Страница 1 из 3
Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 14:09:20
Inzevision
есть сеть с Cisco catalist 2980G (4 штуки). Между ними настроены транковые порты и поднят VLAN100 и по умолчанию VLAN1
Есть сервер на FreeBSD 6.2 с карточками Intel 100/PRO S которые понимают 802.1q
Код: Выделить всё
fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
options=4b<RXCSUM,TXCSUM,VLAN_MTU,POLLING>
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
Есть пользователи которые находятся в сети 192.168.0.х
У некоторых пользователей заводятся вирусы на компах и я их определяю в VLAN100 не меняя их IP.
Код: Выделить всё
vlan100: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
ether 00:02:b3:91:68:f1
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan: 100 parent interface: fxp0
Нужно что бы пользователи находящиеся в VLAN100 могли пользоваться теми же сервисами сервера, что и остальные пользователи.
По tcpdump -i vlan100 -n видно, что данные т пользователей приходят, но ответа им не отсылается.
Организовано это чаким образом:
Код: Выделить всё
fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
options=4b<RXCSUM,TXCSUM,VLAN_MTU,POLLING>
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:02:b3:91:68:f1
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fxp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=4b<RXCSUM,TXCSUM,VLAN_MTU,POLLING>
inet 193.19.х.74 netmask 0xfffffffc broadcast 193.19.х.75
ether 00:02:b3:d2:93:06
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan100: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
ether 00:02:b3:91:68:f1
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan: 100 parent interface: fxp0
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 66:a6:18:b8:65:99
priority 32768 hellotime 2 fwddelay 15 maxage 20
member: vlan100 flags=3<LEARNING,DISCOVER>
member: fxp0 flags=3<LEARNING,DISCOVER>
Может есть другой способ организовать доступ двух VLAN к серверу и его сервисам оставляя пользователей в одной подсети?
ЗЫ
Пусть бдет 2 клиента (или 2000 это не принциписально). У одного ИП 192.168.0.10 а у другого 192.168.0.11
ИП сервера 192.168.0.1
Между клиентами и сервером стоит циска (или гирлянда цисок -- это не принципиально).
Задача: не меняя ИП у клиентов определить их в разные VLAN (чтобы друг-друга не видели), но что бы они имели полноценный доступ ко всем сервисам сервера.
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 14:14:54
zingel
нормально оформите, пожалуйста, сообщение своё
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 14:41:50
hizel
фаервол не режет?
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 14:45:27
Inzevision
zingel писал(а):нормально оформите, пожалуйста, сообщение своё
Объясните, пожалуйста, что вы понимаете под словом "нормально"? Если возможно, укажите на ошибки.
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 14:51:06
Inzevision
hizel писал(а):фаервол не режет?
Описаная схема у меня не работает, так как при поднятии моста наблюдаются непонятные коллизии ARP. Хосты перестают отвчать на пинги, но как только запустишь arping хоста, он сразу после этого начинает отвечать на эхо запрос, а потом, минуты через 2-3 опять исчезает.
Очень нужно что бы один физический интерфейс обрабатывал запросы нескольких VLAN, пользователи которых находятся в сети/ях кторые присвоемы физическому интерфейсу.
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 14:58:01
paradox
или я отупел
или заболел
но чет не понял
fxp должне быть транком
и на нем недолжно быть айпи
а в него должны входить
vlan
а увас все наоборот
рисуйте топологию
что
где
как
и какие айпи итд
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 15:04:17
hizel
не появляется ли тут петли?
ок как выглядят настройки на сиськах?
например на порту сисько в которую внедряется fxp0
предположим что оно Fa0/1
что то подобное
Код: Выделить всё
interface FastEthernet0/1
description server-trunk-fxp0
switchport trunk allowed vlan 1,100
switchport trunk native vlan 1
switchport mode trunk
no cdp enable
end
у обычных клиентов
Код: Выделить всё
interface FastEthernet0/2
description client1
switchport mode access
no cdp enable
!
у спамеров
Код: Выделить всё
interface FastEthernet0/3
description client2=-damed-spamer
switchport mode access
switchport access vlan 100
no cdp enable
!
кстате я бы рекомендовал всетаки вынести обычных клиентов из первого влана, чтобы они не пересекались с самими сиськами
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 15:16:24
hizel
paradox писал(а):или я отупел
или заболел
но чет не понял
fxp должне быть транком
и на нем недолжно быть айпи
гм там так и есть
fxp0 и на него повешен vlan100
другое дело что может быть лучше айпи повесить на bridge0
но и в текущем варианте ip 192.168.0.1 должен свтить в оба интерфейса
хорошо бы, чтобы сиськовский stp дружил с freebsd-ешным
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 15:19:50
Inzevision
Вот топология
Любой компьютер может находится в любой сети, это не принципиально, под каждую сеть на шлюзе поднят алиас из той-же подсети. Любой компьютер должен получать доступ к сервисам шлюза и инету, но если они в разных VLAN -- то друг-друга видеть не должны.
