Vlan

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
penni
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-03-07 21:57:35

Vlan

Непрочитанное сообщение penni » 2009-03-07 22:14:30

добрый день....что-то не нашлась моя старая учётка..и пришлось региться по новой. хм...

вопросец появился по поводу Вланов.

фря 7.1
на компе 3 сетевухи
1 - инет
2 - сегмент клиентов (сеть нарублена масками на вланы) и на этот интерфейс записано много шлюзов этих вланов.
3 - сегмент самой компании

собственно вопрос такой, как запретить ходить пользователям из одного влана на другой ?...а то они через шлюз могут лезть указав нужный IP из другого влана.


часть rc.conf

Код: Выделить всё

defaultrouter="xx.xxx.xx.xxx"
ifconfig_xl0="inet xx.xxx.xx.xxx  netmask 255.255.255.240"
ifconfig_xl1="inet 192.168.2.1  netmask 255.255.255.0"
ifconfig_xl2="inet 192.168.10.1  netmask 255.255.255.240"
ifconfig_xl2_alias0="inet 192.168.10.17 netmask 255.255.255.240"
ifconfig_xl2_alias1="inet 192.168.10.33  netmask 255.255.255.240"
и так далее...
i

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Vlan

Непрочитанное сообщение paradox » 2009-03-07 22:28:47

а что в качестве свичей стоит ?
кто вланы для пользователей разгребает?
скорее всего там нужно смотеть что можно сделать

penni
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-03-07 21:57:35

Re: Vlan

Непрочитанное сообщение penni » 2009-03-07 22:49:44

paradox писал(а):а что в качестве свичей стоит ?
кто вланы для пользователей разгребает?
скорее всего там нужно смотеть что можно сделать
свичи обычные неуправляемые...гигабитные длинки. :roll:

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Vlan

Непрочитанное сообщение paradox » 2009-03-07 22:58:06

что то мало вериться что свитчи умеющие vlan - не упраляемые.....

Аватара пользователя
Burn_
мл. сержант
Сообщения: 84
Зарегистрирован: 2007-12-03 9:19:54
Откуда: Алт.край, г.Бийск
Контактная информация:

Re: Vlan

Непрочитанное сообщение Burn_ » 2009-03-07 23:00:43

penni писал(а):собственно вопрос такой, как запретить ходить пользователям из одного влана на другой ?...а то они через шлюз могут лезть указав нужный IP из другого влана.
А где собственно у Тебя VLAN'ы ? :)
Открой на FireWall'е доступ на необходимые адреса, если такие есть, а на все остальные локальные сети закрой.
To know everything is to know nothing! / Я знаю только одно, что я ничего не знаю! © Сократ

penni
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-03-07 21:57:35

Re: Vlan

Непрочитанное сообщение penni » 2009-03-07 23:02:42

я уже боюсь дальнейших вопросов..

а разве нельзя сделать так, чтобы каждый влан приходя на сетевуху шёл на инетовский интерфейс и обратно..и не гулял на другие вланы при желании?

может я не явно указал как и что..

есть 2 лиента в одной физической сети...
я разрубил маской для них 2 влана

тоесть шлюз в этой сети 192.168.10.17 netmask 255.255.255.240
ip клиентов 18,19,20 и далее

и второй шлюз (сетевуха физически на все шлюзы одна) 192.168.10.33 netmask 255.255.255.240
и ip клиентов 34,35,36....

так вот если из первой сети можно пинговать и лезть на компы второй сети...через комп с шлюзами...

если бы небыло шлюзов, я так понимаю, что они бы друг друга не видели, даже находясь физически в одной сети :st:


так что...выходит то что я нарубил маской не называется вланом? )) :pardon:

Аватара пользователя
Burn_
мл. сержант
Сообщения: 84
Зарегистрирован: 2007-12-03 9:19:54
Откуда: Алт.край, г.Бийск
Контактная информация:

Re: Vlan

Непрочитанное сообщение Burn_ » 2009-03-07 23:03:49

penni писал(а):свичи обычные неуправляемые...гигабитные длинки. :roll:
Не путаешь VLAN'ы и ALIAS'ы ?
To know everything is to know nothing! / Я знаю только одно, что я ничего не знаю! © Сократ

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Vlan

Непрочитанное сообщение terminus » 2009-03-07 23:05:39

Прикольные у вас VLAN'ы...

