URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 74790
[ Назад ]

Исходное сообщение
"FreeBSD6.2 vlan + bridge + трабл "

Отправлено trix , 20-Июн-07 22:15 
Всем привет!
Есть свич АТ-8026Т. Сконфгурирован так:
№vlan  TagedPort  UnTagPort VID
2          25        2        2
3          25        3        3
В порт 2 всунут маршрутизатор(10.1.0.1) в порт 3 всунуты юзера(WinXP).
Есть машинка с FreeBSD6.2(всунута в 25 порт em0) в которой вкомпилено в ядре options BRIDGE, device vlan.
Задача обьединить 2 влана посредством прозрачного бриджа для последующей фильтрации.
Делаю:
#ifconfig vlan2 create
#ifconfig vlan3 create
#ifconfig vlan2 vlan 2 vlandev em0
#ifconfig vlan3 vlan 3 vlandev em0
#sysctl net.link.ether.bridge.config=vlan2:20,em1:20,vlan3:30,em2:30
#sysctl net.link.ether.bridge.enable=1
Делаю с машинки юзеров $ping 10.1.0.1(щлюз)-пинга нет.
Делаю(с машинки FreeBSD6.2) #tcpdump -i vlan2 вижу arp запросы и ответы.
Аналогично #tcpdump -i vlan3 - вижу арп запросы и ответы.
Но пинга нет - внешней сети тоже нет у юзеров.
Помогите пожалуйста может я что-то втыкаю:(
Заранее спасибо!  

Содержание

Сообщения в этом обсуждении
"FreeBSD6.2 vlan + bridge + трабл "
Отправлено Slimm , 21-Июн-07 13:42 
sysctl net.link.ether.bridge.config=vlan2, vlan3

но не могу молчать - помоему вся эта конфигурация бред!


"FreeBSD6.2 vlan + bridge + трабл "
Отправлено trix , 21-Июн-07 17:06 
>sysctl net.link.ether.bridge.config=vlan2, vlan3
>
>но не могу молчать - помоему вся эта конфигурация бред!
Что именно?
У меня таких (по 2 влана)влан-бриджей 12 штук.
Надо что бы все они фильтровались.
Обьясняю полную схему.
Есть свич-провайдера(L3) на котором 12 портов моих. На каждом из этих портов висит шлюз для моих сегментов. Порты на этом свиче антагед. На этот свич у меня доступа нет.
Сейчас все юзеры тупо заведены в этот свич. Фильтровать может только провайдер.


Я ставлю свич в котором я отдаю по 1 порту на линки с L3, тоесть 12 портов(по велану(UnTAG) на каждый порт).Еще 12 портов отдаю на юзеров(по (UnTAG)велану на каждый порт).
Для всех этих портов(веланов) есть 1 общий тегированый порт 25. В котором надо связать по 2 велана: шлюз и юзеров одного сегмента. Как решить данное? Помогите пожалуйста.


"FreeBSD6.2 vlan + bridge + трабл "
Отправлено Slimm , 21-Июн-07 18:16 
>>sysctl net.link.ether.bridge.config=vlan2, vlan3
>>
>>но не могу молчать - помоему вся эта конфигурация бред!
>Что именно?
>У меня таких (по 2 влана)влан-бриджей 12 штук.
>Надо что бы все они фильтровались.
>Обьясняю полную схему.
>Есть свич-провайдера(L3) на котором 12 портов моих. На каждом из этих портов
>висит шлюз для моих сегментов. Порты на этом свиче антагед. На
>этот свич у меня доступа нет.
>Сейчас все юзеры тупо заведены в этот свич. Фильтровать может только провайдер.
>
>
>
>Я ставлю свич в котором я отдаю по 1 порту на линки
>с L3, тоесть 12 портов(по велану(UnTAG) на каждый порт).Еще 12 портов
>отдаю на юзеров(по (UnTAG)велану на каждый порт).
>Для всех этих портов(веланов) есть 1 общий тегированый порт 25. В котором
>надо связать по 2 велана: шлюз и юзеров одного сегмента. Как
>решить данное? Помогите пожалуйста.
>
ЖЕСТЬ :) чего только не бывает ...