Код: Выделить всё
8-hostel> (enable) show trunk 2/48
* - indicates vtp domain mismatch
# - indicates dot1q-all-tagged enabled on the port
Port Mode Encapsulation Status Native vlan
-------- ----------- ------------- ------------ -----------
2/48 on dot1q trunking 1
Port Vlans allowed on trunk
-------- ---------------------------------------------------------------------
2/48 1-1005,1025-4094
Port Vlans allowed and active in management domain
-------- ---------------------------------------------------------------------
2/48 1,100
Port Vlans in spanning tree forwarding state and not pruned
-------- ---------------------------------------------------------------------
2/48 1,100
8-hostel> (enable) show vlan 1,100
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
1 default active 4 2/1-48
3/1-34
100 VirusUsers active 91 2/47-48
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 15:26:39
paradox
в бсд транк и vlan ы настрой правильно
многое остальное делаеться на киськах
первой картинки не вижу
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 15:41:28
hizel
вывод мне непонятен
а можно посмотреть например
?
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 15:50:24
Inzevision
hizel писал(а):вывод мне непонятен
а можно посмотреть например
?
у меня не принимает такю команду. Может иос другой
Код: Выделить всё
8-hostel> (enable) show version
WS-C2980G-A Software, Version NmpSW: 8.4(11)GLX
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 16:02:41
paradox
картинку топологии загрузи еще раз
невидно ее
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 16:06:53
hizel
это в режиме суперпользователя надоть
у меня команду понимает каталисты 2650 и 3550 =(
Пы.Сы. как бы у вас не получилось один клиентский порт сразу в 1 и 100 влане, в результате на бридже получается петля
кататлист должен поидее какойто порт гасить если такая ситуация вылезает
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 16:17:52
Inzevision
paradox писал(а):картинку топологии загрузи еще раз
невидно ее
там присоединённое изображение, оно такое-же как и внутри поста.
hizel писал(а):Пы.Сы. как бы у вас не получилось один клиентский порт сразу в 1 и 100 влане, в результате на бридже получается петлякататлист должен поидее какойто порт гасить если такая ситуация вылезает
Не, клиенсткий порт только в каком-то одном влане. На всех магистральных портах и на порту, который смотри в шлюз настроен trunk.
По tcp-dump видно, что пакеты приходят на влан100, но вот что с ними происходит дальше -- для меня загадка.
првила в ipfw должны быть такими?
ipfw pass all from any to me via vlan100 in
ipfw pass all from me to any via vlan100 out
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 16:23:56
hizel
посмотрите в man if_bridge особенно sysctl переменные по фильтрации
вы на layer2 ничего не фильтруете?
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 16:59:09
zingel
дайте с рутовой кошки и темплейт конфига STP, ещё давайте
вывод мне непонятен
а можно посмотреть например
Код: Выделить всё
sh run int Fa2/47
Вот так делайте, и сюда покажите:
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 17:06:16
Inzevision
нет, на Л2 ничего не фильтруется.
Код: Выделить всё
rising# sysctl net.link.bridge
net.link.bridge.pfil_onlyip: 0
net.link.bridge.ipfw_arp: 0
net.link.bridge.pfil_bridge: 0
net.link.bridge.pfil_member: 0
net.link.bridge.ipfw: 1
тоесть отправлять всех в ipfw
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 17:13:14
Inzevision
Код: Выделить всё
6-hostel> (enable) sh log
Network Management Processor (ACTIVE NMP) Log:
Reset count: 27
Re-boot History: Jun 20 2008 17:10:28 0, Jun 15 2008 14:40:59 0
Jun 04 2008 02:03:27 0, Jan 01 2000 00:00:00 0
Jan 06 2008 18:40:52 0, Jan 06 2008 02:54:02 0
May 31 2008 23:24:42 0, May 12 2008 18:57:42 0
May 12 2008 17:45:00 0, May 12 2008 17:41:52 0
Bootrom Checksum Failures: 0 UART Failures: 0
Flash Checksum Failures: 0 Flash Program Failures: 0
Power Supply 1 Failures: 0 Power Supply 2 Failures: 0
DRAM Failures: 0
Exceptions: 0
Loaded NMP version: 8.4(11)GLX
Software version: bootflash:cat4000-k8.8-4-11-GLX.bin
Reload same NMP version count: 0
Last software reset by user: 6/20/2008,17:08:51
MCP Exceptions/Hang: 0
Heap Memory Log:
Corrupted Block = none
NVRAM log:
01. 6/20/2008,17:10:33: supVersion:Nmp version 8.4(11)GLX
Module 2 Log:
Reset Count: 27
Reset History: Fri Jun 20 2008, 17:10:44
Sun Jun 15 2008, 14:41:15
Wed Jun 4 2008, 02:03:43
Sat Jan 1 2000, 00:00:16
Module 3 Log:
Reset Count: 27
Reset History: Fri Jun 20 2008, 17:10:45
Sun Jun 15 2008, 14:41:16
Wed Jun 4 2008, 02:03:44
Sat Jan 1 2000, 00:00:17
NOTE: Use "show crashdump 1" to see the crashdump.
