Страница 1 из 3

Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 14:09:20
Inzevision
есть сеть с Cisco catalist 2980G (4 штуки). Между ними настроены транковые порты и поднят VLAN100 и по умолчанию VLAN1
Есть сервер на FreeBSD 6.2 с карточками Intel 100/PRO S которые понимают 802.1q

Код: Выделить всё

fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=4b<RXCSUM,TXCSUM,VLAN_MTU,POLLING>
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
Есть пользователи которые находятся в сети 192.168.0.х
У некоторых пользователей заводятся вирусы на компах и я их определяю в VLAN100 не меняя их IP.

Код: Выделить всё

vlan100: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 00:02:b3:91:68:f1
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 100 parent interface: fxp0
Нужно что бы пользователи находящиеся в VLAN100 могли пользоваться теми же сервисами сервера, что и остальные пользователи.
По tcpdump -i vlan100 -n видно, что данные т пользователей приходят, но ответа им не отсылается.
Организовано это чаким образом:

Код: Выделить всё

fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=4b<RXCSUM,TXCSUM,VLAN_MTU,POLLING>
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:02:b3:91:68:f1
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=4b<RXCSUM,TXCSUM,VLAN_MTU,POLLING>
        inet 193.19.х.74 netmask 0xfffffffc broadcast 193.19.х.75
        ether 00:02:b3:d2:93:06
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

vlan100: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 00:02:b3:91:68:f1
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 100 parent interface: fxp0
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        ether 66:a6:18:b8:65:99
        priority 32768 hellotime 2 fwddelay 15 maxage 20
        member: vlan100 flags=3<LEARNING,DISCOVER>
        member: fxp0 flags=3<LEARNING,DISCOVER>     


Может есть другой способ организовать доступ двух VLAN к серверу и его сервисам оставляя пользователей в одной подсети?

ЗЫ
Пусть бдет 2 клиента (или 2000 это не принциписально). У одного ИП 192.168.0.10 а у другого 192.168.0.11
ИП сервера 192.168.0.1
Между клиентами и сервером стоит циска (или гирлянда цисок -- это не принципиально).
Задача: не меняя ИП у клиентов определить их в разные VLAN (чтобы друг-друга не видели), но что бы они имели полноценный доступ ко всем сервисам сервера.

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 14:14:54
zingel
нормально оформите, пожалуйста, сообщение своё

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 14:41:50
hizel
фаервол не режет?

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 14:45:27
Inzevision
zingel писал(а):нормально оформите, пожалуйста, сообщение своё
Объясните, пожалуйста, что вы понимаете под словом "нормально"? Если возможно, укажите на ошибки.

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 14:51:06
Inzevision
hizel писал(а):фаервол не режет?
Описаная схема у меня не работает, так как при поднятии моста наблюдаются непонятные коллизии ARP. Хосты перестают отвчать на пинги, но как только запустишь arping хоста, он сразу после этого начинает отвечать на эхо запрос, а потом, минуты через 2-3 опять исчезает.

Очень нужно что бы один физический интерфейс обрабатывал запросы нескольких VLAN, пользователи которых находятся в сети/ях кторые присвоемы физическому интерфейсу.

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 14:58:01
paradox
или я отупел
или заболел

но чет не понял
fxp должне быть транком
и на нем недолжно быть айпи

а в него должны входить
vlan
а увас все наоборот

рисуйте топологию
что
где
как
и какие айпи итд

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 15:04:17
hizel
не появляется ли тут петли? ;)

ок как выглядят настройки на сиськах?

