Сегментация готовой сети

Все остальное

Сегментация готовой сети

Сообщение buryanov » 17 июл 2010, 23:08

Думал, куда написать в сети или фрю, всётаки решил писать сюда
Есть сеть 10.4/16, шлюз
Код: Выделить всё
FreeBSD 8.0-STABLE #0: Mon Apr 12 22:11:13 EEST 2010
в ней есть сервера отделов, AD, и тд, менять адресное пространсво не представляется возможным. Появилась необходимость разбить сеть на несколько сегментов. Решил всё сделать спомощью bridge & vlan. Свитч Linksys SRW2048 и для опытов также есть sps224g4
Как хотелось, чтобы было:
1.png
на фре поднят бридж
Код: Выделить всё
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        member: vlan7 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
        member: fxp0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
PC1 в дефолтном vlan, а РС2 в 7. на РС2 я запускаю dhcpclient, получаю адрес и всё, больше ничего не ходит, на интерфейсе(fxp0,bridge0,vlan7) я вижу только arp запросы. Если не поднимать бридж, а влану дать адрес, и РС2 дать адрес из другой подсети соответственно - то всё работает, свитч настроен правильно. Если я делаю мост на 2-х физических интерфейсах роутера (РС2 <-> карта роутера)- то всё работает. Насколько я понял, проблема заключается в накойто неправильной работе vlan & bridge.

вопрос №2
как сделать с помощью ipfw, чтобы PC1 мог инициировать сесию с РС2, например обращение к веб серверу на рс2, а вот РС2 не мог обратится к рс1(быть инициатором сесии), например тоже обращение к веб серверу
Аватара пользователя
buryanov
новичок
 
Сообщения: 25
Зарегистрирован: 29 апр 2009, 18:32

Re: Сегментация готовой сети

Сообщение Андрей » 18 июл 2010, 21:54

На форуме есть не плохая тема по виланам. :)
buryanov писал(а):Если не поднимать бридж, а влану дать адрес, и РС2 дать адрес из другой подсети соответственно - то всё работает, свитч настроен правильно.
Если я правильно понял, то это коммутация.
Для решения сей проблемы Вам понадобится :
на фре:
сетевая карта, которая понимает что такое виланы и тегированные фреймы (ставите её на роутер с фрей);
настроить адрессное пространство для виланов.
На свитче:
указать тегированный порт;
Указать нетегированные порты, сделать их членами разных виланов.

Затем организовать линки и смотреть что и куда ходит.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Сегментация готовой сети

Сообщение buryanov » 18 июл 2010, 23:06

У меня на этой карте поднято с десяток vlan уже и всё работает, с проблемой я столкнулся, когда мне понадобилось поднять бридж между физ. интерфейсом и влином на этом же интерфейсе.
Сделал по другому, на другом интерфейсе, я поднял влан и отдал его на свитч другой - всё работает. Заметил, я могу поднять бридж между несколькими физ или влан интерфейсами, но при условии, если влан и физ на одной карте - то кроме получения адреса по dhcp больше ничего не ходит. Кто тупит, фря или свитч понять не могу. В логах ни на фре ни на свиче я ничего не вижу, по этому поводу. Как одно из предположений - ктото начинает тупить, я думаю, всётаки свитч, когда видит на 2х разных интерфейсах 2 одинаковых мака.
Аватара пользователя
buryanov
новичок
 
Сообщения: 25
Зарегистрирован: 29 апр 2009, 18:32

Re: Сегментация готовой сети

Сообщение Андрей » 19 июл 2010, 06:04

buryanov писал(а):Заметил, я могу поднять бридж между несколькими физ или влан интерфейсами, но при условии, если влан и физ на одной карте - то кроме получения адреса по dhcp больше ничего не ходит.

А оно надо? Поднимаем на свитче 2 вилана: 1 и 7. В 1 вилан 1 машину, в 7 - другую. Ну и далее по накатаной - тегированные порты и т.п.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Сегментация готовой сети

Сообщение root » 19 июл 2010, 08:44

Андрей писал(а):А оно надо? Поднимаем на свитче 2 вилана: 1 и 7. В 1 вилан 1 машину, в 7 - другую. Ну и далее по накатаной - тегированные порты и т.п.

он же написал, что:
buryanov писал(а):Есть сеть 10.4/16
buryanov писал(а):менять адресное пространсво не представляется возможным

buryanov писал(а):Появилась необходимость разбить сеть на несколько сегментов

т.е. IP сетка одна

buryanov
все же самым правильным вариантом было бы разделить по вланам и в каждом влане свое адресное пространство
сам таких схем не поднимал никогда, т.к. всегда был приверженцем правильных решений :)

поднимая bridge, то по сути, ты снова соединяешь два влана в один, только через роутер. соответственно это не сегментация, а тоже самое что и было до этого, все в одном влане

покажи вывод
Код: Выделить всё
ifconfig -a
с роутера
и таблицу маков со свича
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Сегментация готовой сети

Сообщение buryanov » 19 июл 2010, 09:52

root писал(а):поднимая bridge, то по сути, ты снова соединяешь два влана в один, только через роутер. соответственно это не сегментация, а тоже самое что и было до этого, все в одном влане
зато я могу сделать
Код: Выделить всё
ipfw add deny all from any to any via vlan7
таблицу маков нормально вытянуто со свича не получается, поэтому проведу лабу с использованием 224g4(у него cli есть) и тогда отпишусь по макам, Интерфейсы щас отстроен по другому, поэтому смысла его пока нет ifconfig
Аватара пользователя
buryanov
новичок
 
Сообщения: 25
Зарегистрирован: 29 апр 2009, 18:32


Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 19