thảo luận Nhiều VLAN trên 1 server

plbThinh

plbThinh

Senior Member
Chào các bác,

Chả là em đang có sẵn 1 con Z210 chạy TrueNAS, nhưng thấy tài nguyên còn trống cũng kha khá nên tính làm thêm khoảng 5-6 cái VM/docker/container nữa. Hiện tại e tính host 1 cái web đơn giản, làm personal cloud, media server... Nhưng mà cả mớ cái này đều cần mở port ra internet.

Em có tìm hiểu thì thay vì mở port trực tiếp trên router nhà mạng, thì e đã mua 1 con router ZTE có OpenWRT rồi. Con này thì có 1 WAN + 4 LAN, e định setup VLAN cho từng cổng vật lý + dùng nginx để quản lý các port mở ra ngay trên chính con router ZTE này luôn. Nhưng em vẫn còn thắc mắc chút mấy câu như dưới đây:
1/ Có thể nối nhiều VLAN vào chung 1 server được không (tất nhiên là sẽ có NIC riêng)? Vd trong trường hợp của em thì sẽ cắm 1 port cho TrueNAS bằng NIC trên main, cắm 1 port khác cho web bằng NIC rời cắm khe PCIe...
2/ Nếu cắm như vậy thì nó có ảnh hưởng gì đến security không? Vd như có thằng nào đó nó xâm nhập được vào rồi thì từ VM này nó phá qua VM khác hay không?

Em cám ơn ạ.
 
Last edited:
bạn ko cần một cổng vật lý cho mỗi vlan đâu, trừ khi cần dung lượng, nhiều vlan trên một cổng vật lý thì từ chuyên môn gọi là trunking port, cái này thì đòi hỏi hai bên của sợi dây phải hỗ trợ cơ chế trunking, hình như là openwrt đc vì nó có hệ thống tag vlan(s) lên cổng vật lý, còn bên client thì linux chỉ cần set vlan tag lên interface name ví dụ bạn gọi cổng vật lý là em1 thì vlan1 (default hay native vlan) sẽ là em1 và khi bạn làm trunking port (tag nhiều vlans lên 1 cổng vật lý), ví dụ bên openwrt bạn tag vlan1 và vlan20 thì bên client ta sẽ có hai interfaces một chính và một phụ, chính sẽ có tên em1 và đây là cổng vật lý và cổng phụ gọi là vlan interface có tên em1.20

cái .20 sau tên interface là để nó ghi lên cái packet ở field vlan với số 20, ví dụ khi bạn setup rồi bạn có thể chạy tcpdump -i em1 -e option vlan bạn sẽ thấy một đống packets với vlan tag 1 và 20

cái tag nầy là dùng để route cái packets ở hai đầu cho layer 2, hệ thống sẽ đọc biết để điều hướng đi vô cổng nào

đấy là linux còn windows chắc cũng có cơ chế handle vlan interface nhưng tôi khinh thằng windows nên đ bao giờ tìm hiểu vì chắc cũng chỉ là click next next và nhấn nút power khi có sự cố
 
Last edited:
Windows cũng có tag VLAN cơ mà một interface chỉ được một VLAN thím nhé
1705543416814.png
 
Anhtuan1702 said:
Windows cũng có tag VLAN cơ mà một interface chỉ được một VLAN thím nhé
View attachment 2294860
Click to expand...
Trước tag nhiều VLAN đc nhưng windows bản mới nó bỏ rồi. Có cách khác là tạo interface ảo để tag VLAN.

Nếu NIC realtek thì có tool để tag từ realtek. Intel thì driver cũ có, driver mới không.

woshub.com

Configuring Multiple VLAN Interfaces on Windows | Windows OS Hub

In this article, we’ll show how to configure a tagged VLAN interface on Windows 10/11 and Windows Server 2019 (2022/2016/2012R2). The VLAN (Virtual LAN) specification is described in the IEEE…
woshub.com
 
gato_chuoidong said:
bạn ko cần một cổng vật lý cho mỗi vlan đâu, trừ khi cần dung lượng, nhiều vlan trên một cổng vật lý thì từ chuyên môn gọi là trunking port, cái này thì đòi hỏi hai bên của sợi dây phải hỗ trợ cơ chế trunking, hình như là openwrt đc vì nó có hệ thống tag vlan(s) lên cổng vật lý, còn bên client thì linux chỉ cần set vlan tag lên interface name ví dụ bạn gọi cổng vật lý là em1 thì vlan1 (default hay native vlan) sẽ là em1 và khi bạn làm trunking port (tag nhiều vlans lên 1 cổng vật lý), ví dụ bên openwrt bạn tag vlan1 và vlan20 thì bên client ta sẽ có hai interfaces một chính và một phụ, chính sẽ có tên em1 và đây là cổng vật lý và cổng phụ gọi là vlan interface có tên em1.20

cái .20 sau tên interface là để nó ghi lên cái packet ở field vlan với số 20, ví dụ khi bạn setup rồi bạn có thể chạy tcpdump -i em1 -e option vlan bạn sẽ thấy một đống packets với vlan tag 1 và 20

cái tag nầy là dùng để route cái packets ở hai đầu cho layer 2, hệ thống sẽ đọc biết để điều hướng đi vô cổng nào

đấy là linux còn windows chắc cũng có cơ chế handle vlan interface nhưng tôi khinh thằng windows nên đ bao giờ tìm hiểu vì chắc cũng chỉ là click next next và nhấn nút power khi có sự cố
Click to expand...