например на порту сисько в которую внедряется fxp0
предположим что оно Fa0/1

что то подобное

Код: Выделить всё

interface FastEthernet0/1
 description server-trunk-fxp0
 switchport trunk allowed vlan 1,100
 switchport trunk native vlan 1
 switchport mode trunk
 no cdp enable
end
у обычных клиентов

Код: Выделить всё

interface FastEthernet0/2
 description client1
 switchport mode access
 no cdp enable
!
у спамеров

Код: Выделить всё

interface FastEthernet0/3
 description client2=-damed-spamer
 switchport mode access
 switchport access vlan 100
 no cdp enable
!
кстате я бы рекомендовал всетаки вынести обычных клиентов из первого влана, чтобы они не пересекались с самими сиськами ;)

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 15:16:24
hizel
paradox писал(а):или я отупел
или заболел

но чет не понял
fxp должне быть транком
и на нем недолжно быть айпи
гм там так и есть :shock:
fxp0 и на него повешен vlan100

другое дело что может быть лучше айпи повесить на bridge0
но и в текущем варианте ip 192.168.0.1 должен свтить в оба интерфейса

хорошо бы, чтобы сиськовский stp дружил с freebsd-ешным :)

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 15:19:50
Inzevision
Вот топология
Изображение

Любой компьютер может находится в любой сети, это не принципиально, под каждую сеть на шлюзе поднят алиас из той-же подсети. Любой компьютер должен получать доступ к сервисам шлюза и инету, но если они в разных VLAN -- то друг-друга видеть не должны.

Код: Выделить всё

8-hostel> (enable) show trunk 2/48
* - indicates vtp domain mismatch
# - indicates dot1q-all-tagged enabled on the port
Port      Mode         Encapsulation  Status        Native vlan
--------  -----------  -------------  ------------  -----------
 2/48     on           dot1q          trunking      1

Port      Vlans allowed on trunk
--------  ---------------------------------------------------------------------
 2/48     1-1005,1025-4094

Port      Vlans allowed and active in management domain
--------  ---------------------------------------------------------------------
 2/48     1,100

Port      Vlans in spanning tree forwarding state and not pruned
--------  ---------------------------------------------------------------------
 2/48     1,100


8-hostel> (enable) show vlan 1,100
VLAN Name                             Status    IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
1    default                          active    4       2/1-48
                                                        3/1-34
100  VirusUsers                       active    91      2/47-48

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 15:26:39
paradox
в бсд транк и vlan ы настрой правильно
многое остальное делаеться на киськах

первой картинки не вижу

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 15:41:28
hizel
вывод мне непонятен :(
а можно посмотреть например

Код: Выделить всё

sh run int Fa2/47 
?

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 15:50:24
Inzevision
hizel писал(а):вывод мне непонятен :(
а можно посмотреть например

Код: Выделить всё

sh run int Fa2/47 
?
у меня не принимает такю команду. Может иос другой

Код: Выделить всё

8-hostel> (enable) show version
WS-C2980G-A Software, Version NmpSW: 8.4(11)GLX

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 16:02:41
paradox
картинку топологии загрузи еще раз
невидно ее

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 16:06:53
hizel
это в режиме суперпользователя надоть
у меня команду понимает каталисты 2650 и 3550 =(


Пы.Сы. как бы у вас не получилось один клиентский порт сразу в 1 и 100 влане, в результате на бридже получается петля
кататлист должен поидее какойто порт гасить если такая ситуация вылезает

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 16:17:52
Inzevision
paradox писал(а):картинку топологии загрузи еще раз
невидно ее
там присоединённое изображение, оно такое-же как и внутри поста.
hizel писал(а):Пы.Сы. как бы у вас не получилось один клиентский порт сразу в 1 и 100 влане, в результате на бридже получается петлякататлист должен поидее какойто порт гасить если такая ситуация вылезает
Не, клиенсткий порт только в каком-то одном влане. На всех магистральных портах и на порту, который смотри в шлюз настроен trunk.
По tcp-dump видно, что пакеты приходят на влан100, но вот что с ними происходит дальше -- для меня загадка.
првила в ipfw должны быть такими?
ipfw pass all from any to me via vlan100 in
ipfw pass all from me to any via vlan100 out

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 16:23:56
hizel
посмотрите в man if_bridge особенно sysctl переменные по фильтрации ;)
вы на layer2 ничего не фильтруете?

