Jump to content
Калькуляторы

2x NanoBridge M5, vlan и LLC пакеты

Клиент на ST сидит в vlan 2301

XM.v5.5.6# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             ffff.24a43c8aec20       no              eth0
                                                       ath0.2301
XM.v5.5.6#

Но на AP и вышестоящих коммутаторах видим трафик от клиента вне vlan:

XM.v5.5.6# tcpdump -i ath0 -n -e 'ether src 28:28:5d:6c:57:6b and not vlan'
tcpdump: WARNING: ath0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes
09:46:55.640448 28:28:5d:6c:57:6b > 00:25:90:72:4d:54, 802.3, length 74: LLC, dsap Unknown (0x44) Group, ssap Unknown (0x1a) Command, ctrl 0xe8cd: Supervisory, ?, rcv seq 116, Flags [Command], length 60
09:47:05.877012 28:28:5d:6c:57:6b > 00:25:90:72:4d:54, 802.3, length 74: LLC, dsap Unknown (0x10) Group, ssap Unknown (0x92) Response, ctrl 0xfc20: Information, send seq 16, rcv seq 126, Flags [Response], length 60

На коммутаторе:

Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    24-a4-3c-8a-ec-20           DYNAMIC Hardware Ethernet1/2
1    24-a4-3c-d2-87-2e           DYNAMIC Hardware Ethernet1/2
1    24-a4-3c-d3-87-2e           DYNAMIC Hardware Ethernet1/2
1    28-28-5d-6c-57-6b           DYNAMIC Hardware Ethernet1/2
2301 28-28-5d-6c-57-6b           DYNAMIC Hardware Ethernet1/2

 

Как отключить эту "фичу"?

Share this post


Link to post
Share on other sites

Ну судя по тому, что src mac есть ZyXEL Communications Corporation, гадит какой-то из ваших коммутаторов. Скорее всего такой некий loopback detect.

Share this post


Link to post
Share on other sites

Ну судя по тому, что src mac есть ZyXEL Communications Corporation, гадит какой-то из ваших коммутаторов. Скорее всего такой некий loopback detect.

Нет там коммутаторов, пакеты приходят с клиентского порта, который затем заворачивается 802.1q тэгом. LLC же проходят "насквозь".

Что стоит у клиента - не известно, но судя по MAC OUI - роутер Zyxel. Но сути это не меняет - гадость с порта на канальном уровне пролетает сквозь Ubnt M5.

Share this post


Link to post
Share on other sites

Но на AP и вышестоящих коммутаторах видим трафик от клиента вне vlan:

XM.v5.5.6# tcpdump -i ath0 -n -e 'ether src 28:28:5d:6c:57:6b and not vlan'

Как отключить эту "фичу"?

Никак наверное. На всех моих ubnt с vlan в bridge table светятся маки на wlan0, хотя ни одного бриджа с голым wlan0 нету, все wlan0.xxx тегированные. В принципе есть линки, на которых нетегированных портов нету вообще, но в бридж тейбл что-то есть...

Share this post


Link to post
Share on other sites

TheUser ifconfig покажите ?

wds включен ?

XM.v5.5.6# ifconfig
ath0      Link encap:Ethernet  HWaddr 24:A4:3C:8A:EC:20
         inet addr:10.250.230.23  Bcast:10.250.230.255  Mask:255.255.255.0
         inet6 addr: fe80::26a4:3cff:fe8a:ec20/64 Scope:Link
         UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:36777710 errors:196 dropped:0 overruns:0 frame:0
         TX packets:39595824 errors:1 dropped:1 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:2051944078 (1.9 GiB)  TX bytes:2838397784 (2.6 GiB)

ath0.2301 Link encap:Ethernet  HWaddr 24:A4:3C:8A:EC:20
         UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:36473451 errors:0 dropped:0 overruns:0 frame:0
         TX packets:39571866 errors:0 dropped:224 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:1517420474 (1.4 GiB)  TX bytes:2831856084 (2.6 GiB)

br0       Link encap:Ethernet  HWaddr 24:A4:3C:8A:EC:20
         inet6 addr: fe80::26a4:3cff:fe8a:ec20/64 Scope:Link
         UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:43037 errors:0 dropped:0 overruns:0 frame:0
         TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:1950818 (1.8 MiB)  TX bytes:468 (468.0 B)

eth0      Link encap:Ethernet  HWaddr 24:A4:3C:8B:EC:20
         inet6 addr: fe80::26a4:3cff:fe8b:ec20/64 Scope:Link
         UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:109599194 errors:0 dropped:0 overruns:0 frame:0
         TX packets:116504929 errors:0 dropped:13 overruns:0 carrier:3
         collisions:0 txqueuelen:1000
         RX bytes:308476062 (294.1 MiB)  TX bytes:327480926 (312.3 MiB)

lo        Link encap:Local Loopback
         inet addr:127.0.0.1  Mask:255.0.0.0
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:5 errors:0 dropped:0 overruns:0 frame:0
         TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:440 (440.0 B)  TX bytes:440 (440.0 B)

wifi0     Link encap:Ethernet  HWaddr 24:A4:3C:8A:EC:20
         UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:2286  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:17574 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:500
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
         Interrupt:48 Memory:b0000000-b0010000

XM.v5.5.6#

WDS включен.

Share this post


Link to post
Share on other sites

Как отключить эту "фичу"?

Какую именно "фичу" есть желание отключить ?

