https://www.opennet.me/openforum/vsluhforumID6/16671.html Никак не могу решить следующую задачу.<br>Есть 3 свича Catalist 2980G.<br>Магистральные прорты отпределены в транки.<br>Есть 2 VLANa: VLAN1 (по умолчанию объеденияет все порты) и VLAN100 (объеденияет пользователей с вирусами на компах). Есть сервер который обеспечивает выход пользователей в инет, он тоже висит на транковом порту.<br>Между свичами VLAN100 работает и прекрасно ограничивает вирусоносителей в отдельную логическую сеть. Но! хоть на порту который смотрит на сервер и включет транк 1,100 - пользователи с VLAN100 не видят сервера, да и сервер их тоже не видит. Пробовал прописать порт, который смотрит на сервер, в VLAN100 - пользователи которые находились в VLAN100 стали видны, зато все с VLAN1 пропали с поля зрения сервера.<br><br>Вопрос: какиеми средствами я могу организовать доступ пользователей с VLAN100 к серверу при условии невидимости их для VLAN1?<br>Буду признателен за любую инфу по этому вопросу.<br> https://www.opennet.me/openforum/vsluhforumID6/16671.html#11 Wed, 09 Jul 2008 14:04:23 GMT Связь есть:<br>с первой консоли: ping 192.168.0.163 ответы идут и во второй консоли tcpdump:<br>192.168.0.1 &gt; 192.168.0.163: ICMP echo request, id 9222, seq 92, length 64<br>192.168.0.163 &gt; 192.168.0.1: ICMP echo reply, id 9222, seq 92, length 64<br>arp who-has 192.168.0.1 (00:60:08:36:60:3d) tell 192.168.0.163<br>_________________________________<br><br>Связь отвалилась:<br>IP 192.168.0.1 &gt; 192.168.0.163: ICMP echo request, id 52742, seq 26, length 64<br>Сдесь нет ответа, что он получил пакет<br>arp who-has 192.168.0.1 (сдесь нет MAC) tell 192.168.0.163<br><br>Параметры моста:<br>bridge0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500<br> inet 0.0.0.0 netmask 0xffffff00 broadcast 0.0.0.255<br> ether da:9f:4f:96:a1:50<br> priority 32768 hellotime 2 fwddelay 15 maxage 20<br> member: xl1 flags=3&lt;LEARNING,DISCOVER&gt;<br> member: vlan100 flags=3&lt;LEARNING,DISCOVER&gt;<br>---------------------------------------<br>C коммутатора:<br><br>&gt; (enable) ping 192.168.0.163<br><br>!!!!!<br><br>&gt;show port status 2/18<br><br>Port Name https://www.opennet.me/openforum/vsluhforumID6/16671.html#10 Wed, 09 Jul 2008 12:57:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;forwarding <br>&gt;&gt; member: vlan100 flags=3&lt;LEARNING,DISCOVER&gt;<br>&gt;&gt;__________________________________________________ <br>&gt;&gt;вот такая у меня получилась рабоя конфигурация. Всё бегает хорошо не считая <br>&gt;&gt;одного очень неприятного момента. Каждые 5 минут отваливается связь с локальными <br>&gt;&gt;компами, пока не запустишь arping - оно находит MAC и связь <br>&gt;&gt;восстанавливается. Может есть предложения как решить этот вопрос без статической таблицы? <br>&gt;&gt;<br>&gt;<br>&gt;Логи в момент пропадания плз <br><br>Нет никаких стандартных логов. message пустой. Я уже прописал portfast на не транковых портах коммутатора. Таже тема - падение связи спустя 3-4 минуты работоспособности. Как только убираю bridge0 с системы - срязу всё восстанавливается. Предполагаю, что приколы с ARP. Но как это затестить - незнаю :(<br> https://www.opennet.me/openforum/vsluhforumID6/16671.html#9 Wed, 09 Jul 2008 12:34:14 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; port 2 priority 128 path cost 55 <br>&gt;forwarding <br>&gt; member: vlan100 flags=3&lt;LEARNING,DISCOVER&gt;<br>&gt;__________________________________________________ <br>&gt;вот такая у меня получилась рабоя конфигурация. Всё бегает хорошо не считая <br>&gt;одного очень неприятного момента. Каждые 5 минут отваливается связь с локальными <br>&gt;компами, пока не запустишь arping - оно находит MAC и связь <br>&gt;восстанавливается. Может есть предложения как решить этот вопрос без статической таблицы? <br>&gt;<br><br>Логи в момент пропадания плз<br> https://www.opennet.me/openforum/vsluhforumID6/16671.html#8 Tue, 08 Jul 2008 17:38:59 GMT xl1: flags=8943&lt;UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST&gt; mtu 1500<br> options=48&lt;VLAN_MTU,POLLING&gt;<br> inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255<br> ether 00:60:08:36:60:3d<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br>plip0: flags=108810&lt;POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT&gt; mtu 1500<br>lo0: flags=8049&lt;UP,LOOPBACK,RUNNING,MULTICAST&gt; mtu 16384<br> inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4<br> inet6 ::1 prefixlen 128<br> inet 127.0.0.1 netmask 0xff000000<br>vlan100: flags=8943&lt;UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST&gt; mtu 1500<br> ether 00:60:08:36:60:3d<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br> vlan: 100 parent interface: xl1<br>bridge0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500<br> ether 42:98:50:32:40:06<br> priority 32768 hellotime 2 fwddelay 15 maxage 20<br> member: xl1 flags=7&lt;LEARNING,DISCOVER,STP&gt;<br> https://www.opennet.me/openforum/vsluhforumID6/16671.html#7 Tue, 08 Jul 2008 10:36:22 GMT ситуация такая. Если комп у клиента является распростанителем вирусов - он определяется в Vlan 100 но остаётся с тем-же статическим IP адресом. Клиент должен иметь доступ к странице личной статистики и странице локального сайта. Смена IP клиента не предусматривается.