Клуб любителей ASPLinux

Здравстуйте
Думаю нет.... сетевые стоят RTL8029 они вроде подходят.....
здесь что-та другое... надо копатся....
сегодня суббота на работе никого нет тишь и благодать для работы....
буду ковырять....

если верить вот этому
http://scry.wanfear.com/~greear/vlan.html
то RTL8029(AS) и 8139 подходят......

можно сюда глянуть
http://linux.opennet.ru/base/net/tale_linux_vlan.txt.html
тоже вроде пишут что все пучком

Я имел ввиду не это. Я обратил Ваше внимание только на то, что если Ваш хост содержит достаточно большее количество подключенных PCI устройств (внешних или внутренних), то весьма вероятно совместное использование зависимых ресурсов PCI двумя или более устройствами PCI (внешними или внутренними).

В современное оборудовании это учитывается изначально. В спецификации NE2000 такие требования не заложены. Будьте внимательны. Эта сетевая карта потенциально небезопасна (возможен аппаратный конфликт). Карты на 8139 умеют сосуществовать в зависимых слотах (на одном IRQ) и делить ресурсы с другими PCI устройствати.

То есть, напрямую к VLAN этот пост отношения не имеет. Он имеет отношение к оборудованию, которое Вы используете. Возможно, offtopic

Админ админу - друг, товарищ и ман...
(c) Almaty

да каталист

192.168.3.5(Linux)=>catalist (dot11)==catalist(dot10)=>192.168.3.1(Linux with 802.1q)
вот вроде и вся сеть....

ip ad
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:40:95:41:77:8d brd ff:ff:ff:ff:ff:ff
inet6 fe80::240:95ff:fe41:778d/64 scope link
valid_lft forever preferred_lft forever

7: vlan3: mtu 1500 qdisc noqueue
link/ether 00:40:95:41:77:8d brd ff:ff:ff:ff:ff:ff
inet 192.168.3.1/24 brd 192.168.3.255 scope global vlan3
inet6 fe80::240:95ff:fe41:778d/64 scope link
valid_lft forever preferred_lft forever

192.168.3.0/24 dev vlan3 proto kernel scope link src 192.168.3.1
192.168.2.0/24 dev vlan2 proto kernel scope link src 192.168.2.1
169.254.0.0/16 dev lo scope link
20.0.0.0/8 dev eth2 proto kernel scope link src 20.20.20.20

тесты провожу пока с vlan3
eth2 link на рабочую машину.. отношения к тестам неимеет

cat /proc/net/vlan/config
VLAN Dev name | VLAN ID
Name-Type: VLAN_NAME_TYPE_PLUS_VID_NO_PAD
vlan2 | 2 | eth0
vlan3 | 3 | eth0

Ну вот вроде и все.....

я незнаю что случилось но все заработало.......
дело было так....
удалил все к чертавай матери...
перегрузил машину...
занова все сделал....
пишу ping 192.168.3.2 c Linux Vlan(x.x.3.1)
в ответ
[root@localhost ~]# ping -I 192.168.3.1 192.168.3.2
PING 192.168.3.2 (192.168.3.2) from 192.168.3.1 : 56(84) bytes of data.
64 bytes from 192.168.3.2: icmp_seq=0 ttl=255 time=1.46 ms
64 bytes from 192.168.3.2: icmp_seq=1 ttl=255 time=0.401 ms

сижу понять немогу в чем дело.....
опять пишу ping -I 192.168.3.1 192.168.3.2

и опять мне в ответ
64 bytes from 192.168.3.2: icmp_seq=0 ttl=255 time=1.46 ms

у меня сердце в пятки от счастья....
пошол на x.x.3.5 от туда пингую 3,1 ... все работает

мистика... а точне руки кривые....

читал както про Циску... много хорошоге написано...
понравилась одна фраза...
гарантия на Циску 16 лет.....
я чуть не упал....
и примечание... если не человеческий фактор...

ну так вот к чему я это все.....
мы и есть тот человеческий фактор который нет нет мешает....
и верменами роняет все......
да здравствуют наши руки...кривые и в то же время способные все исправить...

Огромное спасибо всем принятым участие...
в моем маленьком "проекте"....
дальше больше.... буду разбиратся почему это все заработало......

и на последок....
что вы думаете о том что бы прикрутить Vlan к IPsec

прокинуть через ipsec vlan или наоборот?

Спасибо...

Я очень рад, что у Вас все получилось...

Даже неочевидный, но положительный результат - это большая удача.
Мои поздравления и ... с новым годом. Пусть новый год будет еще успешнее и продуктивнее, чем этот...

Админ админу - друг, товарищ и ман...
(c) Almaty

Боюсь, что мы опять вернулись к идее пропустить через IPSEC поток 2-го уровня OSI. Или Вы имели ввиду что-то другое?

Как я прнимаю, если мы рассматриваем только vlan-ы, то интерфейс eth0 можем вообще не рассматривать. VLAN-ы есть полноценные сетевые устройства.

То есть, вопрос можна переформулировать по-другому: Как в IPSec направить IP пакеты от нескольких сетевых устройств. В такой интерпритации не вижу никаких проблем. Каждый сетевой интерфейс в TCP/IP характеризуется своим IP адресом, подмаской сети...

