URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94364
[ Назад ]
Исходное сообщение
"XEN прокидывание vlan"
Отправлено madnokia , 12-Фев-13 15:03 
Добрый день!

Есть сервер на котором крутится xen. На нем запущены виртуалки. На одноу из виртуалок не получается прокинуть vlan.

На xen сервере


vlan96---->XEN VLAN96------------->br96------------->VM

       rx on vlan96:        rx on br96:         rx on VM:    
            99999999999              10              10


Я вижу трафик vlan96 на сервере, но на bridge его уже не видно и на VM его соответственно нет.

XEN:~ # uname -a
Linux XEN 3.0.13-0.27-xen #1 SMP Wed Feb 15 13:33:49 UTC 2012 (d73692b) x86_64 x86_64 x86_64 GNU/Linux


XEN:~ # cat /etc/sysconfig/network/ifcfg-br96
BOOTPROTO='static'
BRIDGE='yes'
BRIDGE_FORWARDDELAY='0'
BRIDGE_PORTS='vlan96'
BRIDGE_STP='off'
BROADCAST=''
ETHTOOL_OPTIONS=''
IPADDR=''
MTU=''
NAME=''
NETWORK=''
REMOTE_IPADDR=''
STARTMODE='auto'
USERCONTROL='no'

XEN:~ # cat /etc/sysconfig/network/ifcfg-vlan96
BOOTPROTO='static'
BROADCAST=''
ETHERDEVICE='eth1'
ETHTOOL_OPTIONS=''
IPADDR='0.0.0.0/32'
MTU=''
NAME=''
NETMASK=''
NETWORK=''
REMOTE_IPADDR=''
STARTMODE='auto'
USERCONTROL='no'
VLAN_ID='96'
dom0c:~ #

XEN:~ # brctl show
bridge name     bridge id               STP enabled     interfaces
...
br96            8000.10bf484a94e2       no              tap5.2
                                                        vif5.2
                                                        vlan96
...


XEN:~ # ifconfig vlan96
vlan96    Link encap:Ethernet  HWaddr 10:BF:48:4A:94:E2
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:27800955 errors:0 dropped:0 overruns:0 frame:0
          TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:15899756134 (15163.1 Mb)  TX bytes:2580 (2.5 Kb)

XEN:~ # ifconfig br96
br96      Link encap:Ethernet  HWaddr 10:BF:48:4A:94:E2
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:928 errors:0 dropped:22 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:46484 (45.3 Kb)  TX bytes:0 (0.0 b)

На VM

eth3      Link encap:Ethernet  HWaddr 00:16:3e:3b:0d:a9
          inet6 addr: fe80::216:3eff:fe3b:da9/64 Scope:Link
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:752 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:37816 (36.9 KiB)  TX bytes:468 (468.0 B)
          Interrupt:44 Base address:0xc300

Может кто сталкивался с подобной проблемой?

Содержание
Сообщения в этом обсуждении
"XEN прокидывание vlan"
Отправлено PavelR , 12-Фев-13 19:27 
Попробуй

root@flash:~# sysctl -a |grep brid
net.bridge.bridge-nf-call-arptables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-filter-vlan-tagged = 0
net.bridge.bridge-nf-filter-pppoe-tagged = 0


"XEN прокидывание vlan"
Отправлено madnokia , 13-Фев-13 08:29 
XEN:~# sysctl -a |grep brid
net.bridge.bridge-nf-call-arptables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-filter-vlan-tagged = 0
net.bridge.bridge-nf-filter-pppoe-tagged = 0

Уже попробовал. Ситуацию не изменило.


