利用Linux系统实现VLAN间的单臂路由及安全网关的功能

最新推荐文章于 2024-11-15 21:23:43 发布
最新推荐文章于 2024-11-15 21:23:43 发布
阅读量394 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 运维 网络
原文链接:http://blog.51cto.com/5165807/2299423
本文介绍如何利用淘汰的PC安装Linux系统,通过配置VLAN和单臂路由,实现企业内部网络安全管理,有效利用资源同时降低成本。涵盖交换机VLAN配置、Linux系统安装、VLAN配置、包转发及防火墙设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  摘 要:为提高企业内部网络安全管理需要,作者从实践经验中总结出在企业已淘汰的普通计算机上安装Linux系统来实现VLAN间的单臂路由及安全网关的功能,既节省企业成本又能达到旧设备的有效利用。
  
  
  1 基本网络示意图
  图1
  1.1 交换机上创建3个VLAN
  (1)VLAN20为管理VLAN,用于交换机的远程管理;
  (2)VLAN30包含eth1―eth10号端口,属于A部门;
  (3)VLAN40包含eth11―eth20号端口,属于B部门;
  1.2 交换机上配置Trunk端口
  交换机24号端口的端口类型配置为Trunk端口,Trunk端口能够转发不同VLAN的数据。
  1.3 各部门客户端
  (1)A1客户端:IP:192.168.130.1/24
  (2)A2客户端:IP:192.168.130.2/24
  (3)B1客户端:IP:192.168.140.1/24
  (4)B2客户端:IP:192.168.140.2/24
  其中A部门网关地址是192.168.130.254,B部门网关地址是192.168.140.254,各部门客户端DNS设置为Internet上的DNS服务器地址(如:8.8.8.8和4.4.4.4)。
  2 交换机配置
  2.1 VLAN的作用
  VLAN是把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
  2.2 在交换机上具体配置VLAN
  在交换机的系统视图下输入下列命令行创建所需的VLAN和相应配置:
  vlan 30
  port Ethernet 0/1 to Ethernet 0/10
  quit
  vlan 40
  port Ethernet 0/11 to Ethernet 0/20
  quit
  interface Ethernet 0/24
  port link-type trunk
  port trunk permit vlan all
  quit
  vlan 20
  quit
  interface vlan-interface 20
  ip address 192.168.120.253 255.255.255.0
  quit
  ip route-static 0.0.0.0 0.0.0.0 192.168.120.254
  user-interface vty 0 4
  set authentication password simple 123456
  user privilege level 0
  quit
  super password simple 321123
  3 Linux系统的安装与配置
  3.1 安装Linux系统
  (1)准备一台淘汰的P4级别的台式计算机,内存512MB并安装两块使用性能及兼容性好的网卡。
  (2)Linux系统可以选择免费的开源系统CentOS 6。从http://www.centos.org网址上找minimal的iso镜像文件,保存到本地并刻录光盘,通过光驱引导安装Linux系统。
  (3)升级Linux系统并安装vconfig组件
  把安装好的Linux系统先连接到互联网上,再通过yum命令进行升级和安装组件:
  yum -y update
  yum -y install vconfig
  3.2 配置Linux VLAN
  (1)连接两个网卡
  其中eth0接口连接到交换机的24号端口(trunk端口),eth1接口连接互联网。
  (2)eth0接口配置
  /etc/sysconfig/network-scripts/ifcfg-eth0是eth0接口的配置文件。
  DEVICE=eth0
  TYPE=Ethernet
  BOOTPROTO=static
  IPADDR=0.0.0.0
  ONBOOT=yes
  (3)给eth0物理接口添加VLAN
  vconfig set_name_type VLAN_PLUS_VID
  vconfig add eth0 20
  vconfig add eth0 30
  vconfig add eth0 40
  ip address add 192.168.120.254/24 broadcast + dev vlan0020
  ip address add 192.168.130.254/24 broadcast + dev vlan0030
  ip address add 192.168.140.254/24 broadcast + dev vlan0040  
ip link set dev vlan0020 up
  ip link set dev vlan0030 up
  ip link set dev vlan0040 up
  为了便于系统下次启动时使用此配置,我们可以把上面的配置保存到脚本文件里,然后在系统启动时加载即可。
  若想删除已经建立好的VLAN则使用vconfig rem [VLAN名称]命令。
  (4)eth1接口配置
  eth1的配置与eth0类似,根据图示配置参数即可。
  3.3 打开Linux系统的包转发功能
  /etc/sysctl.conf
  net.ipv4.ip_forward = 1
  3.4 配置接口的NAT功能
