802.1q в Linux

Аватар пользователя Almaty

Решил реализовать 802,1q
ядро у меня 2.6 сооответственно с поддержкой...
начал настраивать.... Процес настройки я опущю дам только ссылку http://gazette.lrn.ru/rus/articles/talelinuxvlan.html

ifconfig показывет eth0 no ip
vlan2 192.168.3.1 netmask 255.255.255.0
vlan3 192.168.3.1 netmask 255.255.255.0

rout 192.168.3.0 255.255.255.0 vlan3
192.168.2.0 255.255.255.0 vlan2

на циске все как в руководстве
interface FastEthernet1/0/10
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 3
switchport mode trunk
duplex full
speed 100
no mdix auto

так же создан interface vlan3 c адресом 192.168.3.2 255.255.255.0
и
interface FastEthernet1/0/11
switchport access vlan 3
switchport trunk encapsulation dot1q
switchport mode access
duplex half
speed 10
no mdix auto

К нему подключена другая тачка с адресом 192.168.3.5
так вот... с
192.168.3.5 я вижу 192.168.3.2 тоесть dot 11
а вот с Linuxa ничерта....
пингую 192.168.3.5/192.168.3.2
ответ от 192.168.3.1 дистинэйшис хост анричибл

Вроде все элементарно но чтото я недоглядел....
Кто нибуть реализовывал такое?

Аватар пользователя sergeil

Re: 802.1q в Linux

первое, что вспомнилось...

Некоторые драйвера сетевых карт в Linux или сами сетевые карты криво работают с vlan. Проблема в том, что размер ethernet-кадра c VLAN немного болье, чем обычный...

Аватар пользователя Almaty

Re: 802.1q в Linux

Здравстуйте
Думаю нет.... сетевые стоят RTL8029 они вроде подходят.....
здесь что-та другое... надо копатся....
сегодня суббота на работе никого нет тишь и благодать для работы....
буду ковырять....

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:
Здравстуйте
Думаю нет.... сетевые стоят RTL8029 они вроде подходят.....
здесь что-та другое... надо копатся....
сегодня суббота на работе никого нет тишь и благодать для работы....
буду ковырять....

FYI, RTL8029 (ne2k-pci.o) - NE2000 совместимая.
Если не ошибаюсь, спецификация NE2000 не соответствует требованиям shared IRQ.

Аватар пользователя Almaty

Re: 802.1q в Linux

если верить вот этому
http://scry.wanfear.com/~greear/vlan.html
то RTL8029(AS) и 8139 подходят......

можно сюда глянуть
http://linux.opennet.ru/base/net/tale_linux_vlan.txt.html
тоже вроде пишут что все пучком

Аватар пользователя Almaty

Re: 802.1q в Linux

Вот ко всему моему разочарованию......
http://www.realtek.com.tw/products/products1-2.aspx?modelid=3

и вот еще
http://www.realtek.com.tw/downloads/downloads1-3.aspx?software=True&refd... (Linux)

Вроде на Выне есть поддержка а вот про Линух ничерта нинаписано

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:
если верить вот этому
http://scry.wanfear.com/~greear/vlan.html
то RTL8029(AS) и 8139 подходят......

можно сюда глянуть
http://linux.opennet.ru/base/net/tale_linux_vlan.txt.html
тоже вроде пишут что все пучком

Я имел ввиду не это. Я обратил Ваше внимание только на то, что если Ваш хост содержит достаточно большее количество подключенных PCI устройств (внешних или внутренних), то весьма вероятно совместное использование зависимых ресурсов PCI двумя или более устройствами PCI (внешними или внутренними).

В современное оборудовании это учитывается изначально. В спецификации NE2000 такие требования не заложены. Будьте внимательны. Эта сетевая карта потенциально небезопасна (возможен аппаратный конфликт). Карты на 8139 умеют сосуществовать в зависимых слотах (на одном IRQ) и делить ресурсы с другими PCI устройствати.

