Однорукий домашний маршрутизатор с дешевым интеллектуальным управляемым коммутатором и кабельным модемом?

Question

Мой вопрос, будет ли такая установка работать:

Кабельный модем, несколько локальных компьютеров, а также маршрутизатор / сервер (в комплекте с Linux, всего 1 порт) подключаются к дешевому интеллектуальному управляемому коммутатору, такому как TP-Link TL-SG108E. Локальные машины должны иметь возможность подключаться к Интернету через маршрутизатор.

Может ли такой коммутатор быть сконфигурирован так, чтобы машины локальной сети получали нетегированный трафик, но маршрутизатор получал их трафик, например, с VLAN ID 1, и что модем также получал нетегированный трафик, но маршрутизатор получал свой трафик, например, с VLAN ID 2?

Кроме того, есть ли какие-либо соображения безопасности или производительности *?

*) Мне известно, что, поскольку маршрутизатор использует только 1 порт, пропускная способность будет разделяться между трафиком LAN и WAN. Для этого я буду делать на eth0 в обоих направлениях в соответствии с моими потребностями.

Answer 1

Я нашел ваш вопрос, потому что я исследовал проблему широковещания VLAN с конкретным маршрутизатором, о котором вы упомянули (TL-SG108E). Если оставить этот вопрос в стороне на данный момент, то, что вы спрашиваете, должно быть возможно с VLAN на этом устройстве или с любым другим интеллектуальным коммутатором с поддержкой VLAN.

Вы должны определить порт, к которому подключается кабельный модем, как «немаркированный» для данной VLAN и установить соответствующий PVID. В этом режиме коммутатор автоматически вставляет и удаляет заголовки VLAN для всего трафика на порт, так что устройство не знает, находится ли он в VLAN, но другие устройства в сети (например, другие коммутаторы или маршрутизатор) будут получать теги VLAN. И, конечно же, по назначению устройства в разных VLAN не будут видеть сетевой трафик друг друга.

Вы сделали бы то же самое для всех других устройств локальной сети, установив их как непомеченные в другой VLAN.

Затем для порта, идущего к маршрутизатору Linux, вы должны определить его как помеченный порт с обеими VLAN, который указывает коммутатору передавать пакеты с метками VLAN непосредственно на устройство. Linux может настраивать интерфейсы VLAN, которые будут обрабатывать теги VLAN и доставлять пакеты на соответствующий интерфейс.

На этом этапе вы можете использовать iptables для маршрутизации пакетов между ними, как вам угодно, используя цепочки FORWARD, как если бы у вас было два физических интерфейса на Linux-боксе, между которыми вы хотели маршрутизировать.