vlan+bridge

[_kirill_]

Здравствуйте.
На днях настроил на железке(DLINK DES-1228) виланы, на фри их поднял+сделал ДМЗ для серверов бриджом. Проблема в том, если работает бридж то система переодически отказывается резолвить IP адреса с вилана сети.
Например если дать на гейт пинг, то пинг не идет, а если на сервер который в ДМЗ, пинг начинает ходить и при этом на гейт также не хочет, но периодически всё работает нормально.
ни кто не сталкивался с такой проблемой?

Код: Выделить всё

# ifconfig vlan3
vlan3: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:e0:e4:02:17:ac
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 5 parent interface: dc0
vlan4: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:e0:e4:02:17:ac
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 6 parent interface: dc0
# ifconfig bridge0
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:e0:e4:02:17:ac
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: vlan3 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
        member: vlan4 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>

Код: Выделить всё

# cat /etc/rc.local
/sbin/ifconfig vlan0 create
/sbin/ifconfig vlan1 create
/sbin/ifconfig vlan2 create
/sbin/ifconfig vlan3 create
/sbin/ifconfig vlan4 create
/sbin/ifconfig bridge0 create
# cat /etc/rc.conf | grep vlan
cloned_interface="vlan0 vlan1 vlan2 vlan3 vlan4"
ifconfig_vlan0="inet хх.хх.хх.хх netmask 255.255.255.128 vlan 2 vlandev dc0 up"
ifconfig_vlan1="inet 192.168.10.1 netmask 255.255.255.0 vlan 10 vlandev dc0 up"
ifconfig_vlan2="inet 192.168.6.1 netmask 255.255.255.0 vlan 4 vlandev dc0 up"
ifconfig_vlan3="inet 192.168.1.1 netmask 255.255.255.0 vlan 5 vlandev dc0 up"
ifconfig_vlan4="vlan 6 vlandev dc0 up"
ifconfig_bridge0="addm vlan4 addm vlan3 up"

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

конфиг длинка давайте, у меня на DES-3010G что-то похожее было

[_kirill_]

конфига нет , всё делается через вэб морду. этот свитч только вэб морду поддерживает.
через вэб морду сделал примерно так:

Код: Выделить всё

1 порт нетэгированный 28 тегированный. vlanid 2
2 порт нетэгированный 28 тегированный. vlanid 10
3 порт нетэгированный 28 тегированный. vlanid 4
4 порт нетэгированный 28 тегированный. vlanid 5
11-16 порты нетэгированные 28 теггированный. vlanid 6.

ещё интересно, возможно ли на этом свитче lagg завести?

[zingel]

Чего-то я 4 влана в конфиге длинка не вижу...

P.s. ух ты какой! lacp ему подавай на таком дерьмище

[hint] если у Длинка нет CLI - то он вообще мало чего понимает

[_kirill_]

Чего-то я 4 влана в конфиге длинка не вижу...

P.s. ух ты какой! lacp ему подавай на таком дерьмище

[hint] если у Длинка нет CLI - то он вообще мало чего понимает

немного ошибся . исправил.

[_kirill_]

ещё tcpdump`ом выеснилось следующее, только не понятно :

Код: Выделить всё

14:28:28.735638 arp who-has 192.168.1.10 tell MGW
14:28:28.735914 arp reply 192.168.1.10 is-at 00:09:6b:19:4e:c2 (oui Unknown)
14:28:30.453621 arp who-has 192.168.1.10 tell MGW
14:28:30.453905 arp reply 192.168.1.10 is-at 00:09:6b:19:4e:c2 (oui Unknown)
14:28:31.495281 arp who-has 192.168.1.10 tell MGW
14:28:31.495564 arp reply 192.168.1.10 is-at 00:09:6b:19:4e:c2 (oui Unknown)
14:28:32.507194 arp who-has 192.168.1.10 tell MGW
14:28:32.507441 arp reply 192.168.1.10 is-at 00:09:6b:19:4e:c2 (oui Unknown)

и так много...

[zingel]

это - скорее всего маздайный компутер в сеть срёт арп-бродкастами, в той-же подсети. Чей адрес 192.168.1.10? И почему у 4 влана нет IP?

[_kirill_]

это - скорее всего маздайный компутер в сеть срёт арп-бродкастами, в той-же подсети. Чей адрес 192.168.1.10? И почему у 4 влана нет IP?

ага . мастдайный комп . хм.. я просто ещё в этом бум бум . я думал этому вилану не нужен айпи, т.к. он сбриджован с vlan3, а у vlan3 айпи 192.168.1.1 и в этот вилан включены все компьютеры сети, а в vlan4 сервера . какой айпи поставить?

[zingel]

Запутал, шайтан, нарисуй топологию, чего хочешь получить в итоге. И ip длинка.

[_kirill_]

Запутал, шайтан, нарисуй топологию, чего хочешь получить в итоге. И ip длинка.