То есть, напрямую к VLAN этот пост отношения не имеет. Он имеет отношение к оборудованию, которое Вы используете. Возможно, offtopic Улыбка

Аватар пользователя kad

Re: 802.1q в Linux

Конфиги cisco судя повсему с catalist'а...
.3.5 - это машинка с чем (OS) ?
Если можно - нарисуйте топологию сети, что есть, что с чем и с какими адресами хочется сделать.
Далее, покажите вывод ip ad, ip ro и cat /proc/net/vlan/config, попробуем разобратся в вашей ситуации...

Аватар пользователя Almaty

Re: 802.1q в Linux

да каталист

192.168.3.5(Linux)=>catalist (dot11)==catalist(dot10)=>192.168.3.1(Linux with 802.1q)
вот вроде и вся сеть....

ip ad
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:40:95:41:77:8d brd ff:ff:ff:ff:ff:ff
inet6 fe80::240:95ff:fe41:778d/64 scope link
valid_lft forever preferred_lft forever

7: vlan3: mtu 1500 qdisc noqueue
link/ether 00:40:95:41:77:8d brd ff:ff:ff:ff:ff:ff
inet 192.168.3.1/24 brd 192.168.3.255 scope global vlan3
inet6 fe80::240:95ff:fe41:778d/64 scope link
valid_lft forever preferred_lft forever

192.168.3.0/24 dev vlan3 proto kernel scope link src 192.168.3.1
192.168.2.0/24 dev vlan2 proto kernel scope link src 192.168.2.1
169.254.0.0/16 dev lo scope link
20.0.0.0/8 dev eth2 proto kernel scope link src 20.20.20.20

тесты провожу пока с vlan3
eth2 link на рабочую машину.. отношения к тестам неимеет

cat /proc/net/vlan/config
VLAN Dev name | VLAN ID
Name-Type: VLAN_NAME_TYPE_PLUS_VID_NO_PAD
vlan2 | 2 | eth0
vlan3 | 3 | eth0

Ну вот вроде и все.....

Аватар пользователя kad

Re: 802.1q в Linux

поторопился с ответом. не заметил одной строки. надо подумать.

посмотрите tcpdump'ом на интерфейсе eth0, на машине .3.1 пакеты формата 802.1q.

второй момент, уберите switchport trunk encapsulation dot1q с FastEthernet1/0/11

плюс, покажите вывод:
show interfaces FastEthernet1/0/11 switchport
и на /10 тоже.

Аватар пользователя Almaty

Re: 802.1q в Linux

я незнаю что случилось но все заработало.......
дело было так....
удалил все к чертавай матери...
перегрузил машину...
занова все сделал....
пишу ping 192.168.3.2 c Linux Vlan(x.x.3.1)
в ответ
[root@localhost ~]# ping -I 192.168.3.1 192.168.3.2
PING 192.168.3.2 (192.168.3.2) from 192.168.3.1 : 56(84) bytes of data.
64 bytes from 192.168.3.2: icmp_seq=0 ttl=255 time=1.46 ms
64 bytes from 192.168.3.2: icmp_seq=1 ttl=255 time=0.401 ms

сижу понять немогу в чем дело.....
опять пишу ping -I 192.168.3.1 192.168.3.2

и опять мне в ответ
64 bytes from 192.168.3.2: icmp_seq=0 ttl=255 time=1.46 ms

у меня сердце в пятки от счастья....
пошол на x.x.3.5 от туда пингую 3,1 ... все работает

мистика... а точне руки кривые....

читал както про Циску... много хорошоге написано...
понравилась одна фраза...
гарантия на Циску 16 лет.....
я чуть не упал....
и примечание... если не человеческий фактор...

ну так вот к чему я это все.....
мы и есть тот человеческий фактор который нет нет мешает....
и верменами роняет все......
да здравствуют наши руки...кривые и в то же время способные все исправить...