  iptables -t nat -A POSTROUTING -s 192.168.130.0/24 -o eth1 -j MASQUERADE
  iptables -t nat -A POSTROUTING -s 192.168.140.0/24 -o eth1 -j MASQUERADE
  service iptables save
  service iptables restart
  3.5 添加默认路由
  ip route add default via 202.99.224.1 dev eth1
  3.6 配置Linux防火墙
  防火墙配置之前清除原来的规则。
  (1)防御外网接口的***
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
  iptables -P FORWARD ACCEPT
  iptables -A INPUT -i lo -j ACCEPT
  iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
  iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
  iptables -A INPUT -i eth0 -p tcp -m state --state NEW �m tcp --dport 22 -j ACCEPT
  service iptables save
  service iptables restart
  (2)防御TCP洪水***和ICMP洪水***
  编辑/etc/sysctl.conf文件修改下列两个值,若没有此属性则直接添加。
  net.ipv4.tcp_syncookies=1
  net.ipv4.icmp_echo_ignore_broadcasts=1
  service iptables restart
  通过以上配置不仅能够实现VLAN间的单臂路由及安全网关的功能,还可以做到DNAT、策略路由、流量控制等。总之、使用丰富的Linux系统功能使我们找到既经济又实用的解决安全网关的方案。

转载于:https://blog.51cto.com/5165807/2299423

linux单臂路由,linux单臂路由实现trunk 使vlan通信
weixin_28749997的博客
05-15 768
假定要使vlan停止通疑,我们但往往会应用三层互换机或路由器子接表情势往做。Linux上关于VLAN与Cisco互换机中继跟尾,也是能够真现其彼此之的通疑的。环境:RHEL 5.2最小化安装,物理网卡eth1,做为VLAN互换机跟尾的Trunk心跟尾到2960的GigabitEthernet0/1。而另中一张物理网卡eth0做为上行心,跟尾其他收集。Cisco 2960,启用VLAN,VLA...
利用单臂路由实现vlan路由
m0_64351015的博客
06-02 1348
以太网中,通常使用vlan技术来隔离二层广播域来减少广播的影响,增强网络的安全性和可管理性。缺点是同时隔离了不同vlan的二层流量,使不同vlan不能互通。现实工作中,需要用户之跨越vlan实现通信,使用单臂路由解决方法之一。单臂路由原理通过一台路由器,使vlan互通数据通过路由器进行三层转发。如果在路由器上为每个vlan分配一个独的路由器物理接口,随着vlan数量增加,需要更多接口,而路由器接口数量有限,所以需要在一个路由器的物理接口上配置子接口(逻辑接口)实现更多功能
linux单臂路由,浅谈利用Linux系统实现VLAN单臂路由安全网关功能
weixin_39555320的博客
05-12 396
1基本网络示意图1.1交换机上创建3个VLAN(1)VLAN20为管理VLAN,用于交换机的远程管理;(2)VLAN30包含eth1eth10号端口,属于A部门;(3)VLAN40包含eth11eth20号端口,属于B部门。1.2交换机上配置Trunk端口交换机24号端口的端口类型配置为Trunk端口,Trunk端口能够转发不同VLAN的数据。1.3各部门客户端(1)A1客户端:IP:192.16...
linux单臂路由,单臂路由配置 - osc_8vayftu3的个人空 - OSCHINA - 中文开源技术交流社区...
weixin_39674293的博客
05-12 296
1.R1上配置单臂路由[R1]int GigabitEthernet 0/0/0.10 配置标识为.10的子接口[R1-GigabitEthernet0/0/0.10]dot1q termination vid 10 标识vlan id的tag[R1-GigabitEthernet0/0/0.10]ip address 10.1.1.100 24 配置vlan10的网关[R1-GigabitEt...
Linux 命令行配置为臂旁路由。
最新发布
liulilittle的博客
11-15 620
方法一:(NAT+FORWARD)注意:都可以增加来源限定。en0 为单臂路由网卡。方法二:(SNAT
linux单臂路由,linux实现二层交换单臂路由
weixin_39652154的博客
05-12 436
环境:RHEL 5.2 最小化安装,物理网卡eth1,作为VLAN交换机连接的Trunk口连接到2960的GigabitEthernet0/1。而另外一张物理网卡eth0作为上行口,连接其他网络。Cisco 2960,启用VLANVLAN的网段规划入下:VLAN 1:fa0/1 - fa0/6 192.168.1.0/24VLAN 2:fa0/7 - fa0/12 192.168.2.0/24V...
浅谈利用Linux系统实现VLAN单臂路由安全网关功能.pdf
09-06
浅谈利用Linux系统实现VLAN单臂路由安全网关功能.pdf
利用单臂路由实现VLAN路由
12-13
首先,单臂路由的基本概念是利用路由器的一个物理接口(例如,GE0/0/1)创建多个逻辑子接口,每个子接口对应一个VLAN,从而实现VLAN的路由。在实验中,路由器R1创建了三个子接口GE0/0/1.1、GE0/0/1.2和GE0/0/1.3,...
