Jump to content

как реализовать forwarding ethernet фреймов (серьёзно)

disappointed
 Share

Recommended Posts

disappointed

disappointed

Posted
Posted (edited)

Есть тупой свич с железно реализованным port based vlan.

В его аплинк порту находится пптп сервер доступа в инет. В протектед портах две подсети, с одной и той же непересекающейся адресацией. Обе видят только пптп но не друг друга. Один сегмент с обычными юзерами на кабеле, второй - вифи точка доступа, закрытая таким образом от всей остальной сети и от её пагубного широковещания.

 

Сейчас назрела необходимость иметь доступ кое-куда в этом изолированном сегменте, с основного.

Как енто можно реализовать. Интерфейс по сути один и тот же у машины. Его видят оба сегмента, нужно сделать что-то типа софтового эмулирования свитчевания. Или я ошибаюсь?

Машина под линухом.

Edited by disappointed
Kirya

Kirya

Posted
Posted (edited)

В протектед портах две подсети, с одной и той же непересекающейся адресацией.

Разъясни plz этот термин.

Edited by Kirya
disappointed

disappointed

Posted
  • Author
Posted (edited)

В одном, просто чисто на уровне ethernet изолированы друг от друга.

Это был ранее один сегмент, но вифи стали трафиком с обычными юзерами в сегменте поджимать по полосе, пришлось изолировать.

Edited by disappointed
A79

A79

Posted
Posted

на подыми на шлюзе третью сеть и и будет тебе щастье.

маршруты не работают назат в туже сеть от которой пришли :)

Kirya

Kirya

Posted
Posted

Не проще ли воткнуть вторую сетевуху, на которую и повесить этот WiFI линк ? После чего поднять bridge между сетевухами. Хотя правильнее расвести их конечно на разные адреса и поднять нормальный роутинг.

ayamb

ayamb

Posted
Posted
...маршруты не работают назат в туже сеть от которой пришли :)
Маршруты работают так, как их настроили (вплоть до более приоритетного Default route по сравнению с интуитивным маршрутом на подсеть с активным IP-интерфейсом, напрямую подключенным к ней). Другое дело - ограничение возможностей произвольных настроек на разных аппаратах. Форвардинг пакетов через одиночный интерфейс между разными хостами одной подсети - это частный случай "однорукой" маршрутизации... Но тут причина в другом (вмеру утрировано):

1. Хост, пытающийся связаться с другим хостом, находящимся с ним в одной подсети EtherNet, не пользуется своей таблицей маршрутизации. Он просто шлет ARP-запрос для определения МАС-адреса хоста с искомым IP в своей подсети, с целью общения с ним напрямую.

2. Рассматриваемая схема подключения сегментов, по-умолчанию, без некоторых донастроек, предсказуемо не позволит обладателю искомого IP ни получить ARP-запрос, ни, тем более, ответить на него.

Возможностей выйти из такого положения, не меняя сетевого пространства, есть масса. Например:

- Попробовать работоспособность общения двух хостов из разных сегментов одной подсети, можно прописав на них статические ARP, указав в них соответсвие IP-адресу своего желаемого "собеседника" MAC-адрес пограничной машины на аплинковом порту.

- Для штатной работы представленной схемы без смены сетевого пространства и(или) без "тонкой" настройки маршрутов, нужно внимательно просмотреть возможности ProxyARP для используемой компиляции Linux.

P.S. На бабайках AT (x900, 9924, 8948, 98xx, 88xx, 87xx, 86xx, RP24, AR7xx, AR4xx,...) эта возможность решается одной единственной командой:

set ip interface=vlan300 proxyarp=local :)

ayamb

ayamb

Posted
Posted
Ну ARP Proxy есть не только в AT если я вас правильно понял по функционалу.
Если под наличием ARP Proxy на маршрутизаторе подразумевается факт его включения или выключения (arpproxy=on|off), то такой функционал есть даже у винды... Но в данном случае этого явно не достаточно. :) Полнообъемное использование сервиса Arp_Proxy на интерфейсе, подразумевает, как некоторые дополнительные параметры атрибута в команде, так и некоторые настройки нескольких смежных с ним сервисов. :)

P.S. (AT) set ip interface=vlan300 proxyarp=on|off|strict|defroute|local gratuitousarp=on|off inversearp=on|off directedbroadcast=on|off :)

A79

A79

Posted
Posted
Не проще ли воткнуть вторую сетевуху, на которую и повесить этот WiFI линк ? После чего поднять bridge между сетевухами.

дело говорит, добавь пару сетевух в системник, копай в сторону bridge и ebtables , просто bridge + iptables не покатит

Fog

Fog

Posted
Posted

ну можно проще. сделай таргет вланы на этом свиче. тогда у тебя в системе будет интерфейсов по количеству портов. а уж между разными интерфейсами намутить что хочеш можно. в том числе и фильтры чтоб в радио лишнее нелезло

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.