Огромное спасибо всем принятым участие...
в моем маленьком "проекте"....
дальше больше.... буду разбиратся почему это все заработало......

и на последок....
что вы думаете о том что бы прикрутить Vlan к IPsec

прокинуть через ipsec vlan или наоборот?

Аватар пользователя Almaty

Re: 802.1q в Linux

sergeil вы куда пропали? вернитесь...
я Вас еще не поблагодарил.....
и еще я Вас не поздравил с наступающим....

Всех Вас поздравляю с наступающим новым годом
здоровья... удачи... счастия...

хоть и баян но все же
http://img344.imageshack.us/img344/7325/20wy.jpg

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:
sergeil вы куда пропали? вернитесь...
я Вас еще не поблагодарил.....
и еще я Вас не поздравил с наступающим....

Всех Вас поздравляю с наступающим новым годом
здоровья... удачи... счастия...

хоть и баян но все же
http://img344.imageshack.us/img344/7325/20wy.jpg

Спасибо...

Я очень рад, что у Вас все получилось...

Даже неочевидный, но положительный результат - это большая удача.
Мои поздравления и ... с новым годом. Пусть новый год будет еще успешнее и продуктивнее, чем этот...

Аватар пользователя Almaty

Re: 802.1q в Linux

Здравствуйте sergeil
Еще раз с прошедшим......

Вот какая мысля мне в голову пришла.....
раз у меня есть ipsec и есть 802.q почему бы мне их не совместить?

есть Linux машина на которой два интерфейса eth0 и eth1
(реализован 802.q и ipsec) на eth0 к нему привязаны виланы vlan1-10
eth1 к которому привязан ipsec (если с klips то интерфейс ipsec0)

как можно несколько виланов с интерфейса eth0 направить на eth1 в ipsec

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:
Здравствуйте sergeil
Еще раз с прошедшим......

Вот какая мысля мне в голову пришла.....
раз у меня есть ipsec и есть 802.q почему бы мне их не совместить?

есть Linux машина на которой два интерфейса eth0 и eth1
(реализован 802.q и ipsec) на eth0 к нему привязаны виланы vlan1-10
eth1 к которому привязан ipsec (если с klips то интерфейс ipsec0)

как можно несколько виланов с интерфейса eth0 направить на eth1 в ipsec

Боюсь, что мы опять вернулись к идее пропустить через IPSEC поток 2-го уровня OSI. Или Вы имели ввиду что-то другое?

Как я прнимаю, если мы рассматриваем только vlan-ы, то интерфейс eth0 можем вообще не рассматривать. VLAN-ы есть полноценные сетевые устройства.

То есть, вопрос можна переформулировать по-другому: Как в IPSec направить IP пакеты от нескольких сетевых устройств. В такой интерпритации не вижу никаких проблем. Каждый сетевой интерфейс в TCP/IP характеризуется своим IP адресом, подмаской сети...

Аватар пользователя Almaty

Re: 802.1q в Linux

Цитата:
Боюсь, что мы опять вернулись к идее пропустить через IPSEC поток 2-го уровня OSI. Или Вы имели ввиду что-то другое?

Да так оно и получилось...
странно.... я наверно сплю и вижу как я их прокину...
меня эта мысль непокидает.

Цитата:
То есть, вопрос можна переформулировать по-другому: Как в IPSec направить IP пакеты от нескольких сетевых устройств. В такой интерпритации не вижу никаких проблем. Каждый сетевой интерфейс в TCP/IP характеризуется своим IP адресом, подмаской сети...

ну да.... эт понятно. Л3 проблем нет

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:

Цитата:
Боюсь, что мы опять вернулись к идее пропустить через IPSEC поток 2-го уровня OSI. Или Вы имели ввиду что-то другое?

Да так оно и получилось...
странно.... я наверно сплю и вижу как я их прокину...
меня эта мысль непокидает.