Код: Выделить всё
6-hostel> (enable) show ip route
Fragmentation Redirect Unreachable
------------- -------- -----------
enabled enabled enabled
The primary gateway: 192.168.0.1
Destination Gateway RouteMask Flags Use Interface
--------------- --------------- ---------- ----- -------- ---------
default 192.168.0.1 0x0 UG 0 sc0
192.168.0.0 192.168.0.6 0xffffff00 U 565742 sc0
Надеюсь это то, что вы хотели.
Код: Выделить всё
6-hostel> (enable) sh int
sl0: flags=50<DOWN,POINTOPOINT,RUNNING>
slip 0.0.0.0 dest 0.0.0.0
sc0: flags=63<UP,BROADCAST,RUNNING>
vlan 1 inet 192.168.0.6 netmask 255.255.255.0 broadcast 192.168.0.255
me1: flags=62<DOWN,BROADCAST,RUNNING>
inet 0.0.0.0 netmask 0.0.0.0 broadcast 0.0.0.0
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 17:17:07
zingel
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 17:21:48
Inzevision
Код: Выделить всё
8-hostel> (enable) sh vlan
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
1 default active 4 2/1-46
3/1-34
100 VirusUsers active 91
1002 fddi-default active 5
1003 trcrf-default active 8
1004 fddinet-default active 6
1005 trbrf-default active 7 1003
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
1002 fddi 101002 1500 - - - - - 0 0
1003 trcrf 101003 4472 1005 0xccc - - srb 0 0
1004 fdnet 101004 1500 - - - - - 0 0
1005 trbrf 101005 4472 - - 0xf ibm - 0 0
VLAN AREHops STEHops Backup CRF 1q VLAN
---- ------- ------- ---------- -------
1003 7 7 off
8-hostel> (enable) sh vlan bri
Usage: show vlan [trunk]
show vlan <vlans> [notrunk]
show vlan mapping
show vlan name <name>
show vlan summary
show vlan <type>
(type = ethernet, fddi, fddinet, trbrf, trcrf)
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 17:31:20
zingel
что-то я не вижу в 100 влане сконфигурированных транковых портов.....дайте вывод
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 17:41:11
Inzevision
zingel писал(а):что-то я не вижу в 100 влане сконфигурированных транковых портов.....дайте вывод
такая команда не проходит, зато есть такая
Код: Выделить всё
8-hostel> (enable) show trunk
* - indicates vtp domain mismatch
# - indicates dot1q-all-tagged enabled on the port
Port Mode Encapsulation Status Native vlan
-------- ----------- ------------- ------------ -----------
2/47 on dot1q trunking 1
2/48 on dot1q trunking 1
Port Vlans allowed on trunk
-------- ---------------------------------------------------------------------
2/47 1-1005,1025-4094
2/48 1-1005,1025-4094
Port Vlans allowed and active in management domain
-------- ---------------------------------------------------------------------
2/47 1,100
2/48 1,100
Port Vlans in spanning tree forwarding state and not pruned
-------- ---------------------------------------------------------------------
2/47 1,100
2/48 1,100
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 17:45:01
zingel
прикольно, дайте вывод
значит порты в 100 влане задаунены, потому, что их нет при sh vlan, дайте тупо
со всех
p.s. необязательно из под enable
Re: Архитекттура VLAN соединений. Хитро...
Добавлено: 2008-07-30 17:51:42
Inzevision
Код: Выделить всё
8-hostel> (enable) sh ver
WS-C2980G-A Software, Version NmpSW: 8.4(11)GLX
Copyright (c) 1995-2006 by Cisco Systems, Inc.
NMP S/W compiled on Apr 27 2006, 12:44:02
GSP S/W compiled on Apr 27 2006, 11:47:52
System Bootstrap Version: 6.1(4)
Hardware Version: 1.3 Model: WS-C2980G-A Serial #: JAE064606FN
Mod Port Model Serial # Versions
--- ---- ------------------ -------------------- ---------------------------------
1 0 WS-X2980 JAE064606FN Hw : 1.3
Gsp: 8.4(11.0)
Nmp: 8.4(11)GLX
2 48 WS-X2980RJ JAE064606FN Hw : 1.3
3 34 WS-X2980GBRJ JAE064606FN Hw : 1.3
DRAM FLASH NVRAM
Module Total Used Free Total Used Free Total Used Free
------ ------- ------- ------- ------- ------- ------- ----- ----- -----
1 65536K 36967K 28569K 16384K 5848K 10536K 480K 331K 149K
Uptime is 25 days, 10 hours, 9 minutes
8-hostel> (enable) sh int
sl0: flags=50<DOWN,POINTOPOINT,RUNNING>
slip 0.0.0.0 dest 0.0.0.0
sc0: flags=63<UP,BROADCAST,RUNNING>
vlan 1 inet 192.168.0.8 netmask 255.255.255.0 broadcast 192.168.0.255
me1: flags=62<DOWN,BROADCAST,RUNNING>
inet 0.0.0.0 netmask 0.0.0.0 broadcast 0.0.0.0