înregistrare Logare
Puncte:0
avatar Server

Probleme cu VLAN-urile pe Linux. Poate ping gazdele din alte VLAN

drapel cn
jsplat_

Când configurez o adresă IP pe o interfață vlan dintr-o altă subrețea vlan, pot ajunge la acea altă subrețea vlan. Dar nu ar trebui să fie accesibil.

De exemplu:

  • Pe switch, portul este configurat ca etichetat doar cu vlan id 500
  • Pe caseta Linux, interfața eth0.500 cu adresa IP 192.168.10.30/24 poate ping gazdele din subrețeaua 192.168.10.0/24, dar acele gazde sunt în vlan 3000

Nu pot să-mi dau seama ce greșesc. Mă puteți ajuta să rezolv problema, vă rog?

Există o eroare pe caseta Linux:

kernel: pachet primit pe eth0.3000 cu propria adresă ca adresă sursă (adresa: f4:03:43:ba:ca:c1 vlan:0)

STP este dezactivat atât pe switch, cât și pe caseta Linux.

Ce am incercat:

  • rp_filter=1 - nici un efect
  • arp_ignore=1 sau 2 - nici un efect
  • arp_filter=1 - nici un efect

Nu contează dacă este o interfață normală sau o legătură sau o punte, comportamentul este același.

Nu există erori pe Switch.

Nicio rută implicită nu este setată atât pe switch, cât și pe caseta Linux.

În Wireshark, atunci când capturați trafic pe eth0, există o etichetă vlan = 500 pe pachete.

Mulțumesc!

EDITARE 1: Tabel de rutare pe caseta Linux:

192.168.10.0/24 dev eth0.500 proto kernel scope link src 192.168.10.30

EDITARE 2: Diagrama diag1

EDITARE 3: tracepath și ping

tracepath 192.168.10.31
1?: [LOCALHOST] pmtu 1500
1:??? 0,714 ms !H
1:??? 0,516 ms !H
    CV: pmtu 1500

ping -c 2 192.168.10.31
PING 192.168.10.31 (192.168.10.31) 56(84) octeți de date.
64 de octeți de la 192.168.10.31: icmp_seq=1 ttl=64 time=0.230 ms
64 de octeți de la 192.168.10.31: icmp_seq=2 ttl=64 time=0,197 ms

--- 192.168.10.31 statistici ping ---
2 pachete transmise, 2 primite, 0% pierdere de pachete, timp 1059 ms

rtt min/avg/max/mdev = 0,197/0,213/0,230/0,016 ms

EDIT 4: adrese IP

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue stare UNKNOWN grup implicit qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq stare UP grup implicit qlen 1000
    link/ether f4:03:43:ba:ca:c1 brd ff:ff:ff:ff:ff:ff
3: eth0.500@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue stare UP grup implicit qlen 1000
    link/ether f4:03:43:ba:ca:c1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.30/24 domeniu global eth0.500@eth0
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
4: eth0.3000@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue stare UP grup implicit qlen 1000
    link/ether f4:03:43:ba:ca:c1 brd ff:ff:ff:ff:ff:ff
204
0 + 0
drapel in
Gerald Schneider
Pachetele sunt direcționate în altă parte?
0
Răspunde
eKKiM avatar
drapel lr
eKKiM
Puteți adăuga tabelul de rutare?
0
Răspunde
drapel cn
jsplat_
Ruta implicită nu este setată pe caseta Linux și nici rute suplimentare. Switch-ul este Mellanox SN2010M, pe acest comutator rutarea este activată, dar este utilizată doar interfața de management, chiar și nicio adresă IP pe interfețele VLAN. Poate fi Cisco ASA cu interfață intra-interfață activată cu același permis de securitate pentru trafic?
0
Răspunde
drapel cn
jsplat_
@eKKiM adăugat la sfârșitul postării
0
Răspunde
eKKiM avatar
drapel lr
eKKiM
Celelalte gazde din 192.168.10.0/24 în vlan 3000 apar în tabelul dvs. ARP? Poate o diagramă mică cu gazdele, comutatorul și Cisco ASA ar putea fi de asemenea de ajutor!
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
`eth0.500 cu adresa IP 192.168.10.30/24 poate ping gazdele din subrețeaua 192.168.10.0/24` - 10.0/24 ***este*** subrețeaua ***aceeași*** ca 10.0/24. Ce arată `tracepath`?
0
Răspunde
drapel cn
jsplat_
Diagrama @eKKiM la sfârșitul postării, în tabelul arp pot vedea alte gazde dacă dau ping sau ssh în ele.
0
Răspunde
drapel cn
jsplat_
@vidarlo problema este că pot ajunge la alte gazde în vlan diferite cu aceeași subrețea, așa că pot configura adresa IP de la subrețea în vlan 3000 pe interfața cu vlan 500 și pot ajunge la subrețea în vlan 3000. tracepath la sfârșit.
1
Răspunde
eKKiM avatar
drapel lr
eKKiM
Ai ceva configurat pe eth0.3000? În cele din urmă adăugați ieșirea adresă ip? De asemenea, am senzația că ar putea exista și alte rute pe tabelul de rutare pentru celelalte NIC-uri?
0
Răspunde
drapel cn
jsplat_
@eKKiM adrese IP în ultima editare. Tabel de rutare în editarea 1, nu există alte rute.
0
Răspunde
eKKiM avatar
drapel lr
eKKiM
Puteți da ping la gazdă folosind următoarea comandă?: ping -c 2 192.168.10.31 -I eth0.500 De asemenea, dacă eliminați vlan 3000 de pe gazdă, puteți ajunge la celelalte mașini? De asemenea, să trecem la chat pentru a evita spam-ul comentariilor: https://chat.stackexchange.com/rooms/131659/issues-with-vlans-on-linux-can-ping-hosts-in-other-vlan
0
Răspunde
drapel cn
jsplat_
@eKKiM pot ajunge la alte gazde cu sau fără interfață eth0.3000 pe gazdă cu comanda dvs. Nu vă pot răspunde în chat din cauza reputației scăzute, îmi pare rău.
0
Răspunde
drapel cn
jsplat_
@eKKiM Este adresa MAC din tabelul ARP MAC-ul mașinii de la distanță sau MAC al unui router/comutator? Da, adresa MAC a gazdei este prezentă în tabelul arp de pe mașina de la distanță
0
Răspunde
drapel cn
jsplat_
@eKKiM Faceți o punte între VLAN-urile de pe comutator? Ce vrei să spui? Maparea VLAN sau Q-in-Q? Nu, nu folosesc nimic din toate astea.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.