Перейти к содержимому
Калькуляторы

2x NanoBridge M5, vlan и LLC пакеты

Клиент на ST сидит в vlan 2301

XM.v5.5.6# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             ffff.24a43c8aec20       no              eth0
                                                       ath0.2301
XM.v5.5.6#

Но на AP и вышестоящих коммутаторах видим трафик от клиента вне vlan:

XM.v5.5.6# tcpdump -i ath0 -n -e 'ether src 28:28:5d:6c:57:6b and not vlan'
tcpdump: WARNING: ath0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes
09:46:55.640448 28:28:5d:6c:57:6b > 00:25:90:72:4d:54, 802.3, length 74: LLC, dsap Unknown (0x44) Group, ssap Unknown (0x1a) Command, ctrl 0xe8cd: Supervisory, ?, rcv seq 116, Flags [Command], length 60
09:47:05.877012 28:28:5d:6c:57:6b > 00:25:90:72:4d:54, 802.3, length 74: LLC, dsap Unknown (0x10) Group, ssap Unknown (0x92) Response, ctrl 0xfc20: Information, send seq 16, rcv seq 126, Flags [Response], length 60

На коммутаторе:

Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    24-a4-3c-8a-ec-20           DYNAMIC Hardware Ethernet1/2
1    24-a4-3c-d2-87-2e           DYNAMIC Hardware Ethernet1/2
1    24-a4-3c-d3-87-2e           DYNAMIC Hardware Ethernet1/2
1    28-28-5d-6c-57-6b           DYNAMIC Hardware Ethernet1/2
2301 28-28-5d-6c-57-6b           DYNAMIC Hardware Ethernet1/2

 

Как отключить эту "фичу"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну судя по тому, что src mac есть ZyXEL Communications Corporation, гадит какой-то из ваших коммутаторов. Скорее всего такой некий loopback detect.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну судя по тому, что src mac есть ZyXEL Communications Corporation, гадит какой-то из ваших коммутаторов. Скорее всего такой некий loopback detect.

Нет там коммутаторов, пакеты приходят с клиентского порта, который затем заворачивается 802.1q тэгом. LLC же проходят "насквозь".

Что стоит у клиента - не известно, но судя по MAC OUI - роутер Zyxel. Но сути это не меняет - гадость с порта на канальном уровне пролетает сквозь Ubnt M5.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но на AP и вышестоящих коммутаторах видим трафик от клиента вне vlan:

XM.v5.5.6# tcpdump -i ath0 -n -e 'ether src 28:28:5d:6c:57:6b and not vlan'

Как отключить эту "фичу"?

Никак наверное. На всех моих ubnt с vlan в bridge table светятся маки на wlan0, хотя ни одного бриджа с голым wlan0 нету, все wlan0.xxx тегированные. В принципе есть линки, на которых нетегированных портов нету вообще, но в бридж тейбл что-то есть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

TheUser ifconfig покажите ?

wds включен ?

XM.v5.5.6# ifconfig
ath0      Link encap:Ethernet  HWaddr 24:A4:3C:8A:EC:20
         inet addr:10.250.230.23  Bcast:10.250.230.255  Mask:255.255.255.0
         inet6 addr: fe80::26a4:3cff:fe8a:ec20/64 Scope:Link
         UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:36777710 errors:196 dropped:0 overruns:0 frame:0
         TX packets:39595824 errors:1 dropped:1 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:2051944078 (1.9 GiB)  TX bytes:2838397784 (2.6 GiB)

ath0.2301 Link encap:Ethernet  HWaddr 24:A4:3C:8A:EC:20
         UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:36473451 errors:0 dropped:0 overruns:0 frame:0
         TX packets:39571866 errors:0 dropped:224 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:1517420474 (1.4 GiB)  TX bytes:2831856084 (2.6 GiB)

br0       Link encap:Ethernet  HWaddr 24:A4:3C:8A:EC:20
         inet6 addr: fe80::26a4:3cff:fe8a:ec20/64 Scope:Link
         UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:43037 errors:0 dropped:0 overruns:0 frame:0
         TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:1950818 (1.8 MiB)  TX bytes:468 (468.0 B)

eth0      Link encap:Ethernet  HWaddr 24:A4:3C:8B:EC:20
         inet6 addr: fe80::26a4:3cff:fe8b:ec20/64 Scope:Link
         UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:109599194 errors:0 dropped:0 overruns:0 frame:0
         TX packets:116504929 errors:0 dropped:13 overruns:0 carrier:3
         collisions:0 txqueuelen:1000
         RX bytes:308476062 (294.1 MiB)  TX bytes:327480926 (312.3 MiB)

lo        Link encap:Local Loopback
         inet addr:127.0.0.1  Mask:255.0.0.0
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:5 errors:0 dropped:0 overruns:0 frame:0
         TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:440 (440.0 B)  TX bytes:440 (440.0 B)

wifi0     Link encap:Ethernet  HWaddr 24:A4:3C:8A:EC:20
         UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:2286  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:17574 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:500
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
         Interrupt:48 Memory:b0000000-b0010000

XM.v5.5.6#

WDS включен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как отключить эту "фичу"?

Какую именно "фичу" есть желание отключить ?

 

Но на AP и вышестоящих коммутаторах видим трафик от клиента вне vlan:

Для этого необходимо увидеть настройки вышестоящих АП и коммутаторов, мультикаст отключен на клиенте ?