实验6 单臂路由方式实现VLAN路由
w1911026171的博客
04-12 2445
1.实验场景 某学院内网配置了1台交换机,其下划分了2个VLAN,将交换机接入路由器后,利用路由器接口实现单臂路由,使得VLAN可以通信。 2.实验要求 根据实例说明,建立网络拓扑,在交换机上划分不同的VLAN,并利用连接交换机的路由器接口配置单臂路由,使不同VLAN的主机可以实现通信。
linux路由教程,路由器单臂路由配置
weixin_39889214的博客
05-03 474
导读某企业有两个主要部门,技术部和销售部,分处于不同的办公室,为了安全和便于管理对两个部门的主机进行了 VLAN 的划分,技术部和销售部分处于不同的 VLAN。现由于业务的需求需要销售部和技术部的主机能够相互访问,获得相应的资源,两个部门的交换机通过一台路由器进行了连接。技术原理单臂路由:是为实现 VLAN 通信的三层网络设备路由器,它只需要一个以太网,通过创建子接口可以承担所有 VLAN 的网...
单臂路由+trunk+web服务器访问
06-15
单臂路由+trunk+web服务器访问实例教程
vmware 虚拟linux单臂路由
weixin_34237596的博客
04-22 953
linux配路由做网关比较普遍,本文实现vmware下虚拟机使用“4095”vlan端口组的单臂路由功能。 环境介绍, 两台esxi主机—— xx.2和xx.3。两台物理主机都是双网卡,网卡0走access流量,为管理口。网卡1走trunk流量,对应vSwitch1。xx.2在vSwitch1上新建端口组vlan188/vlan189/vlan190,分别对应的vlan id...
Linux改为单臂路由
wangshankun2011的博客
05-30 1753
这里所谓的臂指的是:当芯片只有一个口接入CPU的时候,这个口只能同时做wan和lan口 这里假设只有一个口eth2,其实大部分低端路由器只会一个口和CPU直接连接,比入mt7620a芯片 如果去看mt7620a在openwrt上的网络配置,就可以看到和我下面的配置类似,原理是一样 利用Linux自身的vlan虚拟出的wan和lan,但是芯片本身的wan和lan一定要和虚拟出的对应上,不然网络不会通的
Linux vlan路由配置,VLAN路由
weixin_32452829的博客
05-13 921
路由>VLAN在二层是分隔开的,如果要实现VLAN的通信,必须要借助到三层路由功能。·支持VLAN路由的设备:1.任意的3层交换机2.支持以太口起子接口的路由器(2600以上)<单臂路由(Router on a Stick)>通过使用路由器完成VLAN的路由,路由器上要起子接口,并且要和交换机之形成trunk。路由器上的配置:注意:先把接口no shut才能创建子接口inter...
Linuxvlan配置路由,华为设备实现VLAN单臂路由
weixin_39830688的博客
05-12 157
华为设备实现VLAN单臂路由一、VLAN1、创建VLAN[Huawei]vlan 10 //创建并进入VLAN10[Huawei]vlan batch 10 20 //创建VLAN10和20[Huawei]vlan batch 10 to 20 //创建VLAN10至202、查看VLANdisplay vlan3、配置接口类型(access、trunk和hybrid,默认为Hybrid)[Hua...
Linux网络设置之vlan与路由
smstong的成长轨迹
04-07 4387
===================================== vlan设置 =============================================== 转自:http://hi.baidu.com/autoelectron/item/223c0baf327477aa28ce9d3d 加载802.1q模块 [root@test0001~]#yu
linux单臂路由和DHCP超级作用域
weixin_34310127的博客
12-21 231
安装DHCP 做超级作用域 将DHCP的文件从实例文件中拷贝过来 编辑DHCP文件 man dhcp.config 修改DHCP文件 将两个作用域合成一个 重启服务 做单臂路由 对DHCP服务器设置两块网卡 1.将/etc/sysconfig/network-scripts下的eth0文件拷贝一份到相同目录下保存名为eth0:1 ...
单臂路由
weixin_34037515的博客
11-23 110
实验目的:实现不同vlan的通信 拓扑图: 实验步骤: 1.switch0的配置 Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. ...
linux命令trunk一个文件,linux单臂路由实现trunk 使vlan通信
weixin_35019131的博客
04-28 289
如果要使vlan进行通信,我们通常会使用三层交换机或者路由器子接口模式来做。Linux上关于VLAN与Cisco交换机中继连接,也是可以实现其互相之的通信的。环境:RHEL 5.2最小化安装,物理网卡eth1,作为VLAN交换机连接的Trunk口连接到2960的GigabitEthernet0/1。而另外一张物理网卡eth0作为上行口,连接其他网络。Cisco 2960,启用VLAN,VLA...
13.9实验教程:单臂路由实现VLAN路由
通过以上知识点的解释,我们可以了解到单臂路由技术是如何用于VLAN路由的,以及如何利用ENSP模拟器进行相关实验操作。实验文件将指导用户完成配置过程,包括创建VLAN、配置子接口、设置路由协议和策略等步骤,最终...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值