По сути, при такой устройстве сети

Код: Выделить всё

ifconfig_xl2="inet 192.168.10.1  netmask 255.255.255.240"255.255.255.
ifconfig_xl2_alias0="inet 192.168.10.17 netmask 255.255.255.240"
ifconfig_xl2_alias1="inet 192.168.10.33  netmask 255.255.255.240"
Клиентам для того чтобы "ходить в чужой влан" надо только поменять у себя в настройках TCP/IP маску на 255.255.255.0 или взять себе IP из "соседнего влана".

То что вы называете вланами кажется правильно называется мультисети (несколько независимых IP субнетов в единой области широковещания). Фигня это а не вланы.
Если есть желание ограничить чтобы через рутер из сети 192.168.10.17 не могли попасть в сеть 192.168.10.33 то на фаерволе можно прописать что-то типа

Код: Выделить всё

ipfw add deny all from 192.168.10.16/28 to 192.168.10.33/28
ipfw add deny all from 192.168.10.33/28 to 192.168.10.16/28
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Vlan

Непрочитанное сообщение paradox » 2009-03-07 23:07:05

тфьу!
я думал у вас реально vlan
а там токо маски :st:

penni
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-03-07 21:57:35

Re: Vlan

Непрочитанное сообщение penni » 2009-03-07 23:14:26

дело понятное что надо циски закупать...а пока я хоть так)

всем спасибо за участие :pardon:

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Vlan

Непрочитанное сообщение paradox » 2009-03-07 23:16:22

а причем тут циски
vlan умеют и простые железки
смотреть надо
что у вас есть из того что можно купить

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Vlan

Непрочитанное сообщение terminus » 2009-03-07 23:16:44

VLANы есть не только в цысках - в любом полу-умном(полу-безумном) китайском d-link они уже есть. Вы мануал почитайте - может и в вашем тоже есть?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Vlan

Непрочитанное сообщение zingel » 2009-03-08 21:04:16

сделайте тегированные вланы и не взрывайте мозг.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Алекс
рядовой
Сообщения: 25
Зарегистрирован: 2008-07-30 11:25:16
Откуда: Питер
Контактная информация:

Re: Vlan

Непрочитанное сообщение Алекс » 2009-03-09 14:49:59

zingel писал(а):сделайте тегированные вланы и не взрывайте мозг.
что значит тегированные ?

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Vlan

Непрочитанное сообщение terminus » 2009-03-09 15:06:18

Алекс писал(а):что значит тегированные ?
zingel имеет в виду правильные вланы 802.1q
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Vlan

Непрочитанное сообщение zingel » 2009-03-09 15:28:30

Z301171463546 - можно пожертвовать мне денег

bekhterev
рядовой
Сообщения: 24
Зарегистрирован: 2009-03-09 19:23:49

Re: Vlan

Непрочитанное сообщение bekhterev » 2009-03-09 21:57:00

Простите, а как вы сетью рулите, если VLAN и VLSM путаете? нельзя так юзеров делить! а vlan та же фря делать умеет: если просто, то ifconfig eth0.111 create и создать подинтерфейс в 111 влане? как циска. тока 802.1q должны и свитчи понимать. транк порт - в магистраль - акцесс к юзеру. А через шлюз и должно все ходить, если нет людям давать, а иначе как они общацца будут. Тока с виланом траф через билл подет.
Что делаю, то и пишу
http://behterev.su/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Vlan

Непрочитанное сообщение hizel » 2009-03-09 23:16:49

eth0.111 - это линупс :pardon:

Код: Выделить всё

vconfig add eth0 111
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

bekhterev
рядовой
Сообщения: 24
Зарегистрирован: 2009-03-09 19:23:49

Re: Vlan

Непрочитанное сообщение bekhterev » 2009-03-10 12:08:41

eth0 - для прмера, хоть rl0.X в 7 и 6 ветках работает именно как я писал выше. Все через ifconfig, так что не надо.
Что делаю, то и пишу
http://behterev.su/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Vlan

Непрочитанное сообщение hizel » 2009-03-10 12:22:14

:shock:

Код: Выделить всё

>sudo ifconfig em1.111
em1.111: flags=8842<BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether 00:1b:fc:09:99:0e
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 111 parent interface: em1
а я всё с vlanX мучаюсь :)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.