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 16:59:09
zingel
дайте с рутовой кошки и темплейт конфига STP, ещё давайте

Код: Выделить всё

sh ip ro 192.168.0.1 
вывод мне непонятен :(
а можно посмотреть например

Код: Выделить всё
sh run int Fa2/47
Вот так делайте, и сюда покажите:

Код: Выделить всё

sh int Fa0/47 sum
sh int Fa0/47 swit

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 17:06:16
Inzevision
нет, на Л2 ничего не фильтруется.

Код: Выделить всё

rising# sysctl net.link.bridge
net.link.bridge.pfil_onlyip: 0
net.link.bridge.ipfw_arp: 0
net.link.bridge.pfil_bridge: 0
net.link.bridge.pfil_member: 0
net.link.bridge.ipfw: 1
тоесть отправлять всех в ipfw

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 17:13:14
Inzevision

Код: Выделить всё

6-hostel> (enable) sh log

Network Management Processor (ACTIVE NMP) Log:
  Reset count:   27
  Re-boot History:   Jun 20 2008 17:10:28 0, Jun 15 2008 14:40:59 0
                     Jun 04 2008 02:03:27 0, Jan 01 2000 00:00:00 0
                     Jan 06 2008 18:40:52 0, Jan 06 2008 02:54:02 0
                     May 31 2008 23:24:42 0, May 12 2008 18:57:42 0
                     May 12 2008 17:45:00 0, May 12 2008 17:41:52 0
  Bootrom Checksum Failures:      0   UART Failures:                  0
  Flash Checksum Failures:        0   Flash Program Failures:         0
  Power Supply 1 Failures:        0   Power Supply 2 Failures:        0
  DRAM Failures:                  0

  Exceptions:                     0

  Loaded NMP version:            8.4(11)GLX
  Software version:              bootflash:cat4000-k8.8-4-11-GLX.bin
  Reload same NMP version count: 0

  Last software reset by user: 6/20/2008,17:08:51

  MCP Exceptions/Hang:            0

Heap Memory Log:
Corrupted Block = none

NVRAM log:

01. 6/20/2008,17:10:33: supVersion:Nmp version 8.4(11)GLX

Module 2 Log:
  Reset Count:   27
  Reset History: Fri Jun 20 2008, 17:10:44
                 Sun Jun 15 2008, 14:41:15
                 Wed Jun 4 2008, 02:03:43
                 Sat Jan 1 2000, 00:00:16


Module 3 Log:
  Reset Count:   27
  Reset History: Fri Jun 20 2008, 17:10:45
                 Sun Jun 15 2008, 14:41:16
                 Wed Jun 4 2008, 02:03:44
                 Sat Jan 1 2000, 00:00:17


NOTE: Use "show crashdump 1" to see the crashdump.

Код: Выделить всё

6-hostel> (enable) show ip route
Fragmentation   Redirect   Unreachable
-------------   --------   -----------
enabled         enabled    enabled

The primary gateway: 192.168.0.1
Destination      Gateway          RouteMask    Flags   Use       Interface
---------------  ---------------  ----------   -----   --------  ---------
default          192.168.0.1      0x0          UG      0           sc0
192.168.0.0      192.168.0.6      0xffffff00   U       565742      sc0

Надеюсь это то, что вы хотели.

Код: Выделить всё

6-hostel> (enable) sh int
sl0: flags=50<DOWN,POINTOPOINT,RUNNING>
        slip 0.0.0.0 dest 0.0.0.0
sc0: flags=63<UP,BROADCAST,RUNNING>
        vlan 1 inet 192.168.0.6 netmask 255.255.255.0 broadcast 192.168.0.255
me1: flags=62<DOWN,BROADCAST,RUNNING>
        inet 0.0.0.0 netmask 0.0.0.0 broadcast 0.0.0.0

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 17:17:07
zingel

Код: Выделить всё

sh vlan bri 

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 17:21:48
Inzevision

Код: Выделить всё

8-hostel> (enable) sh vlan
VLAN Name                             Status    IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
1    default                          active    4       2/1-46
                                                        3/1-34
100  VirusUsers                       active    91
1002 fddi-default                     active    5
1003 trcrf-default                    active    8
1004 fddinet-default                  active    6
1005 trbrf-default                    active    7       1003