Чем быстрее Вы привыкнете к тому, что признак VLAN помещается в модифицированный Ethernet frame, тем проще Вам будет. То есть, задача проброски vlan через ipsec сравнима с задачей проброса фреймов ethernet.

Цитата:

Цитата:
То есть, вопрос можна переформулировать по-другому: Как в IPSec направить IP пакеты от нескольких сетевых устройств. В такой интерпритации не вижу никаких проблем. Каждый сетевой интерфейс в TCP/IP характеризуется своим IP адресом, подмаской сети...

ну да.... эт понятно. Л3 проблем нет

Кстати, а если Вам разобать VLAN-ы с этой стороны тунеля и собрать с той? То есть, IP пакеты, полученные из VLAN, отправляются через IPSec, а с той стороны опять отправляются в VLAN с теми-же характеристиками. Если требуется переброска не IP трафика, то можна использовать GRE или какой другой туннель, принимающий не IP траффик.

То есть, общая схема:
vlan1 <-> IP1/MASK1=ipsec0=IP1/MASK1 <-> vlan1
vlan2 <-> IP2/MASK2=ipsec0=IP2/MASK2 <-> vlan2
vlan3 <-> IP3/MASK3=ipsec0=IP3/MASK3 <-> vlan3

Единственное существенное неудобство, которое я наблюдаю от такой замены, это необходимость поддерживать все протоколы, которые курсируют в vlan (IP и НЕ-IP).

То есть, если фреймы VLAN - это товаар в упаковке, то я предлагаю распаковать его перед отправкой и упаковать после трнспортировки.

По-хорошему, рутеры не пересылают фреймы ethernet. Они пересылают пакеты сетевого уровня. Пересылкой фреймов занимаются мосты, свичи и хабы.

Аватар пользователя Almaty

Re: 802.1q в Linux

Цитата:
Кстати, а если Вам разобать VLAN-ы с этой стороны тунеля и собрать с той?

Посредствам чего разобрать? Вот тут для меня дремучий лес
Я чего та недопонимаю или неосознаю в полной мере!

Цитата:
Единственное существенное неудобство, которое я наблюдаю от такой замены, это необходимость поддерживать все протоколы, которые курсируют в vlan (IP и НЕ-IP).

поддерживать все протоколы, которые курсируют в vlan
вот это вообще непонял.... что есть поддерживать.. поддерживать после разборки до сборки?

Аватар пользователя Almaty

Re: 802.1q в Linux

Вот на какую мыслю Вы меня наталкнули, можно сказать дали .... для рывка
посидел подумал поразмышлял... и вот к чему пришол...
вилан попавший в хаб уже не вилан а сеть!
вилан теряет метку что он вилан...

допустим у нас был интерфейс vlan2 (ip address 10.10.10.0/24) мы его роутим на eth0
все кто будет подключен к eth0 (через хаб) будут в сети 10.10.10.0/24

возвращаяс к старому
есть Linux машина на которой два интерфейса eth0 и eth1
(реализован 802.q и ipsec) на eth0 к нему привязаны виланы vlan1-10
eth1 к которому привязан ipsec (если с klips то интерфейс ipsec0)

если направим vlan2 на ipsec0 (это если есть klips) или на eth1
то попадая в интерфейс айписека не подерживающего дот1ку
он должен стать сетью...

Дальше мы его собираем.....
к нам пришла сеть 10.10.10.0/24 мы ее роутим на vlan2 и все это вилан

Я прав....?
или опять не туда пошол.... чего та неучел....

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:

Цитата:
Кстати, а если Вам разобать VLAN-ы с этой стороны тунеля и собрать с той?

Посредствам чего разобрать? Вот тут для меня дремучий лес
Я чего та недопонимаю или неосознаю в полной мере!

К сожалению, я не силен в VLAN, но смысл сказанного мной следующий:

Вы забываете о существовании VLAN как только принимаете от них пакеты сетевого уровня (IP) и отправляете их по IPSec.

