第 10 章 配置 802.1Q VLAN 标记
若要创建 VLAN,需要在另一个接口上创建一个接口,该接口称为父接口。当 VLAN 接口通过接口时,VLAN 接口将使用 VLAN ID 标记数据包,而返回的数据包将被取消标记。VLAN 接口可以配置与任何其他接口类似。父接口不需要是以太网接口。可以在网桥、绑定和组接口之上创建一个 802.1Q VLAN 标记接口,但要注意一些事项:
- 对于绑定上的 VLAN,在打开 VLAN 接口之前,绑定具有端口且启动它们非常重要。“”在没有端口的绑定中添加 VLAN 接口无法正常工作。
- 无法在带有
fail_over_mac=follow
选项的绑定上配置 VLAN 端口,因为 VLAN 虚拟设备无法更改其 MAC 地址以匹配父 MAC 地址。在这种情况下,流量仍会与不正确的源 MAC 地址一同发送。 - 通过网络交换机发送 VLAN 标记的数据包需要正确配置交换机。例如,Cisco 交换机上的端口必须分配到一个 VLAN 或配置为中继端口,以接受来自多个 VLAN 的已标记数据包。某些供应商交换机允许通过中继端口处理原生 VLAN 的未标记帧。某些设备允许您启用或禁用原生 VLAN,其他设备则默认禁用它。因此,这种差异可能会导致两个不同交换机之间的原生 VLAN 配置错误,从而造成安全风险。例如:个交换机使用原生 VLAN 1 ,另一个交换机使用原生 VLAN 10。如果允许帧在不插入标签的情况下通过,攻击者可以跳过 VLAN - 这种常见的网络渗透技术也称为 VLAN 跳接。要最小化安全风险,请按以下方式配置接口:
- switch
- 除非需要它们,否则禁用中继端口。
- 如果您需要中继端口,请禁用原生 VLAN,以便不允许使用未标记的帧。
- Red Hat Enterprise Linux 服务器
- 使用 nftables or ebtables 实用程序在入口过滤中丢弃未标记帧。
- 些较旧的网络接口卡、环回接口、Wimax 卡和某些 InfiniBand 设备都被认为是 VLAN 挑战,这意味着它们不支持 VLAN。这通常是因为设备无法适应 VLAN 标头和与标记数据包关联的最大 MTU 大小。
注意
红帽不支持 VLAN 之上的绑定。如需更多信息,请参阅 Red Hat 知识库文章,是否在 VLAN 上配置绑定作为端口接口的有效配置?
10.1. 选择 VLAN 接口配置方法
- 要使用 NetworkManager 的文本用户界面工具 nmtui 配置 VLAN 接口,请继续 第 10.2 节 “使用文本用户界面 nmtui 配置 802.1Q VLAN 标记”
- 要使用 NetworkManager 的命令行工具 nmcli 配置 VLAN 接口,请继续 第 10.3 节 “使用命令行工具 nmcli 配置 802.1Q VLAN 标记”
- 要手动配置网络接口,请参阅 第 10.4 节 “使用命令行配置 802.1Q VLAN 标记”。
- 要使用图形用户界面工具配置网络,请继续 第 10.5 节 “使用 GUI 配置 802.1Q VLAN 标记”