Админ админу - друг, товарищ и ман...
(c) Almaty

Чем быстрее Вы привыкнете к тому, что признак VLAN помещается в модифицированный Ethernet frame, тем проще Вам будет. То есть, задача проброски vlan через ipsec сравнима с задачей проброса фреймов ethernet.

Кстати, а если Вам разобать VLAN-ы с этой стороны тунеля и собрать с той? То есть, IP пакеты, полученные из VLAN, отправляются через IPSec, а с той стороны опять отправляются в VLAN с теми-же характеристиками. Если требуется переброска не IP трафика, то можна использовать GRE или какой другой туннель, принимающий не IP траффик.

То есть, общая схема:
vlan1 <-> IP1/MASK1=ipsec0=IP1/MASK1 <-> vlan1
vlan2 <-> IP2/MASK2=ipsec0=IP2/MASK2 <-> vlan2
vlan3 <-> IP3/MASK3=ipsec0=IP3/MASK3 <-> vlan3

Единственное существенное неудобство, которое я наблюдаю от такой замены, это необходимость поддерживать все протоколы, которые курсируют в vlan (IP и НЕ-IP).

То есть, если фреймы VLAN - это товаар в упаковке, то я предлагаю распаковать его перед отправкой и упаковать после трнспортировки.

По-хорошему, рутеры не пересылают фреймы ethernet. Они пересылают пакеты сетевого уровня. Пересылкой фреймов занимаются мосты, свичи и хабы.

Админ админу - друг, товарищ и ман...
(c) Almaty

Вот на какую мыслю Вы меня наталкнули, можно сказать дали .... для рывка
посидел подумал поразмышлял... и вот к чему пришол...
вилан попавший в хаб уже не вилан а сеть!
вилан теряет метку что он вилан...

допустим у нас был интерфейс vlan2 (ip address 10.10.10.0/24) мы его роутим на eth0
все кто будет подключен к eth0 (через хаб) будут в сети 10.10.10.0/24

возвращаяс к старому
есть Linux машина на которой два интерфейса eth0 и eth1
(реализован 802.q и ipsec) на eth0 к нему привязаны виланы vlan1-10
eth1 к которому привязан ipsec (если с klips то интерфейс ipsec0)

если направим vlan2 на ipsec0 (это если есть klips) или на eth1
то попадая в интерфейс айписека не подерживающего дот1ку
он должен стать сетью...

Дальше мы его собираем.....
к нам пришла сеть 10.10.10.0/24 мы ее роутим на vlan2 и все это вилан

Я прав....?
или опять не туда пошол.... чего та неучел....

А вот здесь я не уверен. HUB пересылает фреймы. В том числе он должен пересылать фреймы с признаком VLAN. Так что, как мне кажется, после прохождения через HUB признак VLAN останется...

Не думаю. Иначе целесообразность VLAN просто пропадает. Вы описываете сеть, у каторой на рутере несколько адресов-синонимов. Это далеко не одно и тоже...

Мы не vlan2 направляем на ipsec. Мы пакеты, пришедшие из сети, подключенной к vlan2 направляем по ipsec0. Вернее, IPSec это делает за нас. Специальная настройка не нужна.

IMHO, нивзирая на фантастическую интерпритацию, которая категорически не согласовывается с моим пониманием сути вещей, Вы должны получить результат, который мы с Вами ожидаем.
:friends:

А для того что-бы нам было проще понимать друг друга, я предлагаю Вам почитать что Cisco пишет о VLAN. То есть зачем они нужны и какие задачи решают.

Админ админу - друг, товарищ и ман...
(c) Almaty

http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=114

Нужно посмотреть что у Вас за хабы и умеют ли они разпознавать VLAN...

Админ админу - друг, товарищ и ман...
(c) Almaty

Марка?

Админ админу - друг, товарищ и ман...
(c) Almaty

Можна конкретнее?

Я-бы хотел ознакомится с описанием этого устройства. Поиск по "HUB кронос" не дал желаемого результата...

Админ админу - друг, товарищ и ман...
(c) Almaty

Хм...
Вообще-то определенная разница между хабом и свичем есть...

То есть, мы не можем утверждать что это устройство режет или пропусуает признаки VLAN...

Админ админу - друг, товарищ и ман...
(c) Almaty

http://hotline.ua/?lev[]=pr&lev[]=193-12-137&v=0&o=0&d=0&p=1
D-LINK DES-1008D 8-port UTP 10/100Mbps Stand-alone Unmanaged – $20
Душевный свитчь, должен Вам доложить. Сам такими пользуюсь. 8 портов, сам определяет тип кабеля (прямой/crossover), если не ошибаюсь, распознает зацикливания и резервные пути. И стоит всего $20 USD.

Так что, давайте не будем гадать. Подключите еще одну машину к свободному порту устройства и посмотрите:
1. Можете ли Вы сниферить чужой траффик (не broadcast)?. На HUB-е это возможно, а на SWITCH-е нет.
2. Есть ли в фреймах ethernet признак VLAN?

Админ админу - друг, товарищ и ман...
(c) Almaty