 

Покажи на клиенте brctl showmacs br0 | grep 28:28:5d:6c:57:6b, на АП brctl showmacs br0 и br**влана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какую именно "фичу" есть желание отключить ?

Пропуск определенных Ethernet-фреймов с LAN-порта в WAN-порт NanoBridge M5, при условии, что LAN бриджуется с sub-интерфейсом WAN.

 

Для этого необходимо увидеть настройки вышестоящих АП и коммутаторов, мультикаст отключен на клиенте ?

А зачем смотреть AP? Я проблему вижу на ST, куда включен абонент: tcpdump показывает LLC-кадры на WAN, которые прилетели с LAN.

Что вы подразумеваете под "клиентом"? ST - наша точка, граница зоны отвественности - LAN-порт ST.

Клиент вправе подключать любое оборудование, отправлять любые Ethernet-фреймы, бродкаст, мультикаст - что угодно. Наша задача - обеспечить стабильную работу сети, максимально обезопасив сеть от действий любого из абонентов.

 

Покажи на клиенте brctl showmacs br0 | grep 28:28:5d:6c:57:6b, на АП brctl showmacs br0 и br**влана.

ST:

XM.v5.5.6# brctl showmacs br0 | grep 28:28:5d:6c:57:6b
 1     28:28:5d:6c:57:6b       no                 0.00

Про AP не понял что показать.

Может быть вы не совсем поняли как у нас организовано включение? На AP конфигурация simple, без изменения. На ST - на WLAN создается sub-interface ath0.2301, который бриджуется в LAN (eth0). Т.о. на ST в br* только клиент, на WLAN - еще и менеджмент + тегированный трафик клиента + бродкастовый трафик в других vlan.

Изменено пользователем TheUser

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не заострял внимания наподобную ситуацию. В офисе попробую лабу собрать, проверить.

Сходу в голову приходит мысль попробовать фильтровать через ebtables.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне с ходу приходят мысли, что данные фреймы прилетают от клиента как надо, в теге, а далее коммутатор, на котором топикстартер маки смотрел, какого-то хрена ретранслирует их обратно, но уже в дефолтном первом влане. К сожалению tcpdump не позволяет увидеть физическое направление трафика, где в нем rx а где tx, фильтры по ether host и т.п. в данном случае не отобразят реальную картину.

Если коммутатор поддерживает acl, то можно попробовать создать правило, запрещающее передачу данных пакетов в влан 1, чтобы развеять теорию.

Других вариантов я не вижу, ибо сам эксплуатирую подобную схему включения клиентов, и пролезания трафика не наблюдаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про AP не понял что показать.

brctl show

и

brctl showmacs br0 | grep 28:28:5d:6c:57:6b

и

brctl showmacs br1 | grep 28:28:5d:6c:57:6b

 

На AP конфигурация simple, без изменения.

т.е все в дефолтном бридже br0 ?

 

На ST - на WLAN создается sub-interface ath0.2301, который бриджуется c LAN (eth0).

Исходя из этих данных, у вас один бридж.

Клиент на ST сидит в vlan 2301

XM.v5.5.6# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             ffff.24a43c8aec20       no              eth0
                                                       ath0.2301

Т.о. на ST в br* только клиент

С этим согласен, частично.

 

на WLAN - еще и менеджмент

Откуда он взялся ? исходя из данных выше один бридж.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

brctl show

и

brctl showmacs br0 | grep 28:28:5d:6c:57:6b

и

brctl showmacs br1 | grep 28:28:5d:6c:57:6b

Это AP.

XM.v5.5.6# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             ffff.24a43cd2872e       no              eth0
                                                       ath0
XM.v5.5.6# brctl showmacs br0 | grep 28:28:5d:6c:57:6b
 2     28:28:5d:6c:57:6b       no                 0.00
XM.v5.5.6# brctl showmacs br1 | grep 28:28:5d:6c:57:6b
brctl: SIOCDEVPRIVATE: No such device

 

т.е все в дефолтном бридже br0 ?

Да, на AP все в br0. Менеджмент AP и ST нэтивом, клиентские виланы - с тэгом.

 

На ST - на WLAN создается sub-interface ath0.2301, который бриджуется c LAN (eth0).

Исходя из этих данных, у вас один бридж.

Да, везде один бридж. На AP он бриджует LAN и WLAN, на ST - WLAN.XXX и LAN.

 

Клиент на ST сидит в vlan 2301

XM.v5.5.6# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             ffff.24a43c8aec20       no              eth0
                                                       ath0.2301

Т.о. на ST в br* только клиент

С этим согласен, частично.

А что еще?

 

на WLAN - еще и менеджмент

Откуда он взялся ? исходя из данных выше один бридж.

В смысле, IP STшки висит на WLAN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В смысле, IP STшки висит на WLAN.

А влан "управления" дефолтный 1 влан :-)

Запхни его в бридж, и тегом принимай ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А влан "управления" дефолтный 1 влан :-)

Запхни его в бридж, и тегом принимай ;)

А нафига? Иначе никак?

Не первый, а нативный )))

Изменено пользователем TheUser

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А нафига? Иначе никак?

чтоб было дофига ;)

Судя по информации с твоего свича 1влан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.