Jump to content
Калькуляторы

tagged untagged vlan помощь новичку

Есть тестовый стенд: 
маршрутизатор на freebsd 
на нем настроены интерфейсы 
rl0 = 10.2.6.186 (uplink) 
vlan201=192.168.201.1 
vlan202=192.168.202.2 
vlan201 и vlan 202 ходят через ste0 
ste0 патчкордом подключен в 24 порт коммутатора d-link des 3200 

задача чтобы на этом коммутаторе первый порт работал через vlan 201, второй через vlan 202, те чтобы трафик через эти порты был полностью изолирован друг от друга 

делал следующее: 
удалил vlan default 
VID 201: untagged port 1, tagged port 24 
VID 202: untagged port 2, tagged port 24 

но не работает с тегированным портом, если сделать 24-ый порт нетегированным, то трафик нормально проходит через коммутатор. Где ошибка? Прошу прощения если вопрос глупейший, только начал изучение 802.1q

Share this post


Link to post
Share on other sites

show config current_config

 

# VLAN

enable pvid auto_assign
config vlan default delete 1-28
config vlan default add untagged 3-16,18-28
config vlan default advertisement enable
create vlan vlan201 tag 201
config vlan vlan201 add tagged 17
config vlan vlan201 add untagged 1 advertisement disable
create vlan vlan202 tag 202
config vlan vlan202 add tagged 17
config vlan vlan202 add untagged 2 advertisement disable
disable qinq
disable gvrp
config gvrp nni_bpdu_addr dot1d
disable vlan_trunk
config port_vlan 1 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 201
config port_vlan 2 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 202
config port_vlan 3-28 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 1
 

 ifconfig

 

ste0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
ether 10:fe:ed:06:d0:af
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
 

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2008<VLAN_MTU,WOL_MAGIC>
ether 00:50:fc:e4:85:cc
inet 10.2.6.186 netmask 0xffffff00 broadcast 10.2.6.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
 

lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet 127.0.0.1 netmask 0xff000000
groups: lo
 

pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33160
groups: pflog
 

pfsync0: flags=0<> metric 0 mtu 1500
groups: pfsync
syncpeer: 0.0.0.0 maxupd: 128 defer: off
 

vlan201: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 10:fe:ed:06:d0:af
inet 192.168.201.1 netmask 0xffffff00 broadcast 192.168.201.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan: 201 vlanpcp: 0 parent interface: ste0
groups: vlan
 

vlan202: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 10:fe:ed:06:d0:af
inet 192.168.202.1 netmask 0xffffff00 broadcast 192.168.202.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan: 202 vlanpcp: 0 parent interface: ste0
groups: vlan

Share this post


Link to post
Share on other sites

Что-то у вас одно другому не соответствует..

19 часов назад, ytil сказал:

VID 201: untagged port 1, tagged port 24 
VID 202: untagged port 2, tagged port 24 

В конфиге этого нет.

Вот Вы пишете -

19 часов назад, ytil сказал:

ste0 патчкордом подключен в 24 порт коммутатора d-link des 3200 

А по конфигу ste0 просится в 17-й порт. Где правда?

Если всё же ste0 включён в 24-й порт, то в конфиге должно быть

config vlan vlan201 add tagged 24
config vlan vlan202 add tagged 24

 

P.S.

19 часов назад, ytil сказал:

делал следующее: 
удалил vlan default 

vlan default удалить невозможно, из него можно только убрать порты.

Share this post


Link to post
Share on other sites

12 минут назад, ytil сказал:

транковый порт 17, 24 я писал для наглядности, 24 у меня битый на свитче

Гм.. Нет слов.. Цензурных.. :-)

Ладно, проехали..

Так ГДЕ КОНКРЕТНО не ходит трафик при той конфигурации, которую Вы показали?

Между FreeBSD (подключенному к 17 порту) и компом, подключенным к 1, или 2 порту, или между компами, подключенными к этим портам?

Share this post


Link to post
Share on other sites

5 минут назад, AlKov сказал:

Гм.. Нет слов.. Цензурных.. :-)

Ладно, проехали..

Так ГДЕ КОНКРЕТНО не ходит трафик при той конфигурации, которую Вы показали?

