Subnets.ru

[buryanov]

Думал, куда написать в сети или фрю, всётаки решил писать сюда
Есть сеть 10.4/16, шлюз

Код: Выделить всё

FreeBSD 8.0-STABLE #0: Mon Apr 12 22:11:13 EEST 2010

в ней есть сервера отделов, AD, и тд, менять адресное пространсво не представляется возможным. Появилась необходимость разбить сеть на несколько сегментов. Решил всё сделать спомощью bridge & vlan. Свитч Linksys SRW2048 и для опытов также есть sps224g4
Как хотелось, чтобы было:

на фре поднят бридж

Код: Выделить всё

bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        member: vlan7 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
        member: fxp0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>

PC1 в дефолтном vlan, а РС2 в 7. на РС2 я запускаю dhcpclient, получаю адрес и всё, больше ничего не ходит, на интерфейсе(fxp0,bridge0,vlan7) я вижу только arp запросы. Если не поднимать бридж, а влану дать адрес, и РС2 дать адрес из другой подсети соответственно - то всё работает, свитч настроен правильно. Если я делаю мост на 2-х физических интерфейсах роутера (РС2 <-> карта роутера)- то всё работает. Насколько я понял, проблема заключается в накойто неправильной работе vlan & bridge.

вопрос №2
как сделать с помощью ipfw, чтобы PC1 мог инициировать сесию с РС2, например обращение к веб серверу на рс2, а вот РС2 не мог обратится к рс1(быть инициатором сесии), например тоже обращение к веб серверу

[Андрей]

На форуме есть не плохая тема по виланам.

Если не поднимать бридж, а влану дать адрес, и РС2 дать адрес из другой подсети соответственно - то всё работает, свитч настроен правильно.

Если я правильно понял, то это коммутация.
Для решения сей проблемы Вам понадобится :
на фре:
сетевая карта, которая понимает что такое виланы и тегированные фреймы (ставите её на роутер с фрей);
настроить адрессное пространство для виланов.
На свитче:
указать тегированный порт;
Указать нетегированные порты, сделать их членами разных виланов.

Затем организовать линки и смотреть что и куда ходит.

[buryanov]

У меня на этой карте поднято с десяток vlan уже и всё работает, с проблемой я столкнулся, когда мне понадобилось поднять бридж между физ. интерфейсом и влином на этом же интерфейсе.
Сделал по другому, на другом интерфейсе, я поднял влан и отдал его на свитч другой - всё работает. Заметил, я могу поднять бридж между несколькими физ или влан интерфейсами, но при условии, если влан и физ на одной карте - то кроме получения адреса по dhcp больше ничего не ходит. Кто тупит, фря или свитч понять не могу. В логах ни на фре ни на свиче я ничего не вижу, по этому поводу. Как одно из предположений - ктото начинает тупить, я думаю, всётаки свитч, когда видит на 2х разных интерфейсах 2 одинаковых мака.

[Андрей]

Заметил, я могу поднять бридж между несколькими физ или влан интерфейсами, но при условии, если влан и физ на одной карте - то кроме получения адреса по dhcp больше ничего не ходит.

А оно надо? Поднимаем на свитче 2 вилана: 1 и 7. В 1 вилан 1 машину, в 7 - другую. Ну и далее по накатаной - тегированные порты и т.п.

[root]

А оно надо? Поднимаем на свитче 2 вилана: 1 и 7. В 1 вилан 1 машину, в 7 - другую. Ну и далее по накатаной - тегированные порты и т.п.

он же написал, что:

Есть сеть 10.4/16

менять адресное пространсво не представляется возможным

Появилась необходимость разбить сеть на несколько сегментов

т.е. IP сетка одна

buryanov
все же самым правильным вариантом было бы разделить по вланам и в каждом влане свое адресное пространство
сам таких схем не поднимал никогда, т.к. всегда был приверженцем правильных решений

поднимая bridge, то по сути, ты снова соединяешь два влана в один, только через роутер. соответственно это не сегментация, а тоже самое что и было до этого, все в одном влане

покажи вывод

Код: Выделить всё

ifconfig -a

с роутера
и таблицу маков со свича

[buryanov]

поднимая bridge, то по сути, ты снова соединяешь два влана в один, только через роутер. соответственно это не сегментация, а тоже самое что и было до этого, все в одном влане

зато я могу сделать

Код: Выделить всё

ipfw add deny all from any to any via vlan7

таблицу маков нормально вытянуто со свича не получается, поэтому проведу лабу с использованием 224g4(у него cli есть) и тогда отпишусь по макам, Интерфейсы щас отстроен по другому, поэтому смысла его пока нет ifconfig