痞酷網_PIGOO

 找回密碼
 立即註冊
!!! [系統偵測到廣告阻擋軟體] !!!

如果您覺得痞酷網對您有些許幫助,或者您認同痞酷網的理想,

那麼希望您將痞酷網設定為白名單.

並請在上論壇的時候,動動您的手指,用行動支持我們.

謝謝!
查看: 10219|回復: 2

pfsense 建置VLAN Routing

[複製鏈接]
發表於 2011-3-24 11:09:19 | 顯示全部樓層 |閱讀模式
何為VLAN?
http://zh.wikipedia.org/wiki/%E8 ... 0%E5%9F%9F%E7%BD%91

簡單來說~ 就是在於同一台Switch當中可以劃分多個區域網路~ 讓各個網路分別獨立出來~
當然VLAN的類型有很多種~ 例如: port based vlan、mac address based vlan、protocol based vlan、Tag-based VLAN...等
這篇有蠻豐富的介紹~ 有興趣就自己去看一看吧~
http://noahchou.wordpress.com/20 ... %E6%87%89%E7%94%A8/

在這裡我們講的是 Tag-Based VLAN ~ 也就是 802.1q 的規範~

由於Tag-Based VLAN (往後簡稱802.1q) 是基於L2的切割方式,因此就是以同一台Switch來進行L2的切割(亦可稱作邏輯切割,畢竟實體上看起來還是在同一台Switch上頭~ 針對於L2上頭的切割就好比拿Switch上頭的Port 各自成為Group~ 可以想像成多台電腦各自連接著各自的Switch...
想當然的在各台Switch底下的成員(member)只能在各自區域內來進行溝通~

VLAN 01.JPG

就以這張我房間網路的Switch舉例說明好了~
VLAN 1 底下有 Fa0/24、Gi0/1、Gi0/2
VLAN 2 底下有 Fa0/1、Fa0/20
VLAN 3 底下有 Fa0/3、Fa0/6、Fa0/10、Fa0/17、Fa0/19
VLAN 4 底下有 Fa0/5、Fa0/8、Fa0/21
VLAN 5 底下有 Fa0/18
VLAN 20 底下有 Fa0/2
VLAN 100 底下有 Fa0/12、Fa0/13、Fa0/14、Fa0/16
VLAN 150 底下有 Fa0/7、Fa0/9、Fa0/11

這是同一台 Switch 裡頭的配置~ 以實體上來看都在同一台~ 但在邏輯上來看並不是這樣~
而是透過VLAN切割的方式 產生邏輯上多個Switch
好比VLAN 150 當中 Fa0/7、Fa0/9、Fa0/11 這三個Port 各自接上設備 成為一個 區域網路(LAN)
而VLAN 100 當中的 Fa0/12、Fa0/13、Fa0/14、Fa0/16 這四個Port 各自接上設備 成為一個 LAN
其他的VLAN 也是以此類推摟~~~

那假設 VLAN100 與 VLAN 150 之間要溝通要怎麼辦呢?
其實很簡單~ 就是透過L3 (IP) 的方式來進行路由與溝通~ 簡單來說就是連接個路由器~
早期路由器的介面是不便宜的~~~ 所以網路規劃都很省著用~~~
若有100個VLAN~~~ 不就得需要100個網路介面來作這些VLAN之間的路由嗎???

想當然爾~ 不太可能做這種不切實際的事情~~~ 又不是.... 瘋了!!!

