[ne-vlezay80]

Имеем небольшую сеть из виртуалок. Я на бридже включил stp, и от вроде работает. Делал так:

brctl stp port0 on

Я запустил виртуалку с двумя интрефейсами. После их добавления в мост, и создания поста в виртуалке, мы получали то, что один порт отключался, а другой нет. Я решил пойти дальше и сделал раздвоенный интерфейс. Делал я так:

switch=port0 qemu-system-x86_64 -enable-kvm -net nic,model=virtio,macaddr=56:4f:4b:4b:56:44,vlan=0 -enable-kvm -net nic,model=virtio,macaddr=56:4f:4b:4b:56:44,vlan=0 -net tap,ifname=test0,vlan=0

После сосдания моста на виртуальной машине, начался шторм, который благополучно уложил сеть. Почему stp не сработал и не отрубил порт. И как сделать так, чтобы порт при шторме автоматически вырубался?

[myth]

26 минут назад, ne-vlezay80 сказал:

После сосдания моста на виртуальной машине, начался шторм

bpdu где-то потерялись

 

26 минут назад, ne-vlezay80 сказал:

как сделать так, чтобы порт при шторме автоматически вырубался?

обеспечить прохождение bpdu между портами

[ne-vlezay80]

4 минуты назад, myth сказал:

bpdu где-то потерялись

 

обеспечить прохождение bpdu между портами

А как тогда сделать так, чтобы bdpu ходил между портами. В самой системе реализуется жёсткая привязка ip + mac + port. Это нужно для защиты от подмены ip и спуфинга.  А также для защиты от конфликта ip адресов.

[myth]

Почему бы на l3 это все не сделать? Без бриджей и stp?

 

3 минуты назад, ne-vlezay80 сказал:

В самой системе реализуется жёсткая привязка ip + mac + port

 

3 минуты назад, ne-vlezay80 сказал:

Это нужно для защиты от

 

4 минуты назад, ne-vlezay80 сказал:

спуфинга

Каким образом это защитит от подмены src в пакете?

[ne-vlezay80]

4 минуты назад, myth сказал:

Каким образом это защитит от подмены src в пакете?

Bridge chain: FORWARD, entries: 1, policy: ACCEPT
--logical-in br0 -j SG

Bridge chain: OUTPUT, entries: 1, policy: ACCEPT
--logical-out br0 -j DROP

Bridge chain: SG, entries: 24, policy: DROP
-p IPv6 -s 52:54:4c:57:88:28 -i eth8 --ip6-src fe80::5054:4cff:fe57:8828/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-solicitation -j ACCEPT
-p IPv6 -s 52:54:4c:57:88:28 -i eth8 --ip6-src fe80::5054:4cff:fe57:8828/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-advertisement -j ACCEPT
-p IPv6 -s 52:54:4c:57:88:28 -i eth8 --ip6-src 2a01:d0:c353:180:174::1/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff -j ACCEPT
-p ARP -s 52:54:4c:57:88:28 -i eth8 --arp-ip-src 198.18.25.150 -j ACCEPT
-p IPv4 -s 52:54:4c:57:88:28 -i eth8 --ip-src 198.18.25.150 -j ACCEPT
-p IPv6 -s 52:54:8b:c8:88:10 -i eth7 --ip6-src 2a01:d0:c353:180::174:111/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff -j ACCEPT
-p IPv6 -s 52:54:8b:c8:88:10 -i eth7 --ip6-src fe80::5054:8bff:fec8:8810/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-advertisement -j ACCEPT
-p IPv6 -s 52:54:8b:c8:88:10 -i eth7 --ip6-src fe80::5054:8bff:fec8:8810/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-solicitation -j ACCEPT
-p IPv4 -s 52:54:8b:c8:88:10 -i eth7 --ip-src 198.18.25.20 -j ACCEPT
-p ARP -s 52:54:8b:c8:88:10 -i eth7 --arp-ip-src 198.18.25.20 -j ACCEPT
-p IPv4 -s 52:54:8b:c8:98:7 -i eth6 --ip-src 198.18.25.19 -j ACCEPT
-p ARP -s 52:54:8b:c8:98:7 -i eth6 --arp-ip-src 198.18.25.19 -j ACCEPT
-p ARP -s 52:54:0:12:34:56 -i eth4 --arp-ip-src 198.18.25.18 -j ACCEPT
-p IPv4 -s 52:54:0:12:34:56 -i eth4 --ip-src 198.18.25.18 -j ACCEPT
-p IPv4 -s 52:54:3b:c8:48:8 -i eth5 --ip-src 198.18.25.14 -j ACCEPT
-p ARP -s 52:54:3b:c8:48:8 -i eth5 --arp-ip-src 198.18.25.14 -j ACCEPT
-p IPv6 -s 0:74:79:5:45:54 --ip6-src 2a01:d0:c353:180::2/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff -j ACCEPT
-p IPv6 -s 0:74:79:5:45:54 --ip6-src fe80::274:79ff:fe05:4554/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-advertisement -j ACCEPT
-p IPv6 -s 0:74:79:5:45:54 --ip6-src fe80::274:79ff:fe05:4554/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-solicitation -j ACCEPT
-p IPv4 -s 0:74:79:5:45:54 --ip-src 198.18.25.2 -j ACCEPT
-p ARP -s 0:74:79:5:45:54 --arp-ip-src 198.18.25.2 -j ACCEPT
-i vlan10 -j ACCEPT
-i vlan11 -j ACCEPT
-i eth1 -j ACCEPT

 

[myth]

нагрузки дохрена, практического смысла немного. Если это ДЦ, то зачем смотреть мак?

[ne-vlezay80]

2 минуты назад, myth сказал:

нагрузки дохрена, практического смысла немного. Если это ДЦ, то зачем смотреть мак?

Чтобы его не подменяли.

[myth]

нахрена он кому нужен?

 

предположим, bpdu прошли. Клиентос поменял мак, bpdu подропались в фаерволе и идти перестали. Все легло. Профит.

[ne-vlezay80]

Я вроде разрешил прохождение BDPU пакетов, но не помогло. Сеть опять ложится, и по ней разносятся широковещательные пакеты.

[myth]

где?

[ne-vlezay80]

1 минуту назад, myth сказал:

где?

Между портами. Но не заработало.

[myth]

http://xgu.ru/wiki/STP

[ne-vlezay80]

Я сейчас попробывал добавить veth интерфейсы в этот мост, stp вроде пишет Topology change.