The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"архитектра VLAN соединений"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"архитектра VLAN соединений"  
Сообщение от Vladymyr email(??) on 05-Июл-08, 12:22 
Никак не могу решить следующую задачу.
Есть 3 свича Catalist 2980G.
Магистральные прорты отпределены в транки.
Есть 2 VLANa: VLAN1 (по умолчанию объеденияет все порты) и VLAN100 (объеденияет пользователей с вирусами на компах). Есть сервер который обеспечивает выход пользователей в инет, он тоже висит на транковом порту.
Между свичами VLAN100 работает и прекрасно ограничивает вирусоносителей в отдельную логическую сеть. Но! хоть на порту который смотрит на сервер и включет транк 1,100 - пользователи с VLAN100 не видят сервера, да и сервер их тоже не видит. Пробовал прописать порт, который смотрит на сервер, в VLAN100 - пользователи которые находились в VLAN100 стали видны, зато все с VLAN1 пропали с поля зрения сервера.

Вопрос: какиеми средствами я могу организовать доступ пользователей с VLAN100 к серверу при условии невидимости их для VLAN1?
Буду признателен за любую инфу по этому вопросу.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "архитектра VLAN соединений"  
Сообщение от Vladymyr email(??) on 05-Июл-08, 12:25 
PS пробовал такое на сервере:

xl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=48<VLAN_MTU,POLLING>
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
vlan1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 1 parent interface: xl1
vlan100: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 100 parent interface: xl1
_______________________________________

Но думаю что-то упустил или вообще начудил совсем не то :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "архитектра VLAN соединений"  
Сообщение от Roman D.S. email on 06-Июл-08, 16:53 
>[оверквотинг удален]
>        inet 192.168.0.1 netmask 0xffffff00
>broadcast 192.168.0.255
>        ether 00:60:08:36:60:3d
>        media: Ethernet autoselect (100baseTX <full-duplex>)
>        status: active
>        vlan: 100 parent interface:
>xl1
>_______________________________________
>
>Но думаю что-то упустил или вообще начудил совсем не то :)

ммм а собственно говоря на что вы рассчитывали прописывая одинаковые ИП адреса на разные субинтерфейсы? Странно что вообще что то работает.
наиболее простой выход это сменить подсети для разных вланов аля
192.168.0.0/24 влан 1 с гейтом 192.168.0.1
и 192.168.1.0/24 влан 100 с гейтов 192.168.1.1

И на сервере запретить трафик между данными подсетями.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "архитектра VLAN соединений"  
Сообщение от Vladymyr email(??) on 05-Июл-08, 12:45 
PSS обнаружил в логах такую строку

kernel: arp: 192.168.0.243 is on xl1 but got reply from 00:14:2a:c0:07:37 on vlan100

предполагаю, что VLAN на FreeBSD работает и принимает что-то от 192.168.0.243
но как заставить FreeBSD выдавать все сервисы системы для VLAN100 ? И не пингается 192.168.0.243 на обычным пингом ни arping

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "архитектра VLAN соединений"  
Сообщение от AlexG email(??) on 07-Июл-08, 22:02 
Представленная в примере конфигурация будет работать с ошибками.
И Roman D.S. прав, обращая внимание на одинаковые адреса на интерфейсах. Насколько я помню правила настройки VLAN на FBSD, физический интерфейс должен оставаться без IP, а сабинтерфейсы настраиваются на свои сети, с разными адресами. То есть правильной была бы конфигурация:
xl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=48<VLAN_MTU,POLLING>
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vlan1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 1 parent interface: xl1
vlan100: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 100 parent interface: xl1

В этом случае необходимо, чтобы клиенты имели адреса в vlan100 из сети 192.168.1.0/24.

Если клиенты перебрасываются между vlan динамически, логично использовать DHCP, тогда перемещаясь между VLAN будет меняться подсеть и адрес defaultroute. Трафик между подсетями при необходимости можно зафильтровать на маршрутизаторе.

