O012、Linux如何实现VLAN

参考https://www.cnblogs.com/CloudMan6/p/5313994.html

 

LAN 表示 Local Area Network ，本地局域网，通常使用 Hub 或者 Switch 来连接LAN 中的计算机。一般来说，两台计算机连入同一个 Hub 或者 Switch 时，他们就在同一个LAN中。

 

一个LAN 表示一个广播域。其含义是：LAN中的所有成员都会受到任意一个成员发出的广播包。

 

VLAN 表示 Virtual LAN。一个带有VLAN 功能的 Switch 能够将自己的端口划分出多个LAN。计算机发出的广播包可以被同一个LAN中的其他计算机收到，但位于其他LAN的计算机则无法收到。简单的说，VLAN将一个交换机分成了多个交换机，限制了广播的范围，在二层将计算机隔离到不同的VLAN中。

 

比方说，有两组机器，Group A 和 Group B ，我们想配置成Group A 中的机器可以互相访问，Group B 中的机器也可以互相访问，但是 Group A 和 Group B 中的机器无法互相访问。一种方法是使用两个交换机，A和B分别接到不同的交换机上。另一种方法是使用一个带VLAN功能的交换机，将 A 和 B的机器分别接到不同的VLAN中。

 

请注意，VLAN的隔离是二层上的隔离，A 和 B 无法互相访问指的是二层广播包（比如arp）无法跨域VLAN的边界。但在三成上（比如IP）是可以通过路由器让A 和 B 互通的。概念上一定要分清楚。

 

现在的交换机几乎都是支持VLAN的。通常交换机的端口有两种配置模式： Access 和 Trunk，如下图

 

 

Access 口

 

这些口被打上了VLAN的标签，表明该端口属于哪个VLAN。不同VLAN用VLAN ID 来区分，VLAN ID 的范围是 1- 4096 。Access 口都是直接与计算机网络相连的，这样从该网卡出来的数据包流入 Access口后就被打上了所在的VLAN 标签。Access 口只能属于一个VLAN。

 

Trunk 口

 

架设有两个交换机 A 和 B 。A上有 VLAN1（红）、VLAN2（黄）、VLAN3（蓝）；B 上也有VLAN1、2、3，那如何让 AB 上相同的VLAN之间能够通信呢？

 

办法是将 A 和 B 连起来，而且连接 A 和 B 的端口要允许 VLAN1、2、3 这三个VLAN的数据通过。这样的端口就是 Trunk 口了。VLAN 1、2、3 的数据包在通过Trunk 口到达对方交换机的过程中始终带着自己的VLAN 标签。

 

了解了VLAN的概念之后，我们来看KVM虚拟化环境下是如何实现 VLAN 的，见下图

 

 

eth0 数宿主机上的物理网卡，有一个命名为 eth0.10的自身与之相连。

eth0.10 就是VLAN设备了，其VLAN ID 就是 VLAN10

eth0.10 古仔命名为 brvlan10 的Linux Bridge上，虚机VM1 的虚拟网卡vnet0也挂载brvlan10 上。

 

这样配置的效果就是：宿主机用软件实现了一个交换机（虚拟的），上面定义了一个VLAN10 。 eth0.10 、brvlan10 和 vnet0 都分别接到了 VLAN 10 的Access 口上。而eth0 就是一个 Trunk口。VM1 通过 vnet0 发出来的数据包会被打上 VLAN10 的标签。

 

eth0.10 的作用是：定义了VLAN10

 

brvlan10 的作用是：Bridge 上连接的其他设备自动加入到 VLAN10 中。

 

下面我们在增加一个 VLAN20 ，如图

 

 

这样虚拟交换机就有两个VLAN了，VM1 和 VM2分别属于 VLAN10 和 VLAN 20 。对于新创建的虚机，只需要将其虚拟网卡放入对应的 Bridge中，就能使用其所属的 VLAN。

 

VLAN 设备总是以母子关系出现，母子设备之间是一对多的关系。

 

一个母设备（eth0），可以有多个子设备（eth0.10  eth0.20 ....），而一个子设备只有一个母设备。