Не проходят пакеты с тэгом vlan'а

[Mugugay]

Добрый день. Стоит задача получать на сервере данные с клиентов из разных vlan. Сервер одним шнурком воткнут в коммутатор. Покурил форум, была такая задача. Настроил vlan на сервере (пока 1):

eth0      Link encap:Ethernet  HWaddr 00:15:5d:07:53:14 
          inet addr:10.22.64.77  Bcast:10.22.71.255  Mask:255.255.248.0
          inet6 addr: fe80::215:5dff:fe07:5314/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:29383965 errors:0 dropped:159081 overruns:0 frame:0
          TX packets:33466140 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2493293542 (2.4 GB)  TX bytes:2877753481 (2.8 GB)

eth0.3    Link encap:Ethernet  HWaddr 00:15:5d:07:53:14 
          inet addr:10.21.64.3  Bcast:10.21.64.255  Mask:255.255.255.0
          inet6 addr: fe80::215:5dff:fe07:5314/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:740 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:31392 (31.3 KB)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:11610288 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11610288 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1186006896 (1.1 GB)  TX bytes:1186006896 (1.1 GB)

root@node1:~# cat /proc/net/vlan/eth0.3
eth0.3  VID: 3   REORDER_HDR: 1  dev->priv_flags: 1
         total frames received            0
          total bytes received            0
      Broadcast/Multicast Rcvd            0

      total frames transmitted          740
       total bytes transmitted        31392
Device: eth0
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
 EGRESS priority mappings:
root@node1:~#


Порт на коммутаторе, в который воткнут сервер является  тегированным в 3 vlan. В  первом default vlan  порт не тегированный и сервер получает/отдает пакеты по нему без проблем.

В третьем vlan пинг не проходит не в одну ни в другую сторону. Маршруты настроены.

root@node1:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.21.64.0      *               255.255.255.0   U     0      0        0 eth0.3
10.21.66.0      10.21.64.254    255.255.254.0   UG    0      0        0 eth0.3
10.21.67.0      10.21.64.254    255.255.255.0   UG    0      0        0 eth0.3
10.22.64.0      *               255.255.248.0   U     0      0        0 eth0



При этом запросы с сервера уходят:

root@node1:~# tcpdump -Uw - | tcpdump -i eth0.3 -en
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0.3, link-type EN10MB (Ethernet), capture size 65535 bytes
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:28:55.527849 00:15:5d:07:53:14 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 10.21.64.254 tell 10.21.64.3, length 28
11:28:56.525042 00:15:5d:07:53:14 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 10.21.64.254 tell 10.21.64.3, length 28
11:28:57.524991 00:15:5d:07:53:14 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 10.21.64.254 tell 10.21.64.3, length 28
11:28:58.542279 00:15:5d:07:53:14 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 10.21.64.254 tell 10.21.64.3, length 28
11:28:59.540995 00:15:5d:07:53:14 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 10.21.64.254 tell 10.21.64.3, length 28

[fisher74]

Код: [Выделить]

cat /etc/network/interfacesв студию

[Mugugay]

root@node1:~# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#auto eth2
#iface eth2 inet dhcp

auto eth0
iface eth0 inet static
        address 10.22.64.77
        netmask 255.255.248.0
        dns-nameservers 8.8.8.8

#auto eth0:1
#iface eth0:1 inet static
#        address 10.21.64.3
#        netmask 255.255.255.0
#        up route add -net 10.21.66.0 netmask 255.255.254.0 gw 10.21.64.254 eth0:1
#        down route del -net 10.21.66.0 netmask 255.255.254.0 gw 10.21.64.254 eth0:1
       
auto eth0.3
iface eth0.3 inet static
        address 10.21.64.3
        netmask 255.255.255.0
        vlan_raw_device eth0
        up route add -net 10.21.66.0 netmask 255.255.254.0 gw 10.21.64.254 eth0.3
        down route del -net 10.21.66.0 netmask 255.255.254.0 gw 10.21.64.254 eth0.3
        up route add -net 10.21.67.0 netmask 255.255.255.0 gw 10.21.64.254 eth0.3
        down route del -net 10.21.67.0 netmask 255.255.255.0 gw 10.21.64.254 eth0.3

root@node1:~#

Пользователь решил продолжить мысль [time]22 Март 2016, 15:36:45[/time]:

Код: [Выделить]

cat /etc/network/interfacesв студию

готово
Пользователь решил продолжить мысль 22 Марта 2016, 16:10:54:Сначала делал через alias. И подключал в сервер в нетегированный порт. При таком раскладе сервер общается только с клиентами из того vlana, VID которого совпадает с PVID порта, куга воткнут сервер. Меняю PVID - меняю клиентов)

[kobaltd]

1) Есть не гласное правило, которое все же рекомендуется соблюдать - если через порт на свиче ходит тэгированый трафик, то ВСЕ vlan  на порте должны быть тэгированны - так меньше проблем.
2) Свитч случаем не dlink? у некоторого оборудования dlink встречается одни нюанс - у коммутаторов (в большенстве) случаев MTU на портах 1518, но у длинка встречается 1536 - и тогда тэг vlan, а точнее часть данных "выходит" за размер принимаемого езернет "кадра" другим устройством - Выход 1) ждать обновления 2) включить jambo frame на сетевухе

[bukass]

kobaltd,

1 - ерунда.
2 - у меня на дайлинках все работает, на разных моделях.

[kobaltd]

kobaltd,

1 - ерунда.

Далеко не ерунда. Не ловили глюков в ISM на "дефолтовом PVID" - я не говорю, что не работает, я говорю про то что это позволяет избежать некоторых глюков/багов прошивок - а так это личное дело каждого, соблюдать или не соблюдать

2 - у меня на дайлинках все работает, на разных моделях.

У меня тоже dlink много где работает, а вот допустим DAP-2310 при организации гостевого vlan ну не в какую не хочет дружить с HP свичами, пока не включишь jambo frame на свичах, причем в ТС эту проблему и описанную выше ситуацию подтвердили, но исправления жду уже второй месяц, при этом этот же DAP прикрасно работает с DGS-3420/DGS-1510 - пока не понизишь MTU на портах до 1518 . Если у Вас все работает, мои поздравления - но это не означает что "оно рабоатет всегда, у всех и на всем оборудовании dlink"

[bukass]

kobaltd,

Нет, проблем с ism не ловили.

Про правило - абонентский влан антагет? А вот влан для управления приставок уже тэгом, обычно.))

(Нажмите, чтобы показать/скрыть)

Port 2
VLAN ID  Untagged  Tagged  Forbidden  Dynamic
-------  --------  ------  ---------  -------
 260        -        X         -         -
 3691       X        -         -         -

Port 3
VLAN ID  Untagged  Tagged  Forbidden  Dynamic
-------  --------  ------  ---------  -------
 260        -        X         -         -
 3691       X        -         -         -

[kobaltd]

Это если работаете с "юзвером" - тут другово Варианта нет - юзвер он такой, задолбаешься объяснять и настраивать его. А если ты работаешь в своей сети, и гоняешь vlan`ы между своими свичами и серверами - мой выбор ALL Tagged - легче сделать defaul vlan тэгированном на паре тройке портов и серверах, чем потом отлавливать "глюк", который может быть, а может и не быть, но так спокойней

Все это без предметный спор, на "религиозные" темы. Просто я указал на возможность не работы тэгированого трафика, связанного с размером фрэйма у данной конкретной связки, и вариант решения/проверки.

[Mugugay]

1) Есть не гласное правило, которое все же рекомендуется соблюдать - если через порт на свиче ходит тэгированый трафик, то ВСЕ vlan  на порте должны быть тэгированны - так меньше проблем.
2) Свитч случаем не dlink? у некоторого оборудования dlink встречается одни нюанс - у коммутаторов (в большенстве) случаев MTU на портах 1518, но у длинка встречается 1536 - и тогда тэг vlan, а точнее часть данных "выходит" за размер принимаемого езернет "кадра" другим устройством - Выход 1) ждать обновления 2) включить jambo frame на сетевухе

Про правило не знаю. Не проблема. Можно попробовать. Коммутатор не dlink. Hirschman. Забыл уточнить одну деталь. Сервер - виртуалка, под которую выделен отдельный эзернет на железном сервере.