Если все же нужно, чтобы подсеть была одна, нужно делать ethernet bridge из FBSD, типа умного коммутатора, который соедияет два VLAN, но с возможностью маршрутизатии трафика во вне и фильтрацией.
http://www.opennet.me/base/net/FilterBridge.txt.html


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "архитектра VLAN соединений"  
Сообщение от Roman D.S. email on 08-Июл-08, 03:23 
>[оверквотинг удален]
>192.168.1.0/24.
>
>Если клиенты перебрасываются между vlan динамически, логично использовать DHCP, тогда перемещаясь между
>VLAN будет меняться подсеть и адрес defaultroute. Трафик между подсетями при
>необходимости можно зафильтровать на маршрутизаторе.
>
>Если все же нужно, чтобы подсеть была одна, нужно делать ethernet bridge
>из FBSD, типа умного коммутатора, который соедияет два VLAN, но с
>возможностью маршрутизатии трафика во вне и фильтрацией.
>http://www.opennet.me/base/net/FilterBridge.txt.html

Немножко неправы относительно Вланов во Фре - на физическом интерфейсе прекрасно живут ИП адреса. С точки зрения Фри как свича Л3 физический интерфейс это Влан1, как я уже выше написал =)
По поводу бриджа идея более чем стоящая - можно прописать ИП только на физ интерфейсе  соединить бриджом его с Влан100 и зафильтроват весь вирусный трафик либо разрешить только нужный =) Также хорошобы зафильтровать весь бродкаст между Влан100 и хл1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "архитектра VLAN соединений"  
Сообщение от Roman D.S. email on 08-Июл-08, 03:08 
Окромя вышенаписаного хотел бы добавить, что абсолютно непонятно для чего Влан1 создавать как субинтерфейс - это же НАТИВНЫЙ (дефолт) влан по умолчанию для каталистов да и вообще =)
Его роль выполняет просто ИП прописанный на интерфейсе вы же не теггируете влан1 на порту куда сервер воткнут? Может конечно туплю с 3-ри ночи но непонятно -)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "архитектра VLAN соединений"  
Сообщение от Владимир email(??) on 08-Июл-08, 14:36 
ситуация такая. Если комп у клиента является распростанителем вирусов - он определяется в Vlan 100 но остаётся с тем-же статическим IP адресом. Клиент должен иметь доступ к странице личной статистики и странице локального сайта. Смена IP клиента не предусматривается.

Пытаюсь создать такое от ARP-sppofing, а то сеть ложится на ура :(

Тоесть насколько я понял, мне нужно поднять мост между VLAN1 и VLAN100 ?
___________________________________________
Sticky Interfaces
If a bridge member interface is marked as sticky then dynamically learned address entries are treated at static once entered into the forwarding cache. Sticky entries are never aged out of the cache or replaced, even if the address is seen on a different interface. This gives the benefit of static address entries without the need to pre-populate the forwarding table, clients learnt on a particular segment of the bridge can not roam to another segment.

Another example of using sticky addresses would be to combine the bridge with VLANs to create a router where customer networks are isolated without wasting IP address space. Consider that CustomerA is on vlan100 and CustomerB is on vlan101. The bridge has the address 192.168.0.1 and is also an internet router.

# ifconfig bridge0 addm vlan100 sticky vlan100 addm vlan101 sticky vlan101
# ifconfig bridge0 inet 192.168.0.1/24
Both clients see 192.168.0.1 as their default gateway and since the bridge cache is sticky they can not spoof the MAC address of the other customer to intercept their traffic.

Any communication between the VLANs can be blocked using private interfaces (or a firewall):

# ifconfig bridge0 private vlan100 private vlan101
The customers are completely isolated from each other, the full /24 address range can be allocated without subnetting.
_______________________________________________________

Как думаете моможет мне эта штука?
Нужно-ли прописывать ip адреса Vlan-ам?
Рабочий конфиг должен быть такой?
xl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=48<VLAN_MTU,POLLING>
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
vlan1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 1 parent interface: xl1
vlan100: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 100 parent interface: xl1

ifconfig bridge0 addm vlan1 sticky vlan1 addm vlan100 sticky vlan100
ifconfig bridge0 inet 192.168.0.1/24

