VLAN am Router

Problem

Verbindet man viele IP-Netze in Form von konventionellen Ethernet-Netzen miteinander, so benötigt man eine entsprechende Zahl an Netzwerkschnittstellen am Router. Jenseits von vier Netzen wird das sehr unübersichtlich, teuer und fehleranfällig und bleibt dabei unflexibel.

Idee

Hier wird nun eine bessere Lösung beschrieben: Das Konzept von VLANs wird in der Regel für Switche gelehrt. Aber wie ein Switch einen Trunk-Port haben kann, auf dem mehrere VLANs getaggt übertragen werden, kann dies auch auch ein Router. Im Extremfall reicht einem Router eine physikalische Netzwerkschnittstelle um in Verbindung mit einem geeigneten Switch via VLANs eine große Anzahl von Netzen zu verbinden.

Realisierung Linuxrouter

Beispielkonfiguration Der Linuxrouter ist mit eth1 mit einem Trunk-Port des Switches verbunden. Die darauf gelegten VLANs sind 20 und 30, VLAN 1 ist untagged verbunden. Die IP-Netze sind 192.168.<VLAN-Nr>.0/24. eth0 ist als WAN-Port mit DHCP zu konfigurieren: /etc/network/interfaces

  auto eth0
  iface eth0 inet dhcp
  
  auto eth1
  iface eth1 inet static
          address 192.168.1.1
          netmask 255.255.255.0
  
  auto eth1.20
  iface eth1.20 inet static
          address 192.168.20.1
          netmask 255.255.255.0
          vlan-raw-device eth1
  
  auto eth1.30
  iface eth1.30 inet static
          address 192.168.30.1
          netmask 255.255.255.0
          vlan-raw-device eth1

Nun kann man diese Interfaces z.B. in Shorewall zuweisen:

/etc/shorewall/interfaces

  wan eth0      detect dhcp
  man eth1      detect dhcp
  loc eth1.20   detect dhcp
  dmz eth1.30   detect dhcp

Dabei soll man für Management stehen (Switche werden typischerweise via VLAN1 untagged angesprochen), loc für das normale LAN und dmz für eben diese…

Realisierung OPNsense

Natürlich kann man auch mit OPNsense diese Funktionalität nutzen. Dabei werden die VLAN-Anschlüsse wie folgt angelegt:

Interface→Other→VLAN→Add

Dann für ein VLAN mit der Nummer 10:

Parent interface em1
VLAN tag 10
Description Klassenzimmer

Interface→Assignments→New interface→+
Save oder gleich OPT1:

Interface→[OPT1]→Enable Interface
Nun in Description einen besseren Namen eingeben, statische IP-Adresse wählen und eingeben usw.
Dann Save und Apply changes klicken.