 

Но на AP и вышестоящих коммутаторах видим трафик от клиента вне vlan:

Для этого необходимо увидеть настройки вышестоящих АП и коммутаторов, мультикаст отключен на клиенте ?

 

Покажи на клиенте brctl showmacs br0 | grep 28:28:5d:6c:57:6b, на АП brctl showmacs br0 и br**влана.

Share this post


Link to post
Share on other sites

Какую именно "фичу" есть желание отключить ?

Пропуск определенных Ethernet-фреймов с LAN-порта в WAN-порт NanoBridge M5, при условии, что LAN бриджуется с sub-интерфейсом WAN.

 

Для этого необходимо увидеть настройки вышестоящих АП и коммутаторов, мультикаст отключен на клиенте ?

А зачем смотреть AP? Я проблему вижу на ST, куда включен абонент: tcpdump показывает LLC-кадры на WAN, которые прилетели с LAN.

Что вы подразумеваете под "клиентом"? ST - наша точка, граница зоны отвественности - LAN-порт ST.

Клиент вправе подключать любое оборудование, отправлять любые Ethernet-фреймы, бродкаст, мультикаст - что угодно. Наша задача - обеспечить стабильную работу сети, максимально обезопасив сеть от действий любого из абонентов.

 

Покажи на клиенте brctl showmacs br0 | grep 28:28:5d:6c:57:6b, на АП brctl showmacs br0 и br**влана.

ST:

XM.v5.5.6# brctl showmacs br0 | grep 28:28:5d:6c:57:6b
 1     28:28:5d:6c:57:6b       no                 0.00

Про AP не понял что показать.

Может быть вы не совсем поняли как у нас организовано включение? На AP конфигурация simple, без изменения. На ST - на WLAN создается sub-interface ath0.2301, который бриджуется в LAN (eth0). Т.о. на ST в br* только клиент, на WLAN - еще и менеджмент + тегированный трафик клиента + бродкастовый трафик в других vlan.

Edited by TheUser

Share this post


Link to post
Share on other sites

Не заострял внимания наподобную ситуацию. В офисе попробую лабу собрать, проверить.

Сходу в голову приходит мысль попробовать фильтровать через ebtables.

Share this post


Link to post
Share on other sites

Мне с ходу приходят мысли, что данные фреймы прилетают от клиента как надо, в теге, а далее коммутатор, на котором топикстартер маки смотрел, какого-то хрена ретранслирует их обратно, но уже в дефолтном первом влане. К сожалению tcpdump не позволяет увидеть физическое направление трафика, где в нем rx а где tx, фильтры по ether host и т.п. в данном случае не отобразят реальную картину.

Если коммутатор поддерживает acl, то можно попробовать создать правило, запрещающее передачу данных пакетов в влан 1, чтобы развеять теорию.

Других вариантов я не вижу, ибо сам эксплуатирую подобную схему включения клиентов, и пролезания трафика не наблюдаю.

Share this post


Link to post
Share on other sites

Про AP не понял что показать.

brctl show

и

brctl showmacs br0 | grep 28:28:5d:6c:57:6b

и

brctl showmacs br1 | grep 28:28:5d:6c:57:6b

 

На AP конфигурация simple, без изменения.

т.е все в дефолтном бридже br0 ?

 

На ST - на WLAN создается sub-interface ath0.2301, который бриджуется c LAN (eth0).

Исходя из этих данных, у вас один бридж.

Клиент на ST сидит в vlan 2301

XM.v5.5.6# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             ffff.24a43c8aec20       no              eth0
                                                       ath0.2301

Т.о. на ST в br* только клиент

С этим согласен, частично.

 

на WLAN - еще и менеджмент

Откуда он взялся ? исходя из данных выше один бридж.

Share this post


Link to post
Share on other sites

brctl show

и

brctl showmacs br0 | grep 28:28:5d:6c:57:6b

и

brctl showmacs br1 | grep 28:28:5d:6c:57:6b

Это AP.

XM.v5.5.6# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             ffff.24a43cd2872e       no              eth0
                                                       ath0
XM.v5.5.6# brctl showmacs br0 | grep 28:28:5d:6c:57:6b
 2     28:28:5d:6c:57:6b       no                 0.00
XM.v5.5.6# brctl showmacs br1 | grep 28:28:5d:6c:57:6b
brctl: SIOCDEVPRIVATE: No such device

 

т.е все в дефолтном бридже br0 ?

Да, на AP все в br0. Менеджмент AP и ST нэтивом, клиентские виланы - с тэгом.

 

На ST - на WLAN создается sub-interface ath0.2301, который бриджуется c LAN (eth0).

Исходя из этих данных, у вас один бридж.

Да, везде один бридж. На AP он бриджует LAN и WLAN, на ST - WLAN.XXX и LAN.

 

Клиент на ST сидит в vlan 2301

XM.v5.5.6# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             ffff.24a43c8aec20       no              eth0
                                                       ath0.2301

Т.о. на ST в br* только клиент

С этим согласен, частично.

А что еще?

 

на WLAN - еще и менеджмент

Откуда он взялся ? исходя из данных выше один бридж.

В смысле, IP STшки висит на WLAN.

Share this post


Link to post
Share on other sites

В смысле, IP STшки висит на WLAN.

А влан "управления" дефолтный 1 влан :-)

Запхни его в бридж, и тегом принимай ;)

Share this post


Link to post
Share on other sites

А влан "управления" дефолтный 1 влан :-)

Запхни его в бридж, и тегом принимай ;)

А нафига? Иначе никак?

Не первый, а нативный )))

Edited by TheUser

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.