ne-vlezay80 Опубликовано 2 января, 2018 · Жалоба Имеем небольшую сеть из виртуалок. Я на бридже включил stp, и от вроде работает. Делал так: brctl stp port0 on Я запустил виртуалку с двумя интрефейсами. После их добавления в мост, и создания поста в виртуалке, мы получали то, что один порт отключался, а другой нет. Я решил пойти дальше и сделал раздвоенный интерфейс. Делал я так: switch=port0 qemu-system-x86_64 -enable-kvm -net nic,model=virtio,macaddr=56:4f:4b:4b:56:44,vlan=0 -enable-kvm -net nic,model=virtio,macaddr=56:4f:4b:4b:56:44,vlan=0 -net tap,ifname=test0,vlan=0 После сосдания моста на виртуальной машине, начался шторм, который благополучно уложил сеть. Почему stp не сработал и не отрубил порт. И как сделать так, чтобы порт при шторме автоматически вырубался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 января, 2018 · Жалоба 26 минут назад, ne-vlezay80 сказал: После сосдания моста на виртуальной машине, начался шторм bpdu где-то потерялись 26 минут назад, ne-vlezay80 сказал: как сделать так, чтобы порт при шторме автоматически вырубался? обеспечить прохождение bpdu между портами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 2 января, 2018 · Жалоба 4 минуты назад, myth сказал: bpdu где-то потерялись обеспечить прохождение bpdu между портами А как тогда сделать так, чтобы bdpu ходил между портами. В самой системе реализуется жёсткая привязка ip + mac + port. Это нужно для защиты от подмены ip и спуфинга. А также для защиты от конфликта ip адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 января, 2018 · Жалоба Почему бы на l3 это все не сделать? Без бриджей и stp? 3 минуты назад, ne-vlezay80 сказал: В самой системе реализуется жёсткая привязка ip + mac + port 3 минуты назад, ne-vlezay80 сказал: Это нужно для защиты от 4 минуты назад, ne-vlezay80 сказал: спуфинга Каким образом это защитит от подмены src в пакете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 2 января, 2018 · Жалоба 4 минуты назад, myth сказал: Каким образом это защитит от подмены src в пакете? Bridge chain: FORWARD, entries: 1, policy: ACCEPT --logical-in br0 -j SG Bridge chain: OUTPUT, entries: 1, policy: ACCEPT --logical-out br0 -j DROP Bridge chain: SG, entries: 24, policy: DROP -p IPv6 -s 52:54:4c:57:88:28 -i eth8 --ip6-src fe80::5054:4cff:fe57:8828/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-solicitation -j ACCEPT -p IPv6 -s 52:54:4c:57:88:28 -i eth8 --ip6-src fe80::5054:4cff:fe57:8828/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-advertisement -j ACCEPT -p IPv6 -s 52:54:4c:57:88:28 -i eth8 --ip6-src 2a01:d0:c353:180:174::1/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff -j ACCEPT -p ARP -s 52:54:4c:57:88:28 -i eth8 --arp-ip-src 198.18.25.150 -j ACCEPT -p IPv4 -s 52:54:4c:57:88:28 -i eth8 --ip-src 198.18.25.150 -j ACCEPT -p IPv6 -s 52:54:8b:c8:88:10 -i eth7 --ip6-src 2a01:d0:c353:180::174:111/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff -j ACCEPT -p IPv6 -s 52:54:8b:c8:88:10 -i eth7 --ip6-src fe80::5054:8bff:fec8:8810/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-advertisement -j ACCEPT -p IPv6 -s 52:54:8b:c8:88:10 -i eth7 --ip6-src fe80::5054:8bff:fec8:8810/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-solicitation -j ACCEPT -p IPv4 -s 52:54:8b:c8:88:10 -i eth7 --ip-src 198.18.25.20 -j ACCEPT -p ARP -s 52:54:8b:c8:88:10 -i eth7 --arp-ip-src 198.18.25.20 -j ACCEPT -p IPv4 -s 52:54:8b:c8:98:7 -i eth6 --ip-src 198.18.25.19 -j ACCEPT -p ARP -s 52:54:8b:c8:98:7 -i eth6 --arp-ip-src 198.18.25.19 -j ACCEPT -p ARP -s 52:54:0:12:34:56 -i eth4 --arp-ip-src 198.18.25.18 -j ACCEPT -p IPv4 -s 52:54:0:12:34:56 -i eth4 --ip-src 198.18.25.18 -j ACCEPT -p IPv4 -s 52:54:3b:c8:48:8 -i eth5 --ip-src 198.18.25.14 -j ACCEPT -p ARP -s 52:54:3b:c8:48:8 -i eth5 --arp-ip-src 198.18.25.14 -j ACCEPT -p IPv6 -s 0:74:79:5:45:54 --ip6-src 2a01:d0:c353:180::2/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff -j ACCEPT -p IPv6 -s 0:74:79:5:45:54 --ip6-src fe80::274:79ff:fe05:4554/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-advertisement -j ACCEPT -p IPv6 -s 0:74:79:5:45:54 --ip6-src fe80::274:79ff:fe05:4554/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --ip6-proto ipv6-icmp --ip6-icmp-type neighbour-solicitation -j ACCEPT -p IPv4 -s 0:74:79:5:45:54 --ip-src 198.18.25.2 -j ACCEPT -p ARP -s 0:74:79:5:45:54 --arp-ip-src 198.18.25.2 -j ACCEPT -i vlan10 -j ACCEPT -i vlan11 -j ACCEPT -i eth1 -j ACCEPT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 января, 2018 · Жалоба нагрузки дохрена, практического смысла немного. Если это ДЦ, то зачем смотреть мак? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 2 января, 2018 · Жалоба 2 минуты назад, myth сказал: нагрузки дохрена, практического смысла немного. Если это ДЦ, то зачем смотреть мак? Чтобы его не подменяли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 января, 2018 · Жалоба нахрена он кому нужен? предположим, bpdu прошли. Клиентос поменял мак, bpdu подропались в фаерволе и идти перестали. Все легло. Профит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 2 января, 2018 · Жалоба Я вроде разрешил прохождение BDPU пакетов, но не помогло. Сеть опять ложится, и по ней разносятся широковещательные пакеты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 января, 2018 · Жалоба где? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 2 января, 2018 · Жалоба 1 минуту назад, myth сказал: где? Между портами. Но не заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 января, 2018 · Жалоба http://xgu.ru/wiki/STP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 2 января, 2018 · Жалоба Я сейчас попробывал добавить veth интерфейсы в этот мост, stp вроде пишет Topology change. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...