VLAN隔离加固核心在于端到端标签感知与策略执行,而非标签剥离;需通过子接口配置、桥接过滤、交换机协同及多层策略禁用跨VLAN通信。
Linux系统中VLAN标签剥离(tag stripping)本身不是标准网络行为,而是一种特定场景下的数据包处理操作;真正需要关注的是如何通过VLAN隔离实现网络加固——即确保不同VLAN流量严格分离、避免标签混淆或越界转发。
理解VLAN标签与Linux内核处理逻辑
802.1Q VLAN标签由4字节组成,插入在以太网帧源MAC与协议类型之间。Linux内核默认不主动剥离标签,而是将带标签的帧交由对应vlan子接口(如 eth0.100)处理。若需“剥离”,本质是让帧以无标签形式进入上层协议栈或转发到不支持VLAN的设备(如某些容器网络或桥接后端)。关键点在于:剥离动作必须明确发生在哪个环节(接收?转发?桥接?),否则易导致策略失效或环路。
基于vconfig或ip命令配置VLAN子接口并启用隔离
使用标准工具创建VLAN子接口,并关闭跨VLAN通信能力:
- 加载8021q模块:modprobe 8021q
- 创建VLAN 100子接口:ip link add link eth0 name eth0.100 type vlan id 100
- 启用接口并配置IP:ip addr add 192.168.100.10/24 dev eth0.100 && ip link set eth0.100 up
- 禁用主接口转发:echo 0 > /proc/sys/net/ipv4/conf/eth0/forwarding
- 确保各VLAN子接口间路由不可达(不配互访路由,且iptables默认DROP所有跨子接口INPUT/FORWARD)
使用bridge + ebtables/iptables强化二层隔离
当VLAN用于虚拟机或容器多租户场景时,仅靠子接口不够。需结合Linux网桥和过滤规则防止MAC欺骗或VLAN跳跃(VLAN hopping):
- 将VLAN子接口加入独立网桥(如 br-vlan100),而非共用同一桥
- 用ebtables限制入向帧的VLAN ID:ebtables -A INPUT -i eth0 --vlan-id 100 -j ACCEPT; ebtables -A INPUT -i eth0 -j DROP
- 用iptables对桥接流量做三层控制(需启用br_netfilter模块):sysctl -w net.bridge.bridge-nf-call-iptables=1
- 为每个VLAN桥设置专用iptables链,禁止源IP不属于该子网的包进入
避免常见加固失效点
很多隔离失败源于配置疏漏而非技术不可行:
- 交换机端口未设为Trunk或Access模式,导致标签未被正确识别或意外透传
- 未禁用内核的反向路径过滤(rp_filter),可能造成VLAN间回程包被丢弃,误判为不通
- systemd-networkd或NetworkManager等管理工具覆盖手动配置,需检查其配置文件是否禁用VLAN或自动添加路由
- 容器运行时(如dockerd)默认桥接网络未绑定到VLAN子接口,导致容器逃逸到主网络平面
真正的VLAN隔离加固,核心不在“剥离标签”,而在构建端到端的标签感知路径与严格的策略执行边界。从物理交换机、主机网卡驱动、内核协议栈到用户态防火墙,每一层都需协同确认VLAN上下文不丢失、不混淆、不绕过。
