Назад | Перейти на главную страницу

Присоединение к вланам мостами

Какие аномалии могут произойти, если вы попытаетесь соединить группу vlan с помощью мостов в кластере серверов Linux?

Предположим, у вас есть группа серверов, на которых работают виртуальные машины (qemu-kvm), виртуальные интерфейсы этих виртуальных машин (vnet +) подключены, скажем, к 4 интерфейсам VLAN (vlan1301, vlan1302, vlan1303, vlan1304), но вам необходимо объединить эти VLAN в одну (поскольку вам нужно, чтобы все 4 шлюза присутствовали на одном физическом интерфейсе маршрутизатора: 1.1.1.254/24, 2.2.2.254/24, 3.3.3.254/24, 4.4.4.254/24, все эти адреса являются псевдонимами одного и того же интерфейса, доступного через vlan666.

Что бы я сделал? Я бы создал интерфейс для vlan666 на каждом хосте и связал его все вместе:

brctl addbr jjj
bectl addif jjj vlan666
brctl addif jjj vlan1301
brctl addif jjj vlan1302
brctl addif jjj vlan1303
brctl addif jjj vlan1304

Как вы думаете, в чем опасность? Может ли что-нибудь когда-нибудь выйти из строя?

Спасибо за то, что поделились своими мыслями!

Сети VLAN используются для разделения того, что в противном случае было бы одним широковещательным доменом / сегментом. Их соединение объединяет их в единый широковещательный домен - в этом нет смысла. Вы можете просто переместить все ссылки в одну VLAN с тем же эффектом.

Если вы хотите, чтобы сети VLAN взаимодействовали друг с другом, вам понадобится маршрутизатора не мост. На маршрутизаторе просто используйте несколько интерфейсов - не обязательно физических, просто используйте субинтерфейсы VLAN и соедините восходящий канал (пометьте все VLAN или все, кроме одного, на коммутаторе).

Добавление нескольких vlan под одним и тем же мостом делает все это уникальным широковещательным доменом, поэтому наиболее важным является то, что широковещательные передачи от одного vlan будут достигать других vlan, например, запросы DHCP и так далее. И если в ядре включена переадресация IP-адресов (без каких-либо специальных правил брандмауэра), вы автоматически перенаправляете весь трафик всех виртуальных локальных сетей между виртуальными локальными сетями. ИМХО, это совершенно не то, на что вы рассчитываете, когда внедряете вланы.