Добрый день. Хотелось бы узнать, реализуема ли такая схема.
Имеется роутер на Линуксе, имеется свитч Д-Линк 3526 с поддержкой ВЛАНов. На Линуксе поддержка ВЛАНов также приустствует. На Д-Линк приходят два кабеля от клиентов, причем подсеть у них одинаковая, например, 192.168.1.0/24, ИП-адреса клиентов не пересекаются, просто хаотично раскиданы по двум кабелям. Т.е. ИП 192.168.1.33 в кабеле №1, а 192.168.1.34 в кабеле №2. Далее, на Длинке подняты ВЛАНы, порт №1 - ВЛАН №2, порт №2 - ВЛАН №3. Кабели приходят соответственно в эти два порта. Таким образом пользователи изолированы друг от друга. Порты ДЛинка №1 и №2 untagged. Порт №25 - tagged, в него воткнут роутер Линукс. У всех клиентов сети 192.168.1.0/24 выставлен шлюз по умолчанию 192.168.1.254. Будет ли работать система, если на Линукс-роутере выставить в качестве ИП-адресов на одной сетевой плате один и тот же ИП-адрес (192.168.1.254), но в разных ВЛАНах? Т.е. примерно вот так:

modprobe 8021q
ifconfig eth0 down
ifconfig eth0 0.0.0.0 up

vconfig set_name_type VLAN_PLUS_VID
vconfig add eth0 2
vconfig add eth0 3

ifconfig vlan0002 192.168.1.254/24 up
ifconfig vlan0003 192.168.1.254/24 up

Заранее спасибо!

• VLAN на Linux,perece, 21:14 , 24-Авг-06
  • VLAN на Linux,Lt_Flash, 00:41 , 25-Авг-06
    • VLAN на Linux,perece, 02:46 , 25-Авг-06
      • VLAN на Linux,Lt_Flash, 12:35 , 25-Авг-06
• VLAN на Linux,universite, 01:54 , 25-Авг-06
  • VLAN на Linux,Lt_Flash, 12:32 , 25-Авг-06

>Добрый день. Хотелось бы узнать, реализуема ли такая схема.
>Имеется роутер на Линуксе, имеется свитч Д-Линк 3526 с поддержкой ВЛАНов. На
>Линуксе поддержка ВЛАНов также приустствует. На Д-Линк приходят два кабеля от
>клиентов, причем подсеть у них одинаковая, например, 192.168.1.0/24, ИП-адреса клиентов не
>пересекаются, просто хаотично раскиданы по двум кабелям. Т.е. ИП 192.168.1.33 в
>кабеле №1, а 192.168.1.34 в кабеле №2. Далее, на Длинке подняты
>ВЛАНы, порт №1 - ВЛАН №2, порт №2 - ВЛАН №3.
>Кабели приходят соответственно в эти два порта. Таким образом пользователи изолированы
>друг от друга. Порты ДЛинка №1 и №2 untagged. Порт №25
>- tagged, в него воткнут роутер Линукс. У всех клиентов сети
>192.168.1.0/24 выставлен шлюз по умолчанию 192.168.1.254. Будет ли работать система, если
>на Линукс-роутере выставить в качестве ИП-адресов на одной сетевой плате один
>и тот же ИП-адрес (192.168.1.254), но в разных ВЛАНах? Т.е. примерно
>вот так:
>
>modprobe 8021q
>ifconfig eth0 down
>ifconfig eth0 0.0.0.0 up
>
>vconfig set_name_type VLAN_PLUS_VID
>vconfig add eth0 2
>vconfig add eth0 3
>
>ifconfig vlan0002 192.168.1.254/24 up
>ifconfig vlan0003 192.168.1.254/24 up
>
>Заранее спасибо!
лучшем случае не будет работать
в худьшем - не даст так сконфигурить.
не могут в одной таблице маршрутов main присутствовать две строки 192.168.1.0/24 tos 0
стсно разрулить пакеты, идущие в эту сеть он не сможет
(в лучшем случае при конфигурении vlan0003 он _заменит_ строчку, добавленную конфигурением vlan0002, и все пакеты будут вылетать в eth0 с тэгом 3. а свитч уже не пропустит те из них, что для бедолаг из второй сети до реципиентов.

\^P^/

Сконфигурить дает легко, проверял уже...Втыкаем комп в порт №1, пингуем сервер - пингуется. Перетыкаем комп в порт №2 - пинги на сервер приходят в НУЖНЫЙ ВЛАН (тцпдампом смотрел), ответы - не идут. Т.е. только "echo request" видим. Окей, делаем ifdown vlan0002 на сервере - и вуаля, начинает пинговаться из ВЛАН №3 (порт №2) :) Дальше можно поднять опять второй ВЛАН, опустить 3й - и пингуется из 1го порта (ВЛАН №2)...Вот поэтому и интересно - нельзя ли все же завести чтобы одновременно работало. Ведь теоретически, с точки зрения клиента в ВЛАН №2 - сервер тоже там и полностью изолирован и видеть должен только vlan0002, а с точки зрения ВЛАН №3 - то же самое, только на сервере vlan0003...

А вот сконфигурить дает хоть 6 вланов с одним ИП, проверял. И в конфигах и по ifconfig все видны и все с одним ИП...

>Сконфигурить дает легко, проверял уже...Втыкаем комп в порт №1, пингуем сервер -
>пингуется. Перетыкаем комп в порт №2 - пинги на сервер приходят
>в НУЖНЫЙ ВЛАН (тцпдампом смотрел), ответы - не идут. Т.е. только
>"echo request" видим. Окей, делаем ifdown vlan0002 на сервере - и
>вуаля, начинает пинговаться из ВЛАН №3 (порт №2) :) Дальше можно
>поднять опять второй ВЛАН, опустить 3й - и пингуется из 1го
>порта (ВЛАН №2)...Вот поэтому и интересно - нельзя ли все же
>завести чтобы одновременно работало. Ведь теоретически, с точки зрения клиента в
если ядро переписать - мож и можно. вайринг и вайрпротоколы такой конфигураии не препятствуют. только штука в том, что в существующей реализаии софта когда ты поднял VLANы, то для роутинг-кода это у тебя _разные_физические_интерфейсы_.
ну не знает он, када определяет куда пакет сунуть, что они всеравно через один и тот же физ. интерфейс вылетят тока с разным тэгом. не знает он этого. точка.
>ВЛАН №2 - сервер тоже там и полностью изолирован и видеть
>должен только vlan0002, а с точки зрения ВЛАН №3 - то
>же самое, только на сервере vlan0003...
>
>А вот сконфигурить дает хоть 6 вланов с одним ИП, проверял. И
>в конфигах и по ifconfig все видны и все с одним
>ИП...
а ты посмотри не ивконфиги, а таблиу маршрутов в процессе такого конфигурения. мож осенит чем-нть...

\^P^/

>>Сконфигурить дает легко, проверял уже...Втыкаем комп в порт №1, пингуем сервер -
>>пингуется. Перетыкаем комп в порт №2 - пинги на сервер приходят
>>в НУЖНЫЙ ВЛАН (тцпдампом смотрел), ответы - не идут. Т.е. только
>>"echo request" видим. Окей, делаем ifdown vlan0002 на сервере - и
>>вуаля, начинает пинговаться из ВЛАН №3 (порт №2) :) Дальше можно
>>поднять опять второй ВЛАН, опустить 3й - и пингуется из 1го
>>порта (ВЛАН №2)...Вот поэтому и интересно - нельзя ли все же
>>завести чтобы одновременно работало. Ведь теоретически, с точки зрения клиента в
>если ядро переписать - мож и можно. вайринг и вайрпротоколы такой конфигураии
>не препятствуют. только штука в том, что в существующей реализаии софта
>когда ты поднял VLANы, то для роутинг-кода это у тебя _разные_физические_интерфейсы_.
>
>ну не знает он, када определяет куда пакет сунуть, что они всеравно
>через один и тот же физ. интерфейс вылетят тока с разным
>тэгом. не знает он этого. точка.
>>ВЛАН №2 - сервер тоже там и полностью изолирован и видеть
>>должен только vlan0002, а с точки зрения ВЛАН №3 - то
>>же самое, только на сервере vlan0003...
>>
>>А вот сконфигурить дает хоть 6 вланов с одним ИП, проверял. И
>>в конфигах и по ifconfig все видны и все с одним
>>ИП...
>а ты посмотри не ивконфиги, а таблиу маршрутов в процессе такого конфигурения.
>мож осенит чем-нть...
>
>\^P^/

Таблица маршрутов тупая:
192.168.1.0 через vlan0002
192.168.1.0 через vlan0003

Т.е. одно и то же через разные интерфейсы. Вот я и думал, что раз ВЛАНы, интерфейсы разные, то маршрутизатор, принимая пакет из vlan0002 или vlan0003 (а принимает-то он правильно пакет!!! тцпдампом смотрел! Но почему-то НЕ отвечает вообще в этом случае, смотрел даже вообще все сразу интерфейсы тцпдампом) ответит именно через тот же интерфейс...А такого не происходит...Видимо, потому что оба ВЛАН-ифейса висят на одном физическом...Жаль, было бы очень удобно, если бы можно было реализовать такую схему...