С другой стороны IPSec вы воссоздаете все VLAN-ы и маршрутизируете в них полученные пакеты. В какой именно VLAN должен быть отправлен пакет Вы определяете по адресу отправителя (пренадлежности пакета к подсети). По IPSec (или тунелю) идут только пакеты IP, лишенные всяких признаков канального уровня (OSI, level 2), в том числе и признаков VLAN.

vlan1\~~~~~~~~~~~/ vlan1.1
vlan2-|=IP=IPSec=IP=|- vlan2.1
vlan3/~~~~~~~~~~~\ vlan3.1

Цитата:

Цитата:
Единственное существенное неудобство, которое я наблюдаю от такой замены, это необходимость поддерживать все протоколы, которые курсируют в vlan (IP и НЕ-IP).

поддерживать все протоколы, которые курсируют в vlan
вот это вообще непонял.... что есть поддерживать.. поддерживать после разборки до сборки?

Да. Если у Вас используются протоколы, которые не маршрутизируются, то Вам необходмо их корректно перебросить. Например протоколы динамической маршрутизации (OSPF, RIP, ...), не IP протоколы (IPX, ...).
Тогда Вам может оказаться полезным GRE или что-то еще...

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:
Вот на какую мыслю Вы меня наталкнули, можно сказать дали .... для рывка
посидел подумал поразмышлял... и вот к чему пришол...
вилан попавший в хаб уже не вилан а сеть!
вилан теряет метку что он вилан...

А вот здесь я не уверен. HUB пересылает фреймы. В том числе он должен пересылать фреймы с признаком VLAN. Так что, как мне кажется, после прохождения через HUB признак VLAN останется...

Цитата:
допустим у нас был интерфейс vlan2 (ip address 10.10.10.0/24) мы его роутим на eth0. Все, кто будет подключен к eth0 (через хаб) будут в сети 10.10.10.0/24

Не думаю. Иначе целесообразность VLAN просто пропадает. Вы описываете сеть, у каторой на рутере несколько адресов-синонимов. Это далеко не одно и тоже...

Цитата:
если направим vlan2 на ipsec0 (это если есть klips) или на eth1
то попадая в интерфейс айписека не подерживающего дот1ку
он должен стать сетью...

Мы не vlan2 направляем на ipsec. Мы пакеты, пришедшие из сети, подключенной к vlan2 направляем по ipsec0. Вернее, IPSec это делает за нас. Специальная настройка не нужна.

Цитата:
Дальше мы его собираем.....
к нам пришла сеть 10.10.10.0/24 мы ее роутим на vlan2 и все это вилан

Я прав....?
или опять не туда пошол.... чего та неучел....

IMHO, нивзирая на фантастическую интерпритацию, которая категорически не согласовывается с моим пониманием сути вещей, Вы должны получить результат, который мы с Вами ожидаем.
Катается от смеха :friends:

А для того что-бы нам было проще понимать друг друга, я предлагаю Вам почитать что Cisco пишет о VLAN. То есть зачем они нужны и какие задачи решают.

Аватар пользователя Almaty

Re: 802.1q в Linux

Цитата:
А вот здесь я не уверен. HUB пересылает фреймы. В том числе он должен пересылать фреймы с признаком VLAN. Так что, как мне кажется, после прохождения через HUB признак VLAN останется...

Может я и много на себя беру но...
Попробую выдвинуть свою мыслю на этот счет....

что такое вилан.... это лишние 4 байта в пакете....
просто суждение... без глубокого копания...
делаем вывод... хаб незнает что такое вилан и на железячном уровне его режет
ну или если удобно сказать невидит хотя невидит несовсем к месту если невидит значит есть... а они по природе своей здесь немогут быть....
размер имет значение....

Цитата:
Мы не vlan2 направляем на ipsec. Мы пакеты, пришедшие из сети, подключенной к vlan2 направляем по ipsec0. Вернее, IPSec это делает за нас. Специальная настройка не нужна.