я так понял что Вам надо устроить независимый бриджинг между 12 пар VLAN, это так?
на сколько я понимаю это не возможно, между двумя vlan-интерфейсами будет работать, а вот больше и независимо - нет

а это действительно надо, вы уверены что комп с freeBSD справиться с такой фильтрацией, если да то делаю вывод что объем трафика мал и такая схема для его обработки просто головная боль

надо рассмотреть более простые варианты, например установка маршрутизатора этих сегментов у себя, а не на стороне провайдера


"FreeBSD6.2 vlan + bridge + трабл "
Отправлено trix , 21-Июн-07 20:01 

>ЖЕСТЬ :) чего только не бывает ...
Да согласен!
>надо рассмотреть более простые варианты, например установка маршрутизатора этих сегментов у себя,
>а не на стороне провайдера
провайдер не завяжет мои маршрутизаторы на себя. Не хочет он этого.
А фильтрация мне нужна очень.
У мены есть 2 порта в АТ-8026Т гигабит. тегир. порты на них завязую. В серваке(Фря 6.2) тоже есть 2-е гигабитные сетевухи. 12(веланов) портов на 1-у сетевуху
и 12(веланов) на другую сетевуху. В принципе справится по щирине канала должно.
Вопрос как это связать? Я ума не приложу почему обьединяю 2 влана в бридж, компы друг друга не видят(с разных веланов). Что нужно что б хотябы 2 влана связать в бридж в этой схеме на фре?
Я перегуглил дофига. А толку никакого. В man bridge пример его использовал тоже нифига. Почему веланы друг друга не видят в бридже? Дофига статей про обьединение в бридж веланов.
Посоветуйте пожалуйста что-то! Может натыкались на статью хорошую в этом направлении. Буду очень признателен.

"FreeBSD6.2 vlan + bridge + трабл "
Отправлено Slimm , 21-Июн-07 20:51 
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ne...

у Вас все так?


"FreeBSD6.2 vlan + bridge + трабл "
Отправлено Slimm , 21-Июн-07 21:05 
вот еще статейка
https://www.opennet.ru/base/net/FilterBridge.txt.html


"FreeBSD6.2 vlan + bridge + трабл "
Отправлено trix , 22-Июн-07 21:24 
>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ne...
>
>у Вас все так?
# sysctl -a | grep bridge
bridge_rtnod:     32,        0,      0,      0,        0
net.link.ether.bridge.version: 031224
net.link.ether.bridge.debug: 0
net.link.ether.bridge.ipf: 0
net.link.ether.bridge.ipfw: 1
net.link.ether.bridge.copy: 0
net.link.ether.bridge.ipfw_drop: 0
net.link.ether.bridge.ipfw_collisions: 0
net.link.ether.bridge.packets: 0
net.link.ether.bridge.dropped: 0
net.link.ether.bridge.predict: 0
net.link.ether.bridge.enable: 1
net.link.ether.bridge.config: vlan2,vlan3
net.link.ether.bridge_ipf: 0
net.link.ether.bridge_ipfw: 1
net.link.ether.bridge_cfg: vlan2,vlan3
net.link.bridge.pfil_onlyip: 1
net.link.bridge.ipfw_arp: 0
net.link.bridge.pfil_bridge: 1
net.link.bridge.pfil_member: 1
net.link.bridge.ipfw: 0
dev.pcib.0.%desc: ACPI Host-PCI bridge
dev.pcib.1.%desc: PCI-PCI bridge
dev.agp.0.%desc: VIA 8377 (Apollo KT400/KT400A/KT600) host to PCI bridge
dev.isab.0.%desc: PCI-ISA bridge

# less /usr/src/sys/i386/conf/GENERIC22.06.07 | grep BRID
options         BRIDGE

# less /usr/src/sys/i386/conf/GENERIC22.06.07 | grep IPF
options IPFIREWALL
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_VERBOSE

Что не так?


"FreeBSD6.2 vlan + bridge + трабл "
Отправлено trix , 23-Июн-07 20:18 
Я понял бридж на 2 уровне работает. А таги добавляются на 3 уровне и убираются тоже на 3-ем. Тоесть в данной схеме пакет не меняет тега попадая на другой велан через мост. Тоесть схема не рабочая:(:(( Нужен свич L3(IP), чтобы связывать веланы с разным VID.
Другого пути я пока не вижу! Может кто-то знает?