<br><br>Пытаюсь создать такое от ARP-sppofing, а то сеть ложится на ура :(<br><br>Тоесть насколько я понял, мне нужно поднять мост между VLAN1 и VLAN100 ?<br>___________________________________________<br>Sticky Interfaces<br>If a bridge member interface is marked as sticky then dynamically learned address entries are treated at static once entered into the forwarding cache. Sticky entries are never aged out of the cache or replaced, even if the address is seen on a different interface. This gives the benefit of static address entries without the need to pre-populate the forwarding table, clients learnt on a particular segment of the bridge can not roam to another segment.<br><br>Another example of using sticky addresses would be to combine the bridge with VLANs to https://www.opennet.me/openforum/vsluhforumID6/16671.html#6 Mon, 07 Jul 2008 23:23:23 GMT &gt;[оверквотинг удален]<br>&gt;192.168.1.0/24. <br>&gt;<br>&gt;Если клиенты перебрасываются между vlan динамически, логично использовать DHCP, тогда перемещаясь между <br>&gt;VLAN будет меняться подсеть и адрес defaultroute. Трафик между подсетями при <br>&gt;необходимости можно зафильтровать на маршрутизаторе. <br>&gt;<br>&gt;Если все же нужно, чтобы подсеть была одна, нужно делать ethernet bridge <br>&gt;из FBSD, типа умного коммутатора, который соедияет два VLAN, но с <br>&gt;возможностью маршрутизатии трафика во вне и фильтрацией. <br>&gt;http://www.opennet.ru/base/net/FilterBridge.txt.html <br><br>Немножко неправы относительно Вланов во Фре - на физическом интерфейсе прекрасно живут ИП адреса. С точки зрения Фри как свича Л3 физический интерфейс это Влан1, как я уже выше написал =)<br>По поводу бриджа идея более чем стоящая - можно прописать ИП только на физ интерфейсе соединить бриджом его с Влан100 и зафильтроват весь вирусный трафик либо разрешить только нужный =) Также хорошобы зафильтровать весь бродкаст между Влан100 и хл1<br> https://www.opennet.me/openforum/vsluhforumID6/16671.html#5 Mon, 07 Jul 2008 23:08:16 GMT Окромя вышенаписаного хотел бы добавить, что абсолютно непонятно для чего Влан1 создавать как субинтерфейс - это же НАТИВНЫЙ (дефолт) влан по умолчанию для каталистов да и вообще =)<br>Его роль выполняет просто ИП прописанный на интерфейсе вы же не теггируете влан1 на порту куда сервер воткнут? Может конечно туплю с 3-ри ночи но непонятно -)<br> https://www.opennet.me/openforum/vsluhforumID6/16671.html#4 Mon, 07 Jul 2008 18:02:28 GMT Представленная в примере конфигурация будет работать с ошибками.<br>И Roman D.S. прав, обращая внимание на одинаковые адреса на интерфейсах. Насколько я помню правила настройки VLAN на FBSD, физический интерфейс должен оставаться без IP, а сабинтерфейсы настраиваются на свои сети, с разными адресами. То есть правильной была бы конфигурация:<br>xl1: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500<br> options=48&lt;VLAN_MTU,POLLING&gt;<br> ether 00:60:08:36:60:3d<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br>vlan1: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500<br> inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255<br> ether 00:60:08:36:60:3d<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br> vlan: 1 parent interface: xl1<br>vlan100: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500<br> inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255<br> ether 00:60:08:36 https://www.opennet.me/openforum/vsluhforumID6/16671.html#3 Sun, 06 Jul 2008 12:53:04 GMT &gt;[оверквотинг удален]<br>&gt; inet 192.168.0.1 netmask 0xffffff00 <br>&gt;broadcast 192.168.0.255 <br>&gt; ether 00:60:08:36:60:3d <br>&gt; media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br>&gt; status: active <br>&gt; vlan: 100 parent interface: <br>&gt;xl1 <br>&gt;_______________________________________ <br>&gt;<br>&gt;Но думаю что-то упустил или вообще начудил совсем не то :) <br><br>ммм а собственно говоря на что вы рассчитывали прописывая одинаковые ИП адреса на разные субинтерфейсы? Странно что вообще что то работает. <br>наиболее простой выход это сменить подсети для разных вланов аля<br>192.168.0.0/24 влан 1 с гейтом 192.168.0.1<br>и 192.168.1.0/24 влан 100 с гейтов 192.168.1.1<br><br>И на сервере запретить трафик между данными подсетями.<br>