> Попробуй
> root@flash:~# sysctl -a |grep brid
> net.bridge.bridge-nf-call-arptables = 0
> net.bridge.bridge-nf-call-iptables = 0
> net.bridge.bridge-nf-call-ip6tables = 0
> net.bridge.bridge-nf-filter-vlan-tagged = 0
> net.bridge.bridge-nf-filter-pppoe-tagged = 0

"XEN прокидывание vlan"
Отправлено PavelR , 13-Фев-13 08:51 
А почему у тебя в бридж со стороны виртуалки лупят и  tap5.2 и vif5.2 ? по идее никаких tap быть не должно.
"XEN прокидывание vlan"
Отправлено madnokia , 13-Фев-13 08:54 
Вот чего раскопал:

bridge does not forward all traffic through the bridge

cause: Network bridges will not forward all traffic across the bridge. By definition, a bridge will forward broadcast traffic. Other network traffic is only forwarded when the target (MAC address) is on the the other side of the traffic; if the MAC address is not on the other side of the traffic, then it will not be forwarded.

solution: You will need to set up forwarding rules in "ip tables" to forward all traffic through the bridge. Unfortunately, there are too many variables for this document to detail how to do it. If you need to implement this solution, you may need to contact a Novell Linux partner.

solution: An alternative solution is to do PCI pass through, which is well documented in the Xen documentation. The caveaut, however, is that it is only currently available for para-virtual Domians at this time. Newer chips and motherboards which support the Intel-VTd technology will allow you to use PCI pass through with fully virtual domains.

А у меня как раз такая ситуация. Это трафик на сниффер. Значит надо думать какие правила для iptables надо писать.

"XEN прокидывание vlan"
Отправлено PavelR , 13-Фев-13 17:27 
>[оверквотинг удален]
> many variables for this document to detail how to do it.
> If you need to implement this solution, you may need to
> contact a Novell Linux partner.
> solution: An alternative solution is to do PCI pass through, which is
> well documented in the Xen documentation. The caveaut, however, is that
> it is only currently available for para-virtual Domians at this time.
> Newer chips and motherboards which support the Intel-VTd technology will allow
> you to use PCI pass through with fully virtual domains.
> А у меня как раз такая ситуация. Это трафик на сниффер. Значит
> надо думать какие правила для iptables надо писать.

Сниффер в виртуалку... Неее, это изврат.

"XEN прокидывание vlan"
Отправлено madnokia , 15-Фев-13 08:14 

> Сниффер в виртуалку... Неее, это изврат.

Почему изврат?

"XEN прокидывание vlan"
Отправлено PavelR , 15-Фев-13 09:07 
>> Сниффер в виртуалку... Неее, это изврат.
> Почему изврат?

ну как-то так получается, потому-что.

На xgu.ru был уже дан совет, пробрасывайте в виртуалку физическую карту, но это может потребовать доп поддержки от чипсета МП и проца.

"XEN прокидывание vlan"
Отправлено madnokia , 15-Фев-13 09:16 
>>> Сниффер в виртуалку... Неее, это изврат.
>> Почему изврат?
> ну как-то так получается, потому-что.
> На xgu.ru был уже дан совет, пробрасывайте в виртуалку физическую карту, но
> это может потребовать доп поддержки от чипсета МП и проца.

Попробую поискать этот совет.

А вообще про пробрасывание физической карты вот что написано:
Caution: It should be noted that pci-assignable-add will make a device unusable by Domain 0 until it is returned with pci-assignable-remove. Care should therefore be taken not to do this on a device critical to domain 0′s operation, such as in-use storage controllers, network interfaces, or GPUs. This is not for my case.

А эта карточка мне и в Domain 0 нужна....

"XEN прокидывание vlan"
Отправлено PavelR , 15-Фев-13 10:53 
>[оверквотинг удален]
>> На xgu.ru был уже дан совет, пробрасывайте в виртуалку физическую карту, но
>> это может потребовать доп поддержки от чипсета МП и проца.
> Попробую поискать этот совет.
> А вообще про пробрасывание физической карты вот что написано:
> Caution: It should be noted that pci-assignable-add will make a device unusable
> by Domain 0 until it is returned with pci-assignable-remove. Care should
> therefore be taken not to do this on a device critical
> to domain 0′s operation, such as in-use storage controllers, network interfaces,
> or GPUs. This is not for my case.
> А эта карточка мне и в Domain 0 нужна....

1) можно извратиться, и выпустить Dom0 через DomU.
2) если вам надо, то вы и отдельную сетевую карту поставите.

"XEN прокидывание vlan"
Отправлено madnokia , 15-Фев-13 13:10 
Спасибо.
Если до понедельника не придумаю как все это провернуть, то буду сниффер ставить на Dom0.