Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 10 章 配置 802.1Q VLAN 标记

若要创建 VLAN,需要在另一个接口上创建一个接口,该接口称为父接口。当 VLAN 接口通过接口时,VLAN 接口将使用 VLAN ID 标记数据包,而返回的数据包将被取消标记。VLAN 接口可以配置与任何其他接口类似。父接口不需要是以太网接口。可以在网桥、绑定和组接口之上创建一个 802.1Q VLAN 标记接口,但要注意一些事项:
  • 对于绑定上的 VLAN,在打开 VLAN 接口之前,绑定具有端口且启动它们非常重要。在没有端口的绑定中添加 VLAN 接口无法正常工作。
  • 无法在带有 fail_over_mac=follow 选项的绑定上配置 VLAN 端口,因为 VLAN 虚拟设备无法更改其 MAC 地址以匹配父 MAC 地址。在这种情况下,流量仍会与不正确的源 MAC 地址一同发送。
  • 通过网络交换机发送 VLAN 标记的数据包需要正确配置交换机。例如,Cisco 交换机上的端口必须分配到一个 VLAN 或配置为中继端口,以接受来自多个 VLAN 的已标记数据包。某些供应商交换机允许通过中继端口处理原生 VLAN 的未标记帧。某些设备允许您启用或禁用原生 VLAN,其他设备则默认禁用它。因此,这种差异可能会导致两个不同交换机之间的原生 VLAN 配置错误,从而造成安全风险。例如:
    个交换机使用原生 VLAN 1 ,另一个交换机使用原生 VLAN 10。如果允许帧在不插入标签的情况下通过,攻击者可以跳过 VLAN - 这种常见的网络渗透技术也称为 VLAN 跳接
    要最小化安全风险,请按以下方式配置接口:
    switch
    • 除非需要它们,否则禁用中继端口。
    • 如果您需要中继端口,请禁用原生 VLAN,以便不允许使用未标记的帧。
    Red Hat Enterprise Linux 服务器
    • 使用 nftables or ebtables 实用程序在入口过滤中丢弃未标记帧。
  • 些较旧的网络接口卡、环回接口、Wimax 卡和某些 InfiniBand 设备都被认为是 VLAN 挑战,这意味着它们不支持 VLAN。这通常是因为设备无法适应 VLAN 标头和与标记数据包关联的最大 MTU 大小。
注意
红帽不支持 VLAN 之上的绑定。如需更多信息,请参阅 Red Hat 知识库文章,是否在 VLAN 上配置绑定作为端口接口的有效配置?

10.1. 选择 VLAN 接口配置方法