VLAN Type  SAID       MTU   Parent RingNo BrdgNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
1002 fddi  101002     1500  -      -      -      -    -        0      0
1003 trcrf 101003     4472  1005   0xccc  -      -    srb      0      0
1004 fdnet 101004     1500  -      -      -      -    -        0      0
1005 trbrf 101005     4472  -      -      0xf    ibm  -        0      0


VLAN AREHops STEHops Backup CRF 1q VLAN
---- ------- ------- ---------- -------
1003 7       7       off
8-hostel> (enable) sh vlan bri
Usage: show vlan [trunk]
       show vlan <vlans> [notrunk]
       show vlan mapping
       show vlan name <name>
       show vlan summary
       show vlan <type>
         (type = ethernet, fddi, fddinet, trbrf, trcrf)

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 17:31:20
zingel
что-то я не вижу в 100 влане сконфигурированных транковых портов.....дайте вывод

Код: Выделить всё

sh int statu

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 17:41:11
Inzevision
zingel писал(а):что-то я не вижу в 100 влане сконфигурированных транковых портов.....дайте вывод

Код: Выделить всё

sh int statu
такая команда не проходит, зато есть такая

Код: Выделить всё

8-hostel> (enable) show trunk
* - indicates vtp domain mismatch
# - indicates dot1q-all-tagged enabled on the port
Port      Mode         Encapsulation  Status        Native vlan
--------  -----------  -------------  ------------  -----------
 2/47     on           dot1q          trunking      1
 2/48     on           dot1q          trunking      1

Port      Vlans allowed on trunk
--------  ---------------------------------------------------------------------
 2/47     1-1005,1025-4094
 2/48     1-1005,1025-4094

Port      Vlans allowed and active in management domain
--------  ---------------------------------------------------------------------
 2/47     1,100
 2/48     1,100

Port      Vlans in spanning tree forwarding state and not pruned
--------  ---------------------------------------------------------------------
 2/47     1,100
 2/48     1,100

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 17:45:01
zingel
прикольно, дайте вывод
значит порты в 100 влане задаунены, потому, что их нет при sh vlan, дайте тупо
со всех

p.s. необязательно из под enable

Re: Архитекттура VLAN соединений. Хитро...

Добавлено: 2008-07-30 17:51:42
Inzevision

Код: Выделить всё

8-hostel> (enable) sh ver
WS-C2980G-A Software, Version NmpSW: 8.4(11)GLX
Copyright (c) 1995-2006 by Cisco Systems, Inc.
NMP S/W compiled on Apr 27 2006, 12:44:02
GSP S/W compiled on Apr 27 2006, 11:47:52

System Bootstrap Version: 6.1(4)

Hardware Version: 1.3  Model: WS-C2980G-A  Serial #: JAE064606FN

Mod Port Model              Serial #              Versions
--- ---- ------------------ -------------------- ---------------------------------
1   0    WS-X2980           JAE064606FN          Hw : 1.3
                                                 Gsp: 8.4(11.0)
                                                 Nmp: 8.4(11)GLX
2   48   WS-X2980RJ         JAE064606FN          Hw : 1.3
3   34   WS-X2980GBRJ       JAE064606FN          Hw : 1.3

       DRAM                    FLASH                   NVRAM
Module Total   Used    Free    Total   Used    Free    Total Used  Free
------ ------- ------- ------- ------- ------- ------- ----- ----- -----
1       65536K  36967K  28569K  16384K   5848K  10536K  480K  331K  149K

Uptime is 25 days, 10 hours, 9 minutes
8-hostel> (enable) sh int
sl0: flags=50<DOWN,POINTOPOINT,RUNNING>
        slip 0.0.0.0 dest 0.0.0.0
sc0: flags=63<UP,BROADCAST,RUNNING>
        vlan 1 inet 192.168.0.8 netmask 255.255.255.0 broadcast 192.168.0.255
me1: flags=62<DOWN,BROADCAST,RUNNING>
        inet 0.0.0.0 netmask 0.0.0.0 broadcast 0.0.0.0