這時候就有個解決方案~ 就叫做~      Trunk

何為 Trunk ?
簡單來說就是節省鏈路以及介面而衍生出來的一個協定~ 目前業界大都是以 802.1q 為主~ 而Cisco也開始捨棄自己開發的ISL格式~
就好比PCHOME購物差不多~ 當你透過物流傳送過來~ 在上頭一定會有收件人的標籤(標籤上面就有註明住址、姓名、電話等資訊)
可以想像馬路好比網路的Trunk一樣~ 上頭承載的貨物或者人不可能都是直達到你家一樣~ 一定有著各式各樣的需求從其他端通到各自的目的端~
而這時候可以想像成 Trunk 好比馬路 可以承載各種打標的Frame 然後到達對方(可能是Switch or Router) 然後由對方進行分辨與處理~

http://bitmindframes.info/wp-content/uploads/2008/06/trunkdiagram.jpg
來源: http://www.bitmindframes.info/cisco-8021q-switch-trunking

OK~ 上面應該有初步的了解之後~ 之後才建議往後看~~~ 要不然看了半天~ 還是看不懂~ 那真的我會建議先去把網路基本概論先念一念會比較好~

架構圖為:
http://farm6.static.flickr.com/5262/5554378923_1098f0bb65_z.jpg

實機:
http://farm6.static.flickr.com/5294/5554384623_f55e37ebcc_z.jpg

http://farm6.static.flickr.com/5052/5554969718_45dac64645_z.jpg

PS: Onboard 還有一張網卡~~~


1. 設定 Switch 的 Trunk
01-new.JPG
強烈建議一定要設定 speed 100 與 duplex full ~ 不要設定成自動溝通模式~ 這樣很容易出現兩者方面的不一致性進而導致傳輸失敗!!!
上面的一些語法 可能有些人看不太懂~ 我在下面稍做解釋
interface FastEthernet0/15
            在 fa0/15 連接埠中
duplex full
            設定全雙工
speed 100
            設定速率100Mbps
switchport trunk encapsulation dot1q
           設定 Trunk 封裝格式為 802.1q
switchport mode trunk
           設定交換連接埠模式為 Trunk
spanning-tree portfast
           設定生成樹為連接用戶端模式~以加快連接埠的收斂速度!!! (生成樹是一個網管型交換器的一個防禦廣播風暴的機制!!!  )
                                                      http://zh.wikipedia.org/zh-hant/ ... 1%E5%8D%8F%E8%AE%AE
PS: 相信有設定的基礎~ 這是Cisco的語法~ 當然其他廠牌的也有其他的設定方法~ 就建議去看該產品的設定手冊吧~




2. 設定 pfsense (以下 VLAN 3 與 VLAN 4 設定亦跟 VLAN 100 與 VLAN 150 雷同~ 在設備上有進行實做但在此不在贅述~)
http://farm6.static.flickr.com/5027/5552766841_d3a76a844a_z.jpg

<a href="http://www.flickr.com/photos/44220930@N02/5553350874/" title="Flickr 上 wst2081 的 Windows XP Professional-2011-03-23-22-23-47">