если у нас несколька виланов vlan1-10 как пакеты из всех виланов будут направлены
в ipsec0..

Цитата:
IMHO, нивзирая на фантастическую интерпритацию, которая категорически не согласовывается с моим пониманием сути вещей, Вы должны получить результат, который мы с Вами ожидаем.

я постараюсь запомнить это высказывание...
даже заучу...

Аватар пользователя sergeil

Re: 802.1q в Linux

http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=114

Нужно посмотреть что у Вас за хабы и умеют ли они разпознавать VLAN...

Аватар пользователя Almaty

Re: 802.1q в Linux

Цитата:
Нужно посмотреть что у Вас за хабы и умеют ли они разпознавать VLAN...

да нет что Вы... самы обычные хабы..... те хабы к которым мы все привыкли....
без всяких наворотов снмп и дот один ку...

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:

Цитата:
Нужно посмотреть что у Вас за хабы и умеют ли они разпознавать VLAN...

да нет что Вы... самы обычные хабы..... те хабы к которым мы все привыкли....
без всяких наворотов снмп и дот один ку...

Марка?

Аватар пользователя Almaty

Re: 802.1q в Linux

если неошибаюсь то кронос

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:
если неошибаюсь то кронос

Можна конкретнее?

Я-бы хотел ознакомится с описанием этого устройства. Поиск по "HUB кронос" не дал желаемого результата...

Аватар пользователя Almaty

Re: 802.1q в Linux

Цитата:
Almaty писал:
если неошибаюсь то кронос

а вот и ошибся... нифига это не кронос... вообще непонятно что....
вообще нонейм какойта....

пошол на склад взял от него каробку.... с интрукцией....
на коробке ваще ничего ненаписано
на самом хабе 8 port nway swith

Цитата:
Можна конкретнее?
Я-бы хотел ознакомится с описанием этого устройства. Поиск по "HUB кронос" не дал желаемого результата...

в спецификации как и ожидалось IEEE802.3 10Base-T Ethernet
и IEEE802.3u 100Base-TX Fast Ethernet

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:
на коробке ваще ничего ненаписано
на самом хабе 8 port nway swith

Хм...
Вообще-то определенная разница между хабом и свичем есть...

То есть, мы не можем утверждать что это устройство режет или пропусуает признаки VLAN...

Аватар пользователя Almaty

Re: 802.1q в Linux

Цитата:
То есть, мы не можем утверждать что это устройство режет или пропусуает признаки VLAN...

а я бы осмелился сказать что это хаб...
опираясь на цену.. которая составляет 20$

Аватар пользователя sergeil

Re: 802.1q в Linux

Цитата:
Almaty писал:

Цитата:
То есть, мы не можем утверждать что это устройство режет или пропусуает признаки VLAN...

а я бы осмелился сказать что это хаб...
опираясь на цену.. которая составляет 20$

http://hotline.ua/?lev[]=pr&lev[]=193-12-137&v=0&o=0&d=0&p=1
D-LINK DES-1008D 8-port UTP 10/100Mbps Stand-alone Unmanaged – $20
Душевный свитчь, должен Вам доложить. Сам такими пользуюсь. 8 портов, сам определяет тип кабеля (прямой/crossover), если не ошибаюсь, распознает зацикливания и резервные пути. И стоит всего $20 USD.
Улыбка

Так что, давайте не будем гадать. Подключите еще одну машину к свободному порту устройства и посмотрите:
1. Можете ли Вы сниферить чужой траффик (не broadcast)?. На HUB-е это возможно, а на SWITCH-е нет.
2. Есть ли в фреймах ethernet признак VLAN?

Аватар пользователя Almaty

Re: 802.1q в Linux

а я вот что для себя нашол......
http://www.dlink.ru/products/switches.php
вот эти модели.....DES-2108 и DES-2110
очень даже ничё........

думаю они мне подойдут что бы виланы разрулить.... подключив их к linux server 802.1q

Вы с такими не встречались?

RSS-материал