TheUser Posted October 3, 2014 · Report post Клиент на ST сидит в vlan 2301 XM.v5.5.6# brctl show bridge name bridge id STP enabled interfaces br0 ffff.24a43c8aec20 no eth0 ath0.2301 XM.v5.5.6# Но на AP и вышестоящих коммутаторах видим трафик от клиента вне vlan: XM.v5.5.6# tcpdump -i ath0 -n -e 'ether src 28:28:5d:6c:57:6b and not vlan' tcpdump: WARNING: ath0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes 09:46:55.640448 28:28:5d:6c:57:6b > 00:25:90:72:4d:54, 802.3, length 74: LLC, dsap Unknown (0x44) Group, ssap Unknown (0x1a) Command, ctrl 0xe8cd: Supervisory, ?, rcv seq 116, Flags [Command], length 60 09:47:05.877012 28:28:5d:6c:57:6b > 00:25:90:72:4d:54, 802.3, length 74: LLC, dsap Unknown (0x10) Group, ssap Unknown (0x92) Response, ctrl 0xfc20: Information, send seq 16, rcv seq 126, Flags [Response], length 60 На коммутаторе: Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 24-a4-3c-8a-ec-20 DYNAMIC Hardware Ethernet1/2 1 24-a4-3c-d2-87-2e DYNAMIC Hardware Ethernet1/2 1 24-a4-3c-d3-87-2e DYNAMIC Hardware Ethernet1/2 1 28-28-5d-6c-57-6b DYNAMIC Hardware Ethernet1/2 2301 28-28-5d-6c-57-6b DYNAMIC Hardware Ethernet1/2 Как отключить эту "фичу"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dsk Posted October 3, 2014 · Report post Ну судя по тому, что src mac есть ZyXEL Communications Corporation, гадит какой-то из ваших коммутаторов. Скорее всего такой некий loopback detect. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted October 3, 2014 · Report post Ну судя по тому, что src mac есть ZyXEL Communications Corporation, гадит какой-то из ваших коммутаторов. Скорее всего такой некий loopback detect. Нет там коммутаторов, пакеты приходят с клиентского порта, который затем заворачивается 802.1q тэгом. LLC же проходят "насквозь". Что стоит у клиента - не известно, но судя по MAC OUI - роутер Zyxel. Но сути это не меняет - гадость с порта на канальном уровне пролетает сквозь Ubnt M5. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dsk Posted October 3, 2014 · Report post А что в tcpdump на клиентском устройстве? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted October 3, 2014 · Report post TheUser ifconfig покажите ? wds включен ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted October 3, 2014 · Report post Но на AP и вышестоящих коммутаторах видим трафик от клиента вне vlan: XM.v5.5.6# tcpdump -i ath0 -n -e 'ether src 28:28:5d:6c:57:6b and not vlan'Как отключить эту "фичу"? Никак наверное. На всех моих ubnt с vlan в bridge table светятся маки на wlan0, хотя ни одного бриджа с голым wlan0 нету, все wlan0.xxx тегированные. В принципе есть линки, на которых нетегированных портов нету вообще, но в бридж тейбл что-то есть... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted October 5, 2014 · Report post TheUser ifconfig покажите ? wds включен ? XM.v5.5.6# ifconfig ath0 Link encap:Ethernet HWaddr 24:A4:3C:8A:EC:20 inet addr:10.250.230.23 Bcast:10.250.230.255 Mask:255.255.255.0 inet6 addr: fe80::26a4:3cff:fe8a:ec20/64 Scope:Link UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1 RX packets:36777710 errors:196 dropped:0 overruns:0 frame:0 TX packets:39595824 errors:1 dropped:1 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2051944078 (1.9 GiB) TX bytes:2838397784 (2.6 GiB) ath0.2301 Link encap:Ethernet HWaddr 24:A4:3C:8A:EC:20 UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST MTU:1500 Metric:1 RX packets:36473451 errors:0 dropped:0 overruns:0 frame:0 TX packets:39571866 errors:0 dropped:224 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:1517420474 (1.4 GiB) TX bytes:2831856084 (2.6 GiB) br0 Link encap:Ethernet HWaddr 24:A4:3C:8A:EC:20 inet6 addr: fe80::26a4:3cff:fe8a:ec20/64 Scope:Link UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1 RX packets:43037 errors:0 dropped:0 overruns:0 frame:0 TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:1950818 (1.8 MiB) TX bytes:468 (468.0 B) eth0 Link encap:Ethernet HWaddr 24:A4:3C:8B:EC:20 inet6 addr: fe80::26a4:3cff:fe8b:ec20/64 Scope:Link UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST MTU:1500 Metric:1 RX packets:109599194 errors:0 dropped:0 overruns:0 frame:0 TX packets:116504929 errors:0 dropped:13 overruns:0 carrier:3 collisions:0 txqueuelen:1000 RX bytes:308476062 (294.1 MiB) TX bytes:327480926 (312.3 MiB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:5 errors:0 dropped:0 overruns:0 frame:0 TX packets:5 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:440 (440.0 B) TX bytes:440 (440.0 B) wifi0 Link encap:Ethernet HWaddr 24:A4:3C:8A:EC:20 UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST MTU:2286 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:17574 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Interrupt:48 Memory:b0000000-b0010000 XM.v5.5.6# WDS включен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted October 6, 2014 · Report post Как отключить эту "фичу"? Какую именно "фичу" есть желание отключить ? Но на AP и вышестоящих коммутаторах видим трафик от клиента вне vlan: Для этого необходимо увидеть настройки вышестоящих АП и коммутаторов, мультикаст отключен на клиенте ? Покажи на клиенте brctl showmacs br0 | grep 28:28:5d:6c:57:6b, на АП brctl showmacs br0 и br**влана. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted October 6, 2014 (edited) · Report post Какую именно "фичу" есть желание отключить ? Пропуск определенных Ethernet-фреймов с LAN-порта в WAN-порт NanoBridge M5, при условии, что LAN бриджуется с sub-интерфейсом WAN. Для этого необходимо увидеть настройки вышестоящих АП и коммутаторов, мультикаст отключен на клиенте ? А зачем смотреть AP? Я проблему вижу на ST, куда включен абонент: tcpdump показывает LLC-кадры на WAN, которые прилетели с LAN. Что вы подразумеваете под "клиентом"? ST - наша точка, граница зоны отвественности - LAN-порт ST. Клиент вправе подключать любое оборудование, отправлять любые Ethernet-фреймы, бродкаст, мультикаст - что угодно. Наша задача - обеспечить стабильную работу сети, максимально обезопасив сеть от действий любого из абонентов. Покажи на клиенте brctl showmacs br0 | grep 28:28:5d:6c:57:6b, на АП brctl showmacs br0 и br**влана. ST: XM.v5.5.6# brctl showmacs br0 | grep 28:28:5d:6c:57:6b 1 28:28:5d:6c:57:6b no 0.00 Про AP не понял что показать. Может быть вы не совсем поняли как у нас организовано включение? На AP конфигурация simple, без изменения. На ST - на WLAN создается sub-interface ath0.2301, который бриджуется в LAN (eth0). Т.о. на ST в br* только клиент, на WLAN - еще и менеджмент + тегированный трафик клиента + бродкастовый трафик в других vlan. Edited October 6, 2014 by TheUser Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Danila Posted October 6, 2014 · Report post Не заострял внимания наподобную ситуацию. В офисе попробую лабу собрать, проверить. Сходу в голову приходит мысль попробовать фильтровать через ebtables. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dsk Posted October 6, 2014 · Report post Мне с ходу приходят мысли, что данные фреймы прилетают от клиента как надо, в теге, а далее коммутатор, на котором топикстартер маки смотрел, какого-то хрена ретранслирует их обратно, но уже в дефолтном первом влане. К сожалению tcpdump не позволяет увидеть физическое направление трафика, где в нем rx а где tx, фильтры по ether host и т.п. в данном случае не отобразят реальную картину. Если коммутатор поддерживает acl, то можно попробовать создать правило, запрещающее передачу данных пакетов в влан 1, чтобы развеять теорию. Других вариантов я не вижу, ибо сам эксплуатирую подобную схему включения клиентов, и пролезания трафика не наблюдаю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 6, 2014 · Report post Client Isolation включен? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted October 7, 2014 · Report post Про AP не понял что показать. brctl show и brctl showmacs br0 | grep 28:28:5d:6c:57:6b и brctl showmacs br1 | grep 28:28:5d:6c:57:6b На AP конфигурация simple, без изменения. т.е все в дефолтном бридже br0 ? На ST - на WLAN создается sub-interface ath0.2301, который бриджуется c LAN (eth0). Исходя из этих данных, у вас один бридж. Клиент на ST сидит в vlan 2301 XM.v5.5.6# brctl show bridge name bridge id STP enabled interfaces br0 ffff.24a43c8aec20 no eth0 ath0.2301 Т.о. на ST в br* только клиент С этим согласен, частично. на WLAN - еще и менеджмент Откуда он взялся ? исходя из данных выше один бридж. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted October 7, 2014 · Report post brctl show и brctl showmacs br0 | grep 28:28:5d:6c:57:6b и brctl showmacs br1 | grep 28:28:5d:6c:57:6b Это AP. XM.v5.5.6# brctl show bridge name bridge id STP enabled interfaces br0 ffff.24a43cd2872e no eth0 ath0 XM.v5.5.6# brctl showmacs br0 | grep 28:28:5d:6c:57:6b 2 28:28:5d:6c:57:6b no 0.00 XM.v5.5.6# brctl showmacs br1 | grep 28:28:5d:6c:57:6b brctl: SIOCDEVPRIVATE: No such device т.е все в дефолтном бридже br0 ? Да, на AP все в br0. Менеджмент AP и ST нэтивом, клиентские виланы - с тэгом. На ST - на WLAN создается sub-interface ath0.2301, который бриджуется c LAN (eth0). Исходя из этих данных, у вас один бридж. Да, везде один бридж. На AP он бриджует LAN и WLAN, на ST - WLAN.XXX и LAN. Клиент на ST сидит в vlan 2301 XM.v5.5.6# brctl show bridge name bridge id STP enabled interfaces br0 ffff.24a43c8aec20 no eth0 ath0.2301 Т.о. на ST в br* только клиент С этим согласен, частично. А что еще? на WLAN - еще и менеджмент Откуда он взялся ? исходя из данных выше один бридж. В смысле, IP STшки висит на WLAN. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted October 7, 2014 · Report post В смысле, IP STшки висит на WLAN. А влан "управления" дефолтный 1 влан :-)Запхни его в бридж, и тегом принимай ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted October 7, 2014 (edited) · Report post А влан "управления" дефолтный 1 влан :-) Запхни его в бридж, и тегом принимай ;) А нафига? Иначе никак? Не первый, а нативный ))) Edited October 7, 2014 by TheUser Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted October 7, 2014 · Report post А нафига? Иначе никак? чтоб было дофига ;)Судя по информации с твоего свича 1влан. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...