 VLAN에 속하게 됩니다. 이는 순전히 관리용이며 안전하지 않습니다. "불량" 컴퓨터가 다른 VLAN에도 있는 것처럼 가장하는 것을 방지할 수 있는 방법은 없습니다. 따라서 보안 문제가 있는 경우 언급해 주시기 바랍니다.

관련 정보