Архитекттура VLAN соединений. Хитро...

[Inzevision]

ну может не большой гуру. Но гирлянда цисок ничем не отличается от одной. Если нужно пропускать тегированый трафик -- делай транковые порты и радуйся жизни. Сейчас очень хочу решить оглашенную выше задачу, а там уже будем думать

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

Вы не большой гуру, по-этому делайте как я Вам советую, потому, что если у Вас в герлянде упадёт рутовая кошка, все остальные накроются вместе с ней. Кольцевая топология исключает такой вариант, тем более что у Вас есть FDDI, а это ещё один фактор для того, чтобы взять всё в кольцо.

[Inzevision]

Вы не большой гуру, по-этому делайте как я Вам советую, потому, что если у Вас в герлянде упадёт рутовая кошка, все остальные накроются вместе с ней.

Я только "ЗА" за кольцо, но сейчас есть другая задача. Даже без гирлянды, оно не работает. А очень хочется, что бы работало.

[zingel]

вобщем фильтруйте по-макам в разные вланые + ACL для фильтрации, как настроете, скажите - будем разбираться с STP

[Inzevision]

Извините, но что-то я не понял ничего. Это на чем фильтровать, на циске или на Фре? Зачем фильтровать если по умолчанию члены отдельных VLAN не видят друг-друга. Зачем маршрутизация и portsecurity?
Ведь Циска на Фрю передаёт тегированый трафик, это фрю нужно колупать.
Нужно, что бы физческий интерефейс на Фрее принимал тегированый трафик и далее обрабатывал его согласно правилам фаервола. Но насколько я понял проблему, то VLAN100 это такой-же интерфейс как и fxp0 и с ним можно делать почти все извращения как и с физическим интерефейсом. Но так как на шлюзе стоит gateway_enable=YES то сервак хочет маршрутизировать пакеты между интерфейсами. А если на интерфейсах пакеты из одной подсети, то сервак откажется их маршрутизировать и они умрут (пакеты). Вроди это так работает. Попраьте, если неправ.

[zingel]

Извините, но что-то я не понял ничего. Это на чем фильтровать, на циске или на Фре? Зачем фильтровать если по умолчанию члены отдельных VLAN не видят друг-друга. Зачем маршрутизация и portsecurity?

по-макам на кошке филтьровать в разные вланы, если Вы не хотите использовать статическую маршрутизацию по ИП в разные вланы.

Проблема в том, что у Вас в одном и том-же влане есть как фря так и кошачие порты, которые рубятся по STP, это происходит потому, что сетевая карта под фряхой становится рутовым портом в отдельном влане, а это в свою очередь происходит, потому, что пробегает bpdu-пакет и делает эти сетевухи рутовыми портами.

Ещё раз повторюсь - настройте фильтрацию по макам и потом будем колдовать с STP или же используйте статичные маршруты на сети для каждого влана.

Почувствуйте себя властелином колец.

[Alex Keda]

может раздел по цискам замутить?
я знаю кого туда модератором всунуть ))

[hizel]

глупости, тут на форуме, пару человек, всего-то, сиськи в глаза видели

[Alex Keda]

ты не прав...
даже я, и то видел...
даже туннель конфигурил между двумя... всё правда проклял, но сделал...
правда непомню уже ничего....

[Inzevision]

Извините, но что-то я не понял ничего. Это на чем фильтровать, на циске или на Фре? Зачем фильтровать если по умолчанию члены отдельных VLAN не видят друг-друга. Зачем маршрутизация и portsecurity?

по-макам на кошке филтьровать в разные вланы, если Вы не хотите использовать статическую маршрутизацию по ИП в разные вланы.

Ещё раз повторюсь - настройте фильтрацию по макам и потом будем колдовать с STP или же используйте статичные маршруты на сети для каждого влана.

по поводу фильтрации по макам -- это ведь очень неудобно, сеть подразумевает некоторую динамичность и смену маков под клиентами.
по поводу статической маршрутизации -- это уже интереснее. Это будет выглядеть так: если ИП у клиента такой-то то отправлять его в такой-то VLAN ?
Но у меня не роутер а свич L2 -- боюсь он такого не умеет

[zingel]

нужно просто зароутить статически (10.10.0.0/8) в один влан, другую сетку (192.168.0.0/8) в другой

http://www.cisco.com/en/US/tech/tk365/t ... shtml#stat

p.s. не свич, а коммутатор.

[zingel]

может раздел по цискам замутить?
я знаю кого туда модератором всунуть

кого*?

[hizel]

тебя, кого еще то

[squid]

может все таки на голосование по поводу раздела
час от часу все таки вопросы возникают у людей, к которым и я отношусь
можно вылаживать примеры конфигов, которые иногда по частям искать в нете

[zingel]

я могу свои наработки в этой области выкладывать, начиная от темплейтов конфигов, заканчивая расшифровками ошибок....надо ещё Лису свои все книжки по кошкам залить на ФТП...