Повторюсь, что стоит поменять pvid у порта на коммутаторе, куда подключен сервер на 3. Как начинает работать 3 влан, но перестает первый.

[kobaltd]

Так а виртуалка это уже интересно.
1) виртуалка под чем?
2) я не работал в vmware, немного работал с xen и kvm, в основном приходиться сидеть в hyper-v - но не суть важно: насколько я помню vlan не подымают в госте, это делается или бридж+vlan на хосте и отдается несколько интерфейсов в гостя (kvm/xen) или средствами "vSwitch" (hyper-v - по сути тот же брид+vlan, только скрытый от оператора), также несколько адаптеров в госте.

если мы говорим о хосте под ubuntu то
http://blog.scottlowe.org/2012/08/17/installing-kvm-and-open-vswitch-on-ubuntu/
+
http://blog.scottlowe.org/2013/05/28/vlan-trunking-to-guest-domains-with-open-vswitch/

[bukass]

Mugugay,
Я к тому и говорил, не в свиче проблема.

Просто vlan-ы на linux работают без проблем и eoip и vlan поверх eoip. В десктопном варианте даже через NM работает, пробовал.

[Mugugay]

Так а виртуалка это уже интересно.
1) виртуалка под чем?
2) я не работал в vmware, немного работал с xen и kvm, в основном приходиться сидеть в hyper-v - но не суть важно: насколько я помню vlan не подымают в госте, это делается или бридж+vlan на хосте и отдается несколько интерфейсов в гостя (kvm/xen) или средствами "vSwitch" (hyper-v - по сути тот же брид+vlan, только скрытый от оператора), также несколько адаптеров в госте.

если мы говорим о хосте под ubuntu то
http://blog.scottlowe.org/2012/08/17/installing-kvm-and-open-vswitch-on-ubuntu/
+
http://blog.scottlowe.org/2013/05/28/vlan-trunking-to-guest-domains-with-open-vswitch/

Виртуалка под hiper-V. Читал что можно сделать на хосте,но там вроде как только один vlan.

[kobaltd]

Там ограничего конешно, но не только 1.
Когда в виртуалку добавляете сетевой адаптер, активируете vlan id НА ДОБАВЛЕННОМ АДАПТЕРЕ,а не в настройках "виртуального коммутатора", и прописываете номер vlan, с которым будет работать данный интерфейс, таких адаптеров можно добавить 12 штук в общей сложности.

[Mugugay]

Там ограничего конешно, но не только 1.
Когда в виртуалку добавляете сетевой адаптер, активируете vlan id НА ДОБАВЛЕННОМ АДАПТЕРЕ,а не в настройках "виртуального коммутатора", и прописываете номер vlan, с которым будет работать данный интерфейс, таких адаптеров можно добавить 12 штук в общей сложности.

Извиняюсь что вопрос не про линуху, но все-таки. Я создаю на одном физическом порту сколько мне нужно "внешних виртуальных коммутаторов" и при добавлении адаптеров в виртуалку проставляю им vlan ID. Правильно я Вас понял?

[kobaltd]

Нет - Вы на внешнем порту создаете 1 "виртуальный коммутатор", дальше в виртуалке добавляете столько интерфейсов сколько Вам нужно, а уже в настройках добавленных интерфейсов указываете с каким vlan он работать - в гостевой системе вы просто увидите несколько сетевых адаптеров.

Если абстрагироваться "виртуальный коммутатор" - Вы же не покупаете для каждого vlan отдельный свитч?
Добавленный интерфейс это "порт" коммутатора, просто этот "порт" может работать одновременно только в одном vlan вот и все "логика". Если Вам в госте нужно 3 vlan, Вы три раза добавляете в виртуалку "сетевой адаптер" и у каждого указываете с каким vlan он работает.