http://farm6.static.flickr.com/5148/5552766967_e7dc34a904_z.jpg

http://farm6.static.flickr.com/5029/5552767059_8d7806cb21.jpg

http://farm6.static.flickr.com/5310/5552767137_227e7be7e5_z.jpg

http://farm6.static.flickr.com/5140/5552767213_4082aef817_z.jpg

http://farm6.static.flickr.com/5020/5552767265_e1d0a8b071_z.jpg

http://farm6.static.flickr.com/5143/5553351314_55ebdf2bf2_z.jpg

http://farm6.static.flickr.com/5269/5553351356_9ea926fd46_z.jpg

http://farm6.static.flickr.com/5171/5552767421_ee34066abf_z.jpg

http://farm6.static.flickr.com/5023/5552767479_402d6260f4_z.jpg

http://farm6.static.flickr.com/5134/5553351532_c55ff3fa9b_z.jpg

http://farm6.static.flickr.com/5029/5553351588_7a83a355e1_z.jpg

http://farm6.static.flickr.com/5296/5553351626_d19ff9bd18_z.jpg

http://farm6.static.flickr.com/5141/5553351672_77276538cb_z.jpg

http://farm6.static.flickr.com/5258/5552767737_e4d4684166_z.jpg

http://farm6.static.flickr.com/5304/5552767785_1f2eb1a4e3_z.jpg

http://farm6.static.flickr.com/5254/5552767839_c05feec17b_z.jpg

http://farm6.static.flickr.com/5254/5553351866_b614eb0547_z.jpg

http://farm6.static.flickr.com/5182/5553351922_361f22be22_z.jpg

http://farm6.static.flickr.com/5254/5553351968_672d578c1b_z.jpg

http://farm6.static.flickr.com/5255/5553352014_b081a7f023_z.jpg

http://farm6.static.flickr.com/5149/5552768069_41941c78c5_z.jpg

http://farm6.static.flickr.com/5305/5552768193_f077557a3d_z.jpg

http://farm6.static.flickr.com/5070/5553352290_11594f9311_z.jpg

http://farm6.static.flickr.com/5190/5552768307_39fdc8bfe0_z.jpg

http://farm6.static.flickr.com/5226/5552768371_78be2471d4_z.jpg

http://farm6.static.flickr.com/5298/5552768433_4255a6b0e8_z.jpg

http://farm6.static.flickr.com/5066/5553352538_69a69a781c_z.jpg

http://farm6.static.flickr.com/5132/5552768553_b3c30167fe_z.jpg

http://farm6.static.flickr.com/5062/5553352660_247e0f304f_z.jpg

http://farm6.static.flickr.com/5147/5552768703_2582974b7f_z.jpg

http://farm6.static.flickr.com/5186/5552768759_a0ac0bf7a6_z.jpg

http://farm6.static.flickr.com/5139/5553352862_e8dc5afef0_z.jpg

http://farm6.static.flickr.com/5190/5552768871_3124222372_z.jpg

http://farm6.static.flickr.com/5297/5553352972_4259e27637_z.jpg

http://farm6.static.flickr.com/5306/5552769015_d08a3e2997_z.jpg

http://farm6.static.flickr.com/5017/5552769045_d9509ffa1f_z.jpg

http://farm6.static.flickr.com/5295/5553353124_f27abde524_z.jpg

http://farm6.static.flickr.com/5057/5553353270_bda0e8c778_z.jpg

http://farm6.static.flickr.com/5020/5552769301_4969484d06_z.jpg

http://farm6.static.flickr.com/5268/5552769359_d0bdb6c589_z.jpg

http://farm6.static.flickr.com/5301/5553353644_3cfc82ddcc_z.jpg

http://farm6.static.flickr.com/5068/5553353696_4fd369f1de_z.jpg

http://farm6.static.flickr.com/5308/5552769703_9b4973c6cb_z.jpg


以上可以得知 大綱為
1. 在SWITCH 與 pfsense 所連接的 Port 必須設定成Trunk模式~
(在此 我會建議在pfsense機器上多安裝一個專屬於控制網段的網卡~ 這樣比較好管控!)

2. 設定 pfsense
2.1 指定VLAN運作於哪個實體介面(網卡)上
2.2 建立VLAN介面在pfsense上
2.3 設定VLAN介面相關的組態 (例如: L3 IP 與 相關的設定組態等)
2.4 設定各個VLAN之間的防火牆 (首先建議先開放全部,之後依需求再給予重新設定)
2.5 確認VLAN之間的Routing是否有啟動 若無~ 則進行除錯~ (以此文為案例~ 可發現fxp0 Trunk的介面在於pfsense當中尚未啟動)

這個方法是類似於 Cisco 的 Router on a Stick ...

Cisco 官方文件
http://www.cisco.com/en/US/tech/ ... 86a00800949fd.shtml

這樣的作法也算一種 VLAN Routing 的作法就是了~~~
發表於 2011-7-7 21:00:31 | 顯示全部樓層
我暈了n_144|
發表於 2011-7-20 10:18:10 | 顯示全部樓層
能寫出這篇文表示在網路管理已經是老鳥了,如果不是網管人員讀來是吃力點,w大應該有多張網路證照的工程師吧。
您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

關閉

站長小叮嚀上一條 /1 下一條

禁閉室|手機版|連繫我們|痞酷網電子技術論壇

GMT+8, 2024-3-29 12:41 PM , Processed in 0.067980 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4 Licensed

© 2001-2023 Discuz! Team.