Nhưng còn vấn đề security thì thế nào ạ? Cùng 1 interface thế này nó xâm nhập được vào thì thế nào nhỉ
 
security? bạn có 4 sợi cho bốn vlans, hoặc là một sợi cho 4 vlans, về cơ bản nó ko khác nhau, chỉ khác về vật lý còn nói về tính bảo mật bạn có 4 vlans trên một server thì thằng server đó nó là bridge rồi nên cho dù có 4 sợi hay 1 sợi nó chả khác gì nhau, bạn muốn hoàn toàn bọc lại từng vlan (để bọn nó ko thấy lẫn nhau) trên server thì phải chạy FW hay vrf gì đó thôi

1 sợi khác với bốn sợi thì ở chỗ nếu bị người ta tap, thì nó chỉ cần tap một sợi là thấy hết dữ liêu cho bốn vlans (thay gì phải tap 4 sợi) nhưng tap đc là có access vật lý rồi đó lại là chuyện khác đúng ko?
 
nirvallica84 said:
Trước tag nhiều VLAN đc nhưng windows bản mới nó bỏ rồi. Có cách khác là tạo interface ảo để tag VLAN.

Nếu NIC realtek thì có tool để tag từ realtek. Intel thì driver cũ có, driver mới không.

woshub.com

Configuring Multiple VLAN Interfaces on Windows | Windows OS Hub

In this article, we’ll show how to configure a tagged VLAN interface on Windows 10/11 and Windows Server 2019 (2022/2016/2012R2). The VLAN (Virtual LAN) specification is described in the IEEE…
woshub.com
Click to expand...
Tag nhiều vlan sao được thím, tag vầy thì lúc encap nó biết dùng vlan id nào.
gato_chuoidong said:
cái tag nầy là nó dùng để làm native vlan thôi, kiểu vlan 20 nhưng là native thì nó sẽ tag untag cho phù hợp
Click to expand...
Server nó không aware về native vlan đâu thím, mặc định vlanid=0 thì nó không tag gì hết, nếu thím để vlanid#0 thì windows nó sẽ tag luôn đấy, và nếu cổng switch không phải trunk thì nó drop luôn cái frame đấy.
 
plbThinh said:
Chào các bác,

Chả là em đang có sẵn 1 con Z210 chạy TrueNAS, nhưng thấy tài nguyên còn trống cũng kha khá nên tính làm thêm khoảng 5-6 cái VM/docker/container nữa. Hiện tại e tính host 1 cái web đơn giản, làm personal cloud, media server... Nhưng mà cả mớ cái này đều cần mở port ra internet.

Em có tìm hiểu thì thay vì mở port trực tiếp trên router nhà mạng, thì e đã mua 1 con router ZTE có OpenWRT rồi. Con này thì có 1 WAN + 4 LAN, e định setup VLAN cho từng cổng vật lý + dùng nginx để quản lý các port mở ra ngay trên chính con router ZTE này luôn. Nhưng em vẫn còn thắc mắc chút mấy câu như dưới đây:
1/ Có thể nối nhiều VLAN vào chung 1 server được không (tất nhiên là sẽ có NIC riêng)? Vd trong trường hợp của em thì sẽ cắm 1 port cho TrueNAS bằng NIC trên main, cắm 1 port khác cho web bằng NIC rời cắm khe PCIe...
2/ Nếu cắm như vậy thì nó có ảnh hưởng gì đến security không? Vd như có thằng nào đó nó xâm nhập được vào rồi thì từ VM này nó phá qua VM khác hay không?

Em cám ơn ạ.
Click to expand...
1. Có. nếu switch bạn hỗ trợ VLAN thì chạy trên 1 Interface đc luôn, trunk vào.
2. Từ VLAN này trèo sang VLAN khác thì do mình khai luật trên Firewall thôi. ví dụ bạn cho phép phòng khách kết nối vào wc nhưng ko có chiều ngược lại vẫn đc bthg
 
Tất nhiên là được rồi.
Có thể truyền nhiều VLAN qua 1 dây (Tag). Ở đầu kia giải mã ra (untag) hoặc có thể tiếp tục truyền sang 1 thiết bị khác (Tag tiếp)
Cổng dùng để truyền gọi là trunking.
Mỗi VLAN có thể cấu hình 1 DHCP Server riêng tùy thích, sau đó dùng tường lửa để block hoặc cho phép theo rule...
Yêu cầu là cả đầu gửi và đầu nhận đều phải giải mã dc VLAN (managed switch)
Miễn là data không quá lớn, tránh quá tải băng thông thì 2 3 VLAN trên 1 sợi đều ổn cả.
 

Similar threads

S
thắc mắc Vấn đề kết nối ip và port vào cloudflare
Replies
7
Views
148
quyenvq1
quyenvq1
fptks112
thắc mắc Gửi email từ Synology Mail Server
Replies
6
Views
213
laodaj
laodaj
xxjeanxx
thắc mắc Những câu hỏi ngu về mạng
Replies
1
Views
161
max20091
max20091
tuandao2061996
thắc mắc Hỏi cách để triển khai 1 proxy server
Replies
3
Views
261
chienbinhso13
chienbinhso13
B
thắc mắc Tư vấn ảo hoá proxmox với vm chạy openwrt
Replies
3
Views
460
wuhoatu
wuhoatu

Share this page

Back
Top