ne-vlezay80 Posted January 2, 2018 Posted January 2, 2018 Имеем небольшую сеть из виртуалок. Я на бридже включил stp, и от вроде работает. Делал так: brctl stp port0 on Я запустил виртуалку с двумя интрефейсами. После их добавления в мост, и создания поста в виртуалке, мы получали то, что один порт отключался, а другой нет. Я решил пойти дальше и сделал раздвоенный интерфейс. Делал я так: switch=port0 qemu-system-x86_64 -enable-kvm -net nic,model=virtio,macaddr=56:4f:4b:4b:56:44,vlan=0 -enable-kvm -net nic,model=virtio,macaddr=56:4f:4b:4b:56:44,vlan=0 -net tap,ifname=test0,vlan=0 После сосдания моста на виртуальной машине, начался шторм, который благополучно уложил сеть. Почему stp не сработал и не отрубил порт. И как сделать так, чтобы порт при шторме автоматически вырубался? Вставить ник Quote
myth Posted January 2, 2018 Posted January 2, 2018 26 минут назад, ne-vlezay80 сказал: После сосдания моста на виртуальной машине, начался шторм bpdu где-то потерялись 26 минут назад, ne-vlezay80 сказал: как сделать так, чтобы порт при шторме автоматически вырубался? обеспечить прохождение bpdu между портами Вставить ник Quote
ne-vlezay80 Posted January 2, 2018 Author Posted January 2, 2018 4 минуты назад, myth сказал: bpdu где-то потерялись обеспечить прохождение bpdu между портами А как тогда сделать так, чтобы bdpu ходил между портами. В самой системе реализуется жёсткая привязка ip + mac + port. Это нужно для защиты от подмены ip и спуфинга. А также для защиты от конфликта ip адресов. Вставить ник Quote
myth Posted January 2, 2018 Posted January 2, 2018 Почему бы на l3 это все не сделать? Без бриджей и stp? 3 минуты назад, ne-vlezay80 сказал: В самой системе реализуется жёсткая привязка ip + mac + port 3 минуты назад, ne-vlezay80 сказал: Это нужно для защиты от 4 минуты назад, ne-vlezay80 сказал: спуфинга Каким образом это защитит от подмены src в пакете? Вставить ник Quote
ne-vlezay80 Posted January 2, 2018 Author Posted January 2, 2018 4 минуты назад, myth сказал: Каким образом это защитит от подмены src в пакете? Bridge chain: FORWARD, entries: 1, policy: ACCEPT --logical-in br0 -j SG Bridge chain: OUTPUT, entries: 1, policy: ACCEPT --logical-out br0 -j DROP Bridge chain: SG, entries: 24, policy: DROP -p IPv6 -s 52:54:4c:57:88:28 -i eth8 --ip6-src fe80::5054:4cff:fe57:8828/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-solicitation -j ACCEPT -p IPv6 -s 52:54:4c:57:88:28 -i eth8 --ip6-src fe80::5054:4cff:fe57:8828/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-advertisement -j ACCEPT -p IPv6 -s 52:54:4c:57:88:28 -i eth8 --ip6-src 2a01:d0:c353:180:174::1/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff -j ACCEPT -p ARP -s 52:54:4c:57:88:28 -i eth8 --arp-ip-src 198.18.25.150 -j ACCEPT -p IPv4 -s 52:54:4c:57:88:28 -i eth8 --ip-src 198.18.25.150 -j ACCEPT -p IPv6 -s 52:54:8b:c8:88:10 -i eth7 --ip6-src 2a01:d0:c353:180::174:111/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff -j ACCEPT -p IPv6 -s 52:54:8b:c8:88:10 -i eth7 --ip6-src fe80::5054:8bff:fec8:8810/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-advertisement -j ACCEPT -p IPv6 -s 52:54:8b:c8:88:10 -i eth7 --ip6-src fe80::5054:8bff:fec8:8810/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-solicitation -j ACCEPT -p IPv4 -s 52:54:8b:c8:88:10 -i eth7 --ip-src 198.18.25.20 -j ACCEPT -p ARP -s 52:54:8b:c8:88:10 -i eth7 --arp-ip-src 198.18.25.20 -j ACCEPT -p IPv4 -s 52:54:8b:c8:98:7 -i eth6 --ip-src 198.18.25.19 -j ACCEPT -p ARP -s 52:54:8b:c8:98:7 -i eth6 --arp-ip-src 198.18.25.19 -j ACCEPT -p ARP -s 52:54:0:12:34:56 -i eth4 --arp-ip-src 198.18.25.18 -j ACCEPT -p IPv4 -s 52:54:0:12:34:56 -i eth4 --ip-src 198.18.25.18 -j ACCEPT -p IPv4 -s 52:54:3b:c8:48:8 -i eth5 --ip-src 198.18.25.14 -j ACCEPT -p ARP -s 52:54:3b:c8:48:8 -i eth5 --arp-ip-src 198.18.25.14 -j ACCEPT -p IPv6 -s 0:74:79:5:45:54 --ip6-src 2a01:d0:c353:180::2/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff -j ACCEPT -p IPv6 -s 0:74:79:5:45:54 --ip6-src fe80::274:79ff:fe05:4554/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-advertisement -j ACCEPT -p IPv6 -s 0:74:79:5:45:54 --ip6-src fe80::274:79ff:fe05:4554/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-solicitation -j ACCEPT -p IPv4 -s 0:74:79:5:45:54 --ip-src 198.18.25.2 -j ACCEPT -p ARP -s 0:74:79:5:45:54 --arp-ip-src 198.18.25.2 -j ACCEPT -i vlan10 -j ACCEPT -i vlan11 -j ACCEPT -i eth1 -j ACCEPT Вставить ник Quote
myth Posted January 2, 2018 Posted January 2, 2018 нагрузки дохрена, практического смысла немного. Если это ДЦ, то зачем смотреть мак? Вставить ник Quote
ne-vlezay80 Posted January 2, 2018 Author Posted January 2, 2018 2 минуты назад, myth сказал: нагрузки дохрена, практического смысла немного. Если это ДЦ, то зачем смотреть мак? Чтобы его не подменяли. Вставить ник Quote
myth Posted January 2, 2018 Posted January 2, 2018 нахрена он кому нужен? предположим, bpdu прошли. Клиентос поменял мак, bpdu подропались в фаерволе и идти перестали. Все легло. Профит. Вставить ник Quote
ne-vlezay80 Posted January 2, 2018 Author Posted January 2, 2018 Я вроде разрешил прохождение BDPU пакетов, но не помогло. Сеть опять ложится, и по ней разносятся широковещательные пакеты. Вставить ник Quote
ne-vlezay80 Posted January 2, 2018 Author Posted January 2, 2018 1 минуту назад, myth сказал: где? Между портами. Но не заработало. Вставить ник Quote
ne-vlezay80 Posted January 2, 2018 Author Posted January 2, 2018 Я сейчас попробывал добавить veth интерфейсы в этот мост, stp вроде пишет Topology change. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.