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "архитектра VLAN соединений"  
Сообщение от Владимир email(??) on 08-Июл-08, 21:38 
xl1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=48<VLAN_MTU,POLLING>
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
vlan100: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        ether 00:60:08:36:60:3d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 100 parent interface: xl1
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        ether 42:98:50:32:40:06
        priority 32768 hellotime 2 fwddelay 15 maxage 20
        member: xl1 flags=7<LEARNING,DISCOVER,STP>
                port 2 priority 128 path cost 55 forwarding
        member: vlan100 flags=3<LEARNING,DISCOVER>
__________________________________________________
вот такая у меня получилась рабоя конфигурация. Всё бегает хорошо не считая одного очень неприятного момента. Каждые 5 минут отваливается связь с локальными компами, пока не запустишь arping - оно находит MAC и связь восстанавливается. Может есть предложения как решить этот вопрос без статической таблицы?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "архитектра VLAN соединений"  
Сообщение от Roman D.S. email on 09-Июл-08, 16:34 
>[оверквотинг удален]
>            
>    port 2 priority 128 path cost 55
>forwarding
>        member: vlan100 flags=3<LEARNING,DISCOVER>
>__________________________________________________
>вот такая у меня получилась рабоя конфигурация. Всё бегает хорошо не считая
>одного очень неприятного момента. Каждые 5 минут отваливается связь с локальными
>компами, пока не запустишь arping - оно находит MAC и связь
>восстанавливается. Может есть предложения как решить этот вопрос без статической таблицы?
>

Логи в момент пропадания плз

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "архитектра VLAN соединений"  
Сообщение от Владимир email(??) on 09-Июл-08, 16:57 
>[оверквотинг удален]
>>forwarding
>>        member: vlan100 flags=3<LEARNING,DISCOVER>
>>__________________________________________________
>>вот такая у меня получилась рабоя конфигурация. Всё бегает хорошо не считая
>>одного очень неприятного момента. Каждые 5 минут отваливается связь с локальными
>>компами, пока не запустишь arping - оно находит MAC и связь
>>восстанавливается. Может есть предложения как решить этот вопрос без статической таблицы?
>>
>
>Логи в момент пропадания плз

Нет никаких стандартных логов. message пустой. Я уже прописал portfast на не транковых портах коммутатора. Таже тема - падение связи спустя 3-4 минуты работоспособности. Как только убираю bridge0 с системы - срязу всё восстанавливается. Предполагаю, что приколы с ARP. Но как это затестить - незнаю :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "архитектра VLAN соединений"  
Сообщение от Владимир email(??) on 09-Июл-08, 18:04 
Связь есть:
с первой консоли: ping 192.168.0.163 ответы идут и во второй консоли tcpdump:
192.168.0.1 > 192.168.0.163: ICMP echo request, id 9222, seq 92, length 64
192.168.0.163 > 192.168.0.1: ICMP echo reply, id 9222, seq 92, length 64
arp who-has 192.168.0.1 (00:60:08:36:60:3d) tell 192.168.0.163
_________________________________

Связь отвалилась:
IP 192.168.0.1 > 192.168.0.163: ICMP echo request, id 52742, seq 26, length 64
Сдесь нет ответа, что он получил пакет
arp who-has 192.168.0.1 (сдесь нет MAC) tell 192.168.0.163

Параметры моста:
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 0.0.0.0 netmask 0xffffff00 broadcast 0.0.0.255
        ether da:9f:4f:96:a1:50
        priority 32768 hellotime 2 fwddelay 15 maxage 20
        member: xl1 flags=3<LEARNING,DISCOVER>
        member: vlan100 flags=3<LEARNING,DISCOVER>
---------------------------------------
C коммутатора:

> (enable) ping 192.168.0.163

!!!!!

>show port status 2/18

Port  Name               Status     Vlan       Level  Duplex Speed Type
----- ------------------ ---------- ---------- ------ ------ ----- ------------
2/18                    connected  1          normal a-full a-100 10/100BaseTX

>show spantree 2/18

Edge Port:         Yes, (Configured) Enable
Link Type:         P2P, (Configured) Auto
Port Guard:    Default
Port                     Vlan State         Role Cost      Prio Type
------------------------ ---- ------------- ---- --------- ---- -----------------
2/18                    1    forwarding    DESG        19   32 P2P, Edge

________________________________________
Убираю с моста xl1 и всё начинает замечательно работать
#ifconfig bridge0 deletem xl1
#bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 0.0.0.0 netmask 0xffffff00 broadcast 0.0.0.255
        ether da:9f:4f:96:a1:50
        priority 32768 hellotime 2 fwddelay 15 maxage 20
        member: vlan100 flags=3<LEARNING,DISCOVER>
#ping 192.168.0.163
64 bytes from 192.168.0.163: icmp_seq=0 ttl=128 time=1.830 ms

----------------------------------------
Куда смотреть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру