URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 83650
[ Назад ]

Исходное сообщение
"FreeBSD, VLAN и untagged-пакеты"
Отправлено Variantolog , 14-Янв-09 10:30

Доброго дня всем!
Есть FreeBSD 7.1
Делаю:
cloned_interfaces="vlan17"
ifconfig_vlan17="inet 192.168.17.1 netmask 255.255.255.0 vlan 17 vlandev re0"
Вопрос:
Можно ли заставить интерфейс vlan17 принимать untagged-пакеты(не помеченные), т.е. пакеты, не принадлежащие ни к одному VLAN-у?
Спасибо.

Содержание

FreeBSD, VLAN и untagged-пакеты,GD, 10:44 , 14-Янв-09
FreeBSD, VLAN и untagged-пакеты,eguru, 11:42 , 14-Янв-09
- FreeBSD, VLAN и untagged-пакеты,Gaidamak, 15:38 , 05-Фев-09
  - FreeBSD, VLAN и untagged-пакеты,Deac, 00:09 , 07-Фев-09
    - FreeBSD, VLAN и untagged-пакеты,Gaidamak, 00:22 , 07-Фев-09
      - FreeBSD, VLAN и untagged-пакеты,masters, 00:40 , 07-Фев-09
        
        FreeBSD, VLAN и untagged-пакеты,Gaidamak, 10:28 , 07-Фев-09
      - FreeBSD, VLAN и untagged-пакеты,Deac, 16:53 , 07-Фев-09
        
        FreeBSD, VLAN и untagged-пакеты,Gaidamak, 17:45 , 07-Фев-09
        
        FreeBSD, VLAN и untagged-пакеты,Deac, 18:01 , 07-Фев-09

Сообщения в этом обсуждении

"FreeBSD, VLAN и untagged-пакеты"
Отправлено GD , 14-Янв-09 10:44

>[оверквотинг удален]
>Есть FreeBSD 7.1
>Делаю:
>cloned_interfaces="vlan17"
>ifconfig_vlan17="inet 192.168.17.1 netmask 255.255.255.0 vlan 17 vlandev re0"
>
>Вопрос:
>Можно ли заставить интерфейс vlan17 принимать untagged-пакеты(не помеченные), т.е. пакеты, не принадлежащие
>ни к одному VLAN-у?
>
>Спасибо.
нет

"FreeBSD, VLAN и untagged-пакеты"
Отправлено eguru , 14-Янв-09 11:42

>[оверквотинг удален]
>Есть FreeBSD 7.1
>Делаю:
>cloned_interfaces="vlan17"
>ifconfig_vlan17="inet 192.168.17.1 netmask 255.255.255.0 vlan 17 vlandev re0"
>
>Вопрос:
>Можно ли заставить интерфейс vlan17 принимать untagged-пакеты(не помеченные), т.е. пакеты, не принадлежащие
>ни к одному VLAN-у?
>
>Спасибо.
Система принимает Untagged пакеты на parent interface. У тебя это re0.

"FreeBSD, VLAN и untagged-пакеты"
Отправлено Gaidamak , 05-Фев-09 15:38

Вот еще вопрос - есть 2 провайдера, входящие на FreeBSD в em1 и em2. Можно ли средствами FreeBSD навесить на входящие пакеты VLAN-теги (разные для каждого провайдера), засунуть их в if_bridge под файрвол и выпустить вовнутрь на свитч через em3. Или я совсем уж размечтался?

"FreeBSD, VLAN и untagged-пакеты"
Отправлено Deac , 07-Фев-09 00:09

>Вот еще вопрос - есть 2 провайдера, входящие на FreeBSD в em1
>и em2. Можно ли средствами FreeBSD навесить на входящие пакеты VLAN-теги
>(разные для каждого провайдера), засунуть их в if_bridge под файрвол и
>выпустить вовнутрь на свитч через em3. Или я совсем уж размечтался?
>
Можно.
В мост можно объединить vlan и физическую сетевуху.
ifconfig vlan20 plumb
ifconfig vlan20 vlan 20 vlandev em0
ifconfig vlan21 plumb
ifconfig vlan21 vlan 21 vlandev em0
sysctl -w net.link.ether.bridge.config=vlan20:20,em1:20,vlan21:21,em2:21
Можно и через if_bridge, можно ng_vlan и ng_bridge
Самое интересное - всё есть в манах!

"FreeBSD, VLAN и untagged-пакеты"
Отправлено Gaidamak , 07-Фев-09 00:22

>Самое интересное - всё есть в манах!
Для сферических ситуаций в манах и вправду есть все :) Моя конкретная от сферической отличается. Два провайдера приходят на два интерфейса. Выйти наружу они должны через один интерфейс с VLAN-тегами и по пути еще пролезть через файрвол. Не укладжывается в голове все это пока.

"FreeBSD, VLAN и untagged-пакеты"
Отправлено masters , 07-Фев-09 00:40

>>Самое интересное - всё есть в манах!
>
>Для сферических ситуаций в манах и вправду есть все :) Моя конкретная
>от сферической отличается. Два провайдера приходят на два интерфейса. Выйти наружу
>они должны через один интерфейс с VLAN-тегами и по пути еще
>пролезть через файрвол. Не укладжывается в голове все это пока.
Вообще проблемы не вижу, и зачем бридж?
2 сетевухи, фильтруешь от них траффик через файрволл.
На 3й поднимаешь 2 VLAN'а и форвардами кидаешь траффик из первой сетевухи в 1й VLAN, а из 2й - вот 2й VLAN.

"FreeBSD, VLAN и untagged-пакеты"
Отправлено Gaidamak , 07-Фев-09 10:28

Так еще и обратный трафик пропускать таким же макаром надо. И все это без айпишников на интерфейсах.

"FreeBSD, VLAN и untagged-пакеты"
Отправлено Deac , 07-Фев-09 16:53

>>Самое интересное - всё есть в манах!
>
>Для сферических ситуаций в манах и вправду есть все :) Моя конкретная
>от сферической отличается. Два провайдера приходят на два интерфейса. Выйти наружу
>они должны через один интерфейс с VLAN-тегами и по пути еще
>пролезть через файрвол. Не укладжывается в голове все это пока.
В приведённом примере всё именно так и происходит.
Пакеты от 1-го провайдера приходят на em1, попадают в vlan20 через мост и в тэговом виде выходят через em0.
Для 2-го провайдера аналогично через em2 и vlan21 соответственно.
Для firewall-а что vlan, что физическая сетевуха - без разницы.
Если фильтруешь l2, то в начале нужно добавить:
add 0100 allow all from any to any layer2 mac-type vlan via em0

"FreeBSD, VLAN и untagged-пакеты"
Отправлено Gaidamak , 07-Фев-09 17:45

По факту заработало так:
cloned_interfaces="bridge0 bridge1 vlan2 vlan3"
ifconfig_vlan2="vlan 2 vlandev em2 up"
ifconfig_vlan3="vlan 3 vlandev em2 up"
ifconfig_bridge0="addm vlan3 addm em3 up"
ifconfig_bridge1="addm vlan2 addm em1 up"
ifconfig_em1="up"
ifconfig_em2="up"
ifconfig_em3="up"
Вопрос - а будет ли работать, если это все в один бридж засандалить? Не хочется snort два раза запускать.

"FreeBSD, VLAN и untagged-пакеты"
Отправлено Deac , 07-Фев-09 18:01

>[оверквотинг удален]
>ifconfig_vlan2="vlan 2 vlandev em2 up"
>ifconfig_vlan3="vlan 3 vlandev em2 up"
>ifconfig_bridge0="addm vlan3 addm em3 up"
>ifconfig_bridge1="addm vlan2 addm em1 up"
>ifconfig_em1="up"
>ifconfig_em2="up"
>ifconfig_em3="up"
>
>Вопрос - а будет ли работать, если это все в один бридж
>засандалить? Не хочется snort два раза запускать.
Поздравляю!
В один бридж НЕЛЬЗЯ, почему - подумай сам.
В манах не "сферические" случаи, а наиболее типичные, такие, например, как твой.