[Inzevision]

нужно просто зароутить статически (10.10.0.0/8) в один влан, другую сетку (192.168.0.0/8) в другой

Это всё здорово, но подсеть-то одна (192.168.0.0/24) и в ней некоторые компы нужно определять в VLAN100 без смены IP.

[hizel]

попробуйте посадить 192.168.0.0/24 на bridge0 на тестовом стенде естественно
должно работать, во всяком случае man if_bridge сигнализирует о том, что
разработчики вкурсе о vlan-ах

[Inzevision]

Итак, кажется свершилось.
Имеем на FreeBSD 7

Код: Выделить всё

# uname -a
FreeBSD  7.0-RELEASE FreeBSD 7.0-RELEASE #0: Mon Jul 21 15:37:48 EEST 2008     admin@:/usr/src/sys/i386/compile/GATE  i386

# cat /etc/rc.conf
gateway_enable="YES"
ifconfig_fxp0="inet 192.168.0.11/24"
firewall_enable="YES"

# ifconfig
fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:02:b3:5d:74:48
        inet 192.168.0.11 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vlan100: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:02:b3:5d:74:48
        inet 192.168.1.11 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 100 parent interface: fxp0
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 82:71:aa:ce:03:30
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: fxp0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
        member: vlan100 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>

# ipfw show
00301     32    1924 allow ip from any to me via vlan100
00301      0       0 allow ip from me to any via vlan100

На Cisco

Код: Выделить всё

Console> (enable) show version
WS-C2948 Software, Version NmpSW: 8.4(1)GLX

Console> (enable) show vlan
VLAN Name                             Status    IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
1    default                          active    4       2/2-9,2/11-50
100  VirusUser                        active    59      2/10

Console> (enable) show vtp domain
Version      : running VTP1 (VTP3 capable)
Domain Name  : test                             Password  : not configured
Notifications: disabled                         Updater ID: 192.168.0.6

Feature        Mode           Revision
-------------- -------------- -----------
VLAN           Client         2

Pruning             : enabled
VLANs prune eligible: 2-100,501-1000

Console> (enable) show spantree 100
VLAN 100
Spanning tree mode          RAPID-PVST+
Spanning tree type          ieee
Spanning tree enabled

Designated Root             00-01-43-aa-60-63
Designated Root Priority    32768
Designated Root Cost        0
Designated Root Port        1/0
Root Max Age   20 sec   Hello Time 2  sec   Forward Delay 15 sec

Bridge ID MAC ADDR          00-01-43-aa-60-63
Bridge ID Priority          32768
Bridge Max Age 20 sec   Hello Time 2  sec   Forward Delay 15 sec

Port                     State         Role Cost      Prio Type
------------------------ ------------- ---- --------- ---- --------------------
 2/1                     forwarding    DESG        19   32 P2P
 2/10                    forwarding    DESG        19   32 P2P, Edge

Console> (enable) show trunk
* - indicates vtp domain mismatch
# - indicates dot1q-all-tagged enabled on the port
Port      Mode         Encapsulation  Status        Native vlan
--------  -----------  -------------  ------------  -----------
 2/1      on           dot1q          trunking      1

Port      Vlans allowed on trunk
--------  ---------------------------------------------------------------------
 2/1      1-1005,1025-4094

Port      Vlans allowed and active in management domain
--------  ---------------------------------------------------------------------
 2/1      1,100

Port      Vlans in spanning tree forwarding state and not pruned
--------  ---------------------------------------------------------------------
 2/1      1,100

Ну вот вроди усё.
Комп в VLAN100 прекрасно обменивается с сервером инфрмацией и пользуется всеми его сервисами.
Если будут какие-то поправки, отпишусь. Пока на тестовом стенде всё работает стабильно.
PS Часть информации, не относящеся к теме, с вывода конфигов -- вырезал.

[zingel]

а нормально перекидывает? (Вирусных пользователей в другой влан)

[Inzevision]

Во всяком случае у меня пинги с подопытного компа (VLAN100) ни на что, кроме сервера не проходили. С другого VLANa на подопытный комп тоже пинги не проходили.
Если есть возможность собрать у себя стендовую модель и потестить -- буду признателен за опубликование результатов. Я так понял, что на бридж не обязатально вешать ИП. На влан вешать ИП нужно (хотя не уверен), но походу без разници какой.
В фаерволе нужно прописать разрешающие правила конектиться со стороны влана.

[zingel]

не обязатально вешать ИП. На влан вешать ИП нужно

второе утверждение - вернее