мне легче объяснить в данный момент, а то у мну под рукой нет рисовальных средств.
Есть сеть 192.168.1.0/24 - привязана на свитче ID вилана 5, в системе ифейс называется vlan3, и дан айпи 192.168.1.1. В эту сеть входят рабочие станции юзеров.
Для серверов я создал новый вилан с ID 6, в системе ифейс называется vlan4, на ифейс айпи не давал. Потом средствами фри я создал bridge0, в которую включены vlan3 и vlan4.
Проблема:
когда я начинаю пинговать сервер который находится в vlan4 с машины которая находится в vlan3, пинги нормально идут, связь есть, а вот на сам гейт(192.168.1.1) пингов нет, и вообще связи нет(сам сервер при команде arp 192.168.1.10(рабочая машина) отказывается узнавать арп этой машины), но периодически связь появляется.
Если я просто, напросто грохаю bridge0, то связь на vlan3 появляется, но сервера в данном случае не доступны.
Вообще хочется засунуть сервера в отдельный вилан+при этом не менять айпишники, как я понял, для этого нужен bridge.
Есть мысль, может быть на сам бридж поставить айпи 192.168.1.1?
айпи длинка 192.168.0.1.

[zingel]

Если я просто, напросто грохаю bridge0, то связь на vlan3 появляется, но сервера в данном случае не доступны.

Сам ответил на свой вопрос, или делать как-то иначе или проверять настройки.

P.s. Лучший вариант в этой ситуации - купить роутер и поставить его выше коммутутора, а вот уже на нём повесить вланы (на коммутаторе) с разными статичными маршрутами - я бы так сделал.

[_kirill_]

спасибо

[_kirill_]

а ещё вопросик . на счет lagg`а. На сколько мне понятно, у lagg есть несколько режимов, из них только lacp нуждается в поддержки этого режима у обоих сторон(у сервера и железки), а остальные режимы? они будут работать на обычных свитчах? или я не прав? вообще стоит попробовать настроить на моём гавносвитче или это гиблое дело?
ЗЫ: с прошлой проблемой справился , поставил ип на сам бридж, а с виланов ипы убрал.

[zingel]

нужно посмотреть, оно у тебя умеет или нет load balance (link_aggregation), в описании, вообще, судя по-всему должен. Про качество стекируемости (sim) ничего не могу сказать, нужно смотреть на его морду.

[Inzevision]

Проблема с невыдаванием мака по запросу существует, блин. Ситуация практически таже, есть несколько клиентов, они в разных вланах. НА фре настроены виртуальные интерфейсы. Все они в бридже. Переодичесики связь отваливатся и помогает только arping с шлюза на нерабочий комп. Походу какие-то чудеса с arp.

[zingel]

нужно смотреть настройки mac again time

[_kirill_]

а у мну не работало изза кривого свитча. в режиме lacp свитч намертво зависал, помогала только перезагрузка свитча, в режиме loadbalance всё работает, тьфу, тьфу.

[zingel]

там просто с зеркалированием портов проблемы постоянные, вот оно и висло, прошивку бы обновить...

[Inzevision]

что за "mac again time" ? у меня по tcpdump видно, что отвалившийся комп спрашивает у сервака "Слушай, а какой MAC у такого-то IP". Обыно сервак отвечает "Такой-то" а тут тишина в эфире. Гдето-то в инете наталкивался на фразу, что bridge как таковой вообще не работает с arp-таблицей.

[zingel]

я тебе нагнал, вот верная команда:

Код: Выделить всё

DES-3010G:4#config arp_aging time ?
Command: config arp_aging time

Next possible completions:
<value 0-65535>

поставь 30 или 40

И дай вывод

Код: Выделить всё

sh mac_notification  ports

Код: Выделить всё

show arpentry ipaddress <нужный тебе IP>

[Inzevision]

1. У меня на цисках стоит CAT OS
2. Проблема не в циске - она всё класно делает, а во фрее.
тестил на такой топологии

Код: Выделить всё

cisco 2980G <--> мыльница <--> шлюз (FreeBSD 7)
                          <--> мой ноут

тоесть я подключёт напрямую к мыльнице, которая есть промежуточная фигня между шлюзом и циской.

и если отваливается, то отваливается почти у всех, и у меня тоже тоесть я так предпологая, чтио траблы с мостом. короче решил на это забить и делать по другому, но, блин, интересно -- чего-же оно так

[zingel]

Код: Выделить всё

1. У меня на цисках стоит CAT OS

Был же ДЛинк?

Код: Выделить всё

но, блин, интересно

дай вывод:

Код: Выделить всё

sysctl -a | grep ether | grep arp

[Inzevision]

я читал в журнале Сисадмин.
походу прописывается в фаерволе правило что можно ходить ARP информации на мосту, а в настройках sysctrl -- что мостом может управлять ipfw.
по поводу правила --- что-то такое
pass all from any to any leyer2 ARP или как-то так...

[zingel]

Код: Выделить всё

man ipfw | col -b | grep pass