>Добрый день. Хотелось бы узнать, реализуема ли такая схема.
>Имеется роутер на Линуксе, имеется свитч Д-Линк 3526 с поддержкой ВЛАНов. На
>Линуксе поддержка ВЛАНов также приустствует. На Д-Линк приходят два кабеля от
>клиентов, причем подсеть у них одинаковая, например, 192.168.1.0/24, ИП-адреса клиентов не
>пересекаются, просто хаотично раскиданы по двум кабелям. Т.е. ИП 192.168.1.33 в
>кабеле №1, а 192.168.1.34 в кабеле №2. Далее, на Длинке подняты
>ВЛАНы, порт №1 - ВЛАН №2, порт №2 - ВЛАН №3.
>Кабели приходят соответственно в эти два порта. Таким образом пользователи изолированы
>друг от друга. Порты ДЛинка №1 и №2 untagged.

Хто сказал, что они изолированы? Напротив, они могут друг с другом общаться.
Предлагаю там упорядочнить адресное пространство - один Влан - одна сеть.

>Порт №25
>- tagged, в него воткнут роутер Линукс. У всех клиентов сети
>192.168.1.0/24 выставлен шлюз по умолчанию 192.168.1.254. Будет ли работать система, если
>на Линукс-роутере выставить в качестве ИП-адресов на одной сетевой плате один
>и тот же ИП-адрес (192.168.1.254), но в разных ВЛАНах? Т.е. примерно

А на шлюзе повесить два сибинтерфейса - с адресом из 1-го и 2-го влана. И с помощью firewall'a закрыть доступ в подсети друг друга.

А на свитче сделать привязку по макам к каждому порту. И обновить прошивку Д-линка, как раз вышла новая.

Зы А не слишком жирно клиентам такого дорогого Д-линка?
У меня на тупом 8-ми портовом Д-Линке (непаянном) живут две разные сети, и никто не может выползти к соседям.

>>Добрый день. Хотелось бы узнать, реализуема ли такая схема.
>>Имеется роутер на Линуксе, имеется свитч Д-Линк 3526 с поддержкой ВЛАНов. На
>>Линуксе поддержка ВЛАНов также приустствует. На Д-Линк приходят два кабеля от
>>клиентов, причем подсеть у них одинаковая, например, 192.168.1.0/24, ИП-адреса клиентов не
>>пересекаются, просто хаотично раскиданы по двум кабелям. Т.е. ИП 192.168.1.33 в
>>кабеле №1, а 192.168.1.34 в кабеле №2. Далее, на Длинке подняты
>>ВЛАНы, порт №1 - ВЛАН №2, порт №2 - ВЛАН №3.
>>Кабели приходят соответственно в эти два порта. Таким образом пользователи изолированы
>>друг от друга. Порты ДЛинка №1 и №2 untagged.
>
>Хто сказал, что они изолированы? Напротив, они могут друг с другом общаться.
>
>Предлагаю там упорядочнить адресное пространство - один Влан - одна сеть.
>
Ну как же, так как ВЛАНы с разным VID - то клиенты не видят друг друга.
>>Порт №25
>>- tagged, в него воткнут роутер Линукс. У всех клиентов сети
>>192.168.1.0/24 выставлен шлюз по умолчанию 192.168.1.254. Будет ли работать система, если
>>на Линукс-роутере выставить в качестве ИП-адресов на одной сетевой плате один
>>и тот же ИП-адрес (192.168.1.254), но в разных ВЛАНах? Т.е. примерно
>
>А на шлюзе повесить два сибинтерфейса - с адресом из 1-го и
>2-го влана. И с помощью firewall'a закрыть доступ в подсети друг
>друга.
>
А мне как раз надо, чтобы сеть клиентов была одна и та же, плюс чтобы шлюз был вообще один - 192.168.1.254...