Между FreeBSD (подключенному к 17 порту) и компом, подключенным к 1, или 2 порту, или между компами, подключенными к этим портам?

трафика нет от абонента до маршрутизатора, на маршрутизаторе настроен сервер доступа, пппое через тегированный порт не ходит почему-то

 

Share this post


Link to post
Share on other sites

1 час назад, ytil сказал:

трафика нет от абонента до маршрутизатора, на маршрутизаторе настроен сервер доступа, пппое через тегированный порт не ходит почему-то

 

Так трафик перестаёт ходить в PPPoE туннеле?

1. В каком vlan приходит PPPoE на коммутатор? Не в default случаем?

2. На каком интерфейсе поднимаете PPPoE интерфейсы?

Если на vlan201 и vlan202, то эти vlan должны быть прокинуты до абонентов, т.к. PPPoE - это L2

Share this post


Link to post
Share on other sites

1 час назад, AlKov сказал:

Так трафик перестаёт ходить в PPPoE туннеле?

1. В каком vlan приходит PPPoE на коммутатор? Не в default случаем?

2. На каком интерфейсе поднимаете PPPoE интерфейсы?

Если на vlan201 и vlan202, то эти vlan должны быть прокинуты до абонентов, т.к. PPPoE - это L2

1. во вланах 201 и 202 как я подразумеваю (не уверен, все настройки выложил в теме).

2. Вообще ВПН интерфейс на сервере доступа это ste0

 

это настройки демона mpd

      create bundle template ste0
      set iface idle 0
      set iface enable tcpmssfix
      set iface up-script "/usr/abills/libexec/linkupdown mpd up"
      set iface down-script "/usr/abills/libexec/linkupdown mpd down"
      set ipcp dns 8.8.8.8
      set ipcp ranges 10.10.0.213 ippool pool1
      create link template ste0 P
      set link action bundle ste0
      set pppoe iface ste0
      set link enable incoming
server_common:
      set link no pap eap
      set link yes chap-md5
      set link keep-alive 20 60
      set link enable incoming
      set link no acfcomp protocomp
      load radius

 

трафика нет до сервера доступа. Т.е. грубо говоря ошибка 651 при работе через тегированный vlan,

VPN интерфейс для абонов это ste0

Share this post


Link to post
Share on other sites

21 минуту назад, ytil сказал:

1. во вланах 201 и 202 как я подразумеваю (не уверен, все настройки выложил в теме).

2. Вообще ВПН интерфейс на сервере доступа это ste0

 

это настройки демона mpd


      create bundle template ste0
      set iface idle 0
      set iface enable tcpmssfix
      set iface up-script "/usr/abills/libexec/linkupdown mpd up"
      set iface down-script "/usr/abills/libexec/linkupdown mpd down"
      set ipcp dns 8.8.8.8
      set ipcp ranges 10.10.0.213 ippool pool1
      create link template ste0 P
      set link action bundle ste0
      set pppoe iface ste0
      set link enable incoming
server_common:
      set link no pap eap
      set link yes chap-md5
      set link keep-alive 20 60
      set link enable incoming
      set link no acfcomp protocomp
      load radius

 

трафика нет до сервера доступа. Т.е. грубо говоря ошибка 651 при работе через тегированный vlan,

VPN интерфейс для абонов это ste0

Ну вот и ответ тут (выделил в цитате).

Линковать надо не к ste0, а к vlan интерфейсам. Типа так

#
    create link template vlan201 PPPoE
    set pppoe iface vlan201
    set link enable incoming
#
    create link template vlan202 PPPoE
    set pppoe iface vlan202
    set link enable incoming
#

Share this post


Link to post
Share on other sites

13 минут назад, Ivan_83 сказал:

Так делать нельзя.

Поставьте у себя unbound.

Гм.. Вообще-то, это не я писал, а цитируют меня!

 

Никогда так не делал, поэтому спрошу - а чем чревато "set ipcp dns 8.8.8.8" ? Увеличенным временем отклика, или возможной недоступностью?

И почему unbound, а не bind например?

 

Share this post


Link to post
Share on other sites

3 часа назад, AlKov сказал:

Никогда так не делал, поэтому спрошу - а чем чревато "set ipcp dns 8.8.8.8"

1. Вы сливаете третьей стороне все действия всех пользователей. Это по хлеще зондов в венде, только работает вообще для всех девайсов.

2. Никто не гарантирует что оно будет адекватно отвечать.

 

Бинд - огромная херня, никогда не любил продукцию ISC, им ещё лет 5 доводить их барахло до приличного состояния, до этого они вообще не чесались, просто говнокодили.

Share this post


Link to post
Share on other sites

52 минуты назад, Ivan_83 сказал:

Вы сливаете третьей стороне все действия всех пользователей.

кому нахрен нужны днс ответы юзеров? Да еще и обезличенные

Share this post


Link to post
Share on other sites

3 часа назад, myth сказал:

кому нахрен нужны днс ответы юзеров? Да еще и обезличенные

 

2 часа назад, myth сказал:

что даст инфа гуглу или яндексу, что абстрактный ip 1.2.3.4 ходил в 1-34 на pornhub.com?

Обезличенности там нет, есть обоснованные предположения кто именно куда ходит.

Гуглю это было надо изначально чтобы знать популярные и новые домены.

Однако очень легко узнать кто именно там по порнхабам ходит, особенно если чел залогинен в гугле.

А обычно все с андройдов логинятся, андройд же без гугло учётки вообще кирпич. А оно ещё и к номеру мобилы привязывается теперь.

И даже без андройда, многие имеют учётку в гугле или на них уже есть некий профиль со всямими куками и фигнерпринтами браузера.

 

Share this post


Link to post
Share on other sites

8.8.8.8 там еще потому, что когда стоит анбаунд на 127.0.0.1 у меня почему-то не работает страница заглушка при отрицательном депозите)

Share this post


Link to post
Share on other sites

у меня работает. С анбаундом.

 

6 часов назад, Ivan_83 сказал:

Гуглю это было надо изначально чтобы знать популярные и новые домены.

это разве плохо?

Share this post


Link to post
Share on other sites

20 часов назад, AlKov сказал:

Ну вот и ответ тут (выделил в цитате).

Линковать надо не к ste0, а к vlan интерфейсам. Типа так


#
    create link template vlan201 PPPoE
    set pppoe iface vlan201
    set link enable incoming
#
    create link template vlan202 PPPoE
    set pppoe iface vlan202
    set link enable incoming
#

по идее надо полностью добавлять в конфиг, так не заработало.

#vlan201      
      create bundle template vlan201
      set iface idle 0
      set iface enable tcpmssfix
      set iface up-script "/usr/abills/libexec/linkupdown mpd up"
      set iface down-script "/usr/abills/libexec/linkupdown mpd down"
      set ipcp dns 8.8.8.8
      set ipcp ranges 10.10.0.213 ippool pool1
      create link template vlan201 P
      set link action bundle vlan201
      set pppoe iface vlan201
      set link enable incoming

#vlan202      
      create bundle template vlan202
      set iface idle 0
      set iface enable tcpmssfix
      set iface up-script "/usr/abills/libexec/linkupdown mpd up"
      set iface down-script "/usr/abills/libexec/linkupdown mpd down"
      set ipcp dns 8.8.8.8
      set ipcp ranges 10.10.0.213 ippool pool1
      create link template vlan202 P
      set link action bundle vlan202
      set pppoe iface vlan202
      set link enable incomin

 

 

тут пару вопросов еще осталось:

1. как проверить работу vlan, трафик должен быть полностью изолирован по идее, но абоненты пингуют друг друга без проблем

2. при работе с фаерволом с интерфейсом влан работать как с обычным интерфейсом?

3. самый главный вопрос, на маршрутизаторе нужно создавать все используемые в сети вланы? Т.е. например у меня есть 2 влана на маршрутизаторе 201 и 202, через цепочку из нескольких тегированных портов я хочу  дать определенному абоненту 203 vlan на access порту. Что будет с пакетом от этого абонента когда он дойдет до маршрутизатора на котором 203 влана нет?

Share this post


Link to post
Share on other sites

17 часов назад, AlKov сказал:

Никогда так не делал, поэтому спрошу - а чем чревато "set ipcp dns 8.8.8.8" ?

Не знаю как сейчас, но пару лет назад у гугла был рейт-лимит на кол-во рекурсивных запросов в одного ip. Так что если используется нат (а у тс он используется), то может выйти не хорошо.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.