第 10 章 配置 802.1Q VLAN 标记


若要创建 VLAN,需要在另一个接口上创建一个接口,该接口称为父接口。当 VLAN 接口通过接口时,VLAN 接口将使用 VLAN ID 标记数据包,而返回的数据包将被取消标记。VLAN 接口可以配置与任何其他接口类似。父接口不需要是以太网接口。可以在网桥、绑定和组接口之上创建一个 802.1Q VLAN 标记接口,但要注意一些事项:
  • 对于绑定上的 VLAN,在打开 VLAN 接口之前,绑定具有端口且启动它们非常重要。在没有端口的绑定中添加 VLAN 接口无法正常工作。
  • 无法在带有 fail_over_mac=follow 选项的绑定上配置 VLAN 端口,因为 VLAN 虚拟设备无法更改其 MAC 地址以匹配父 MAC 地址。在这种情况下,流量仍会与不正确的源 MAC 地址一同发送。
  • 通过网络交换机发送 VLAN 标记的数据包需要正确配置交换机。例如,Cisco 交换机上的端口必须分配到一个 VLAN 或配置为中继端口,以接受来自多个 VLAN 的已标记数据包。某些供应商交换机允许通过中继端口处理原生 VLAN 的未标记帧。某些设备允许您启用或禁用原生 VLAN,其他设备则默认禁用它。因此,这种差异可能会导致两个不同交换机之间的原生 VLAN 配置错误,从而造成安全风险。例如:
    个交换机使用原生 VLAN 1 ,另一个交换机使用原生 VLAN 10。如果允许帧在不插入标签的情况下通过,攻击者可以跳过 VLAN - 这种常见的网络渗透技术也称为 VLAN 跳接
    要最小化安全风险,请按以下方式配置接口:
    switch
    • 除非需要它们,否则禁用中继端口。
    • 如果您需要中继端口,请禁用原生 VLAN,以便不允许使用未标记的帧。
    Red Hat Enterprise Linux 服务器
    • 使用 nftables or ebtables 实用程序在入口过滤中丢弃未标记帧。
  • 些较旧的网络接口卡、环回接口、Wimax 卡和某些 InfiniBand 设备都被认为是 VLAN 挑战,这意味着它们不支持 VLAN。这通常是因为设备无法适应 VLAN 标头和与标记数据包关联的最大 MTU 大小。
注意
红帽不支持 VLAN 之上的绑定。如需更多信息,请参阅 Red Hat 知识库文章,是否在 VLAN 上配置绑定作为端口接口的有效配置?

10.1. 选择 VLAN 接口配置方法

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.