VLAN与VLAN光纤网卡相关概念

　　虚拟局域网（VLAN，802.1Q）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样。VLAN是一种比较新的技术，工作在OSI(Open System Interconnect，开放式系统互联)参考模型的第2层和第3层，一个VLAN就是一个广播域。VLAN通常在交换机或路由器上实现，在以太网帧中增加VLAN标签来给以太网帧分类，具有相同VLAN标签的以太网帧在同一个广播域中传送。802.1Q定义的32位标签位于分组包头的目的地址与源地址之后，包括3个优先位用于标识802.1q交换、1个识别位用于可选的令牌环网的外部、12个虚拟局域网ID位用于标识虚拟局域网的成员资格、16位用于修改“Ether Type"帧。VLAN内部成员间的通信可通过第3层的路由器来完成的，用户可以自由地在网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。在计算机网络中，一个网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组。VLAN具有以下优点：

• 网络设备的移动、添加和修改的管理开销减少。
• 可以控制广播活动。
• 可提高网络的安全性。

　　在共享网络中，一个物理的网段就是一个广播域；在交换网络中，广播域可以是由一组任意选定的MAC地址组成的虚拟网段，使得网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。

　　同一个VLAN中的用户间通信就和在一个局域网内一样，同一个VLAN中的广播只有VLAN中的 成员才能听到，而不会传输到其他的VLAN中去，从而控制不必要的广播风暴的产生。同时， 若没有路由，不同VLAN之间不能相互通信，从而提高了不同工作组之间的信息安全性。网络 管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。

　　VLAN-VPN 隧道技术通过在运营商接入端为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag 穿越公网；在公网中，报文只根据外层VLAN Tag（即公网VLAN Tag）进行传输，用户的私网VLAN Tag 则当作报文中的数据部分来进行传输。

Ubuntu上发起VPN连接

注：当在ubuntu 16（Host）装VirtualBox运行Window 10时，Window 10 系统可重用Host已经建立起来的VPN连接。如果要刷新路由表，可执行sudo ip route flush cache。当同时连接多个VPN时，先连接的VPN如果添加的路由与后连接VPN路由冲突，可以改变VPN联接顺序重试，或关闭冲突VPN。

 

一、openconnect发起连接：如AnyConnect(https://www.ed.ac.uk/information-services/computing/desktop-personal/vpn/vpn-cisco-client，https://software.cisco.com/download/home/286281283/type/282364313/release/)，服务端为OpenConnect VPN Server(ocserv)

1. sudo apt-get install network-manager-openconnect-gnome。

2. 创建vpn-script文件，并添加可执行权限：http://git.infradead.org/users/dwmw2/vpnc-scripts.git/blob_plain/HEAD:/vpnc-script。

3. sudo openconnect -u {username} --script={/path/to/vpn-script} --no-dtls {vpn.server}。

4. 在.profile追加下列行：

　　echo 'password' | sudo openconnect -b -u {username} --script={/path/to/vpn-script} --no-dtls {vpn.server} 2>&1 > /dev/null

　在/etc/sudoer中设置：

　　%sudo   ALL=(ALL:ALL) NOPASSWD:/usr/bin/docker,/usr/bin/gedit,/usr/sbin/openvpn,/usr/bin/svn,/usr/sbin/openconnect

　可让系统自动连接到vpn.server

 

二、openvpn发起连接：

1. sudo apt install -y openvpn，复制相关证书至/etc/openvpn目录下。

2. 创建password文件，用户名和密码分别占用一行：

[username]

[password]

3. 创建配置文件openvpn.conf，并写入相关配置内容如下：

# openvpn client linux configuration sample
client
dev tun
proto udp
remote  [ip] [port]
resolv-retry infinite
nobind
#user nobody
#group nogroup
persist-key
persist-tun
ca [xx.crt]
cert [xx.crt]
key [xx.key]
tls-auth [xx.takey] 1
auth-user-pass [password-file]
cipher AES-256-CBC
comp-lzo
mssfix 1400

4. sudo service openvpn start。

　　技术特点：(1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的 交换机 可以当作多个逻辑的交换机使用。    (2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。    (3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。
 

　　物理网卡：子网卡(虚拟网卡)、VLAN网卡之间的区别；指实体网络接口设备，如系统中的eth0、eth1等就属于这一类。

　　子网卡(虚拟网卡、逻辑网卡、物理网卡别名)：依赖于一块物理网卡而存在(不是实际存在的单体网络接口设备)，拥有独立的IP地址和配置文件，可以作为网络接口在系统中出现，如系统中eth0:1就是物理网卡eth0的一张子网卡；但当所依赖的物理网卡不启用时（Down状态），子网卡也不能工作。为应用配置单独的(虚拟)IP地址，以达到主机与应用的分离,在应用切换与迁移过程中可以做到动态切换，此时创建一张虚拟网卡便可轻松实现该目的。

　　VLAN光纤网卡：它也不是实际存在的网络接口设备，也可以作为网络接口在系统中出现，但没有自己的配置文件，如系统中的eth0.1是与物理网卡eth0关联的VLAN网卡。如果将一个物理网卡通过vconfig命令添加到多个VLAN当中去的话，就会有多个VLAN虚拟网卡出现，所产生的相关VLAN信息都保存在/proc/net/vlan/config这个临时文件中的，而没有独立的配置文件。

　　三层交换机的内网限制功能更加强大，路由器上划分VLAN更方便。如果不同网段之间的数据交换比较多，需要用三层交换机划分；否则的话，直接用路由器划分VLAN就可以满足。如下图

       有需要了解更多信息的可查询UNICACA官网；需要合作与咨询搭建方案请联系官网上的在线客服，嘉华众力自2000年成立以来一直在网络存储、传输这方面积累、沉淀；经过多年发展与全新的品牌定位，(UNICACA)嘉华众力品牌已成为国内外极具实力的数据通讯产品及方案提供商。
 

材料来自于：博客园