Повесть о Linux и VLAN. |
||||||||
Повесть о Linux и VLAN1. Введение.Цель статьи - описать настройку компьютера под управлением Linux в качестве маршрутизатора между VLAN'ами (читается "виланами").VLAN, или Virtual bridged LAN, - это группа устройств объединяемых по логическому принципу (т.е. по выполняемым функциям, структурным подразделениям предприятия, приложениям и т.д.), вне зависимости от их физического размещения и подключения объединяемых сегментов сети. Эта технология позволяет управлять широковещательным и обычным сетевым трафиком, а так же увеличивает безопасность информации передаваемой по локальной сети. Предполагается, что читатель знаком с основами стандарта 802.1Q, умеет компилировать и устанавливать ядро Linux и настраивать IP маршрутизацию. По этим темам существует хорошая документация, поэтому, чтобы не увеличивать объем статьи, на этих вопросах я останавливаться не буду, а читателю предлагаю при необходимости обратиться к материалам, ссылки на которые приводятся в конце статьи. Итак, займемся делом. Задача простая - имеем коммутатор, скажем Cisco IOS-based или Allied Telesyn AT8124XL. Нужно организовать три VLAN'a, и настроить маршрутизацию между ними. Поехали. 2. Обновление ядра.Если у вас ядро до 2.4.14, идем на http://scry.wanfear.com/~greear/vlan.html и загружаем патч для вашего ядра. Кстати, по тому же адресу, вы найдете множество полезных ссылок по теме. Если версия выше - сразу переходите к конфигурации ядра. Распаковываем файл vlan.х.х.х.tar.gz, и патчим ядро: # cd ~ Пора настраивать ядро. Перейдя в каталог с исходными тесктами, набираем магические слова: # make menuconfig кому что больше по вкусу. Теперь в настройке ядра будет поддержка стандарта 802.1Q. Включаем ее, а так же указываем все опции, нужные для маршрутизации. Пишем заветную строчку: # make dep && make bzImage && make modules && make modules_install Устанавливаем ядро, и перезагружаем машину. Во время загрузки успеваем увидеть радующие глаз строки: 802.1Q
VLAN Support vX.ХХ Ben Greear <greearb@candelatech.com> Это то, что мы, собственно, и добивались. Теперь надо браться за настройку Linux'а, как маршрутизатора между VLAN'ами. 3. Настройка Linux.Сначала небольшое отступление. Когда мы настроим Linux, то для каждого VLAN'а будет создано отдельное устройство. Нужно выбрать формат обозначения устройств из четырех имеющихся вариантов. Формат устанавливается с помощью команды: vconfig set_name_type [name-type], где name-type может принимать следующие значения:
Каждый из вариантов имеет свои плюсы и минусы. Так, привязка к устройству позволяет видеть, с какой сетевой картой вы работаете. Но, в тоже время, далеко не все программы поддерживают наличие точки в имени интерфейса. Например, программа sysctl из Red Hat Linux 6.2 будет ругаться на переменные вида eth0.0002.ip_forward, тогда как имя vlan0002.ip_forward пропустит без замечаний. В общем, - выбор за вами. Хочу еще раз подчеркнуть, что имя, ассоциируемое с каждым из VLAN'ов, будь то vlan0002 или eth0.0002, представляет собой отдельное и самостоятельное устройство. Это важно при построении межсетевого экрана: как известно программа ipchains не различает псевдонимы на устройстве - они для нее одно устройство. В тоже время ipchains отличит eth0.0002 и eth0.0003. Вернемся теперь к настройке OC. Отключаем интерфейс, на котором будем настраивать VLAN'ы: # ifconfig eth0 down А теперь, просто поднимаем его (не устанавливая ip адрес, иначе мы не сможем настраивать VLAN'ы!) # ifconfig eth0 0.0.0.0 up Укажем VLAN'ы, которые будут использоваться на этом интерфейсе. Каждый VLAN добавим на нужный интерфейс: # vconfig add
eth0 2 и т.д. Примечание: В системах Cisco, и некоторых других, VLAN #1 является vlan'ом по умолчанию, и поэтому использоваться не может. Необходимо начинать с #2 Всё, мы прописали VLAN'ы, которые будут использоваться на интерфейсе, нужно присваивать им ip адреса: # ifconfig -a
Вот, с линуксом мы и разобрались. 4. Настройка коммутатора AT8124XLТак, займемся коммутаторами Allied Telesyn. Важно помнить, что на этом коммутаторе при работе с VLAN'ами их нужно переводить в состояние disabled. Поэтому полная конфигурация VLAN'ов может быть произведена только через консольный порт. Вот последовательность команд для на стройки с удаленного клиента: - Регистрируемся. 5. Настройка коммутатора Cisco IOS-based.Итак, настраиваем Cisco. Вот набор команд для настройки порта, на который подсоединен линукс-маршрутизатор:
telnet mycisco Кроме этого, нужно добавить к каждому VLAN'у несколько портов без инкапсуляции. (иначе какой-же смысл?). 6. Проблемы с драйверами сетевых карт.Теперь самое интересное и противное. Нужно с какого-нибудь Linux/UNIX в одном из vlan'ов дать команду: $ ping -s 1476 myrouter Если работает - то облегченно вздыхаете, в противном случае, затаив дыхание, пишете следующую команду: $ ping -s 100 myrouter Если такой "пинг" успешен, то это свидетельствует о "кривом" драйвере сетевой карты. Подробности дальше по тексту. Если же и в этот раз "пинг" не проходит - значит, вы что-то сделали не так. Либо плохо сконфигурирован коммутатор, либо маршрутизатор, либо ваш UNIX/Linux не включен в этот самый коммутатор┘ Теперь о проблемах с драйверами сетевых карт. Суть состоит в том, что стандарт 802.1Q определяет максимальный размер сегмента на 4 байта больше, чем стандарт ethernet. Эти 4 байта и несут информацию о принадлежности пакета тому или иному vlan'у. Самый простой выход - использовать сетевую карту на чипе rtl8029(as) или rtl8139, драйвера к которым написаны корректно. Легко правятся драйвера сетевых карт фирмы 3Com: исправлением строки static int mtu
= 1500; Правки для других драйверов вы найдете по ссылке, приведенной в конце статьи. 7. Скрипт старта сети для Red Hat систем.Так как на сайте http://scry.wanfear.com/~greear/vlan.html лежит скрипт для имен формата ethX.XXXX, то, что бы не повторятся, я приведу скрипт для имен вида vlanXXXX (OS RedHat 6.2): #!/bin/sh # # network Bring up/down networking # # chkconfig: 2345 10 90 # description: Activates/Deactivates all network interfaces configured to \ # start at boot time. # probe: true # Source function library. . /etc/rc.d/init.d/functions if [ ! -f /etc/sysconfig/network ]; then exit 0 fi . /etc/sysconfig/network if [ -f /etc/sysconfig/pcmcia ]; then . /etc/sysconfig/pcmcia fi # Check that networking is up. [ ${NETWORKING} = "no" ] && exit 0 [ -x /sbin/ifconfig ] || exit 0 # Even if IPX is configured, without the utilities we can't do much [ ! -x /sbin/ipx_internal_net -o ! -x /sbin/ipx_configure ] && IPX= CWD=`pwd` cd /etc/sysconfig/network-scripts # find all the interfaces besides loopback. # ignore aliases, alternative configurations, and editor backup files interfaces=`ls ifcfg* | egrep -v '(ifcfg-lo|:)' | \ egrep -v 'ifcfg-ippp[0-9]+$' | \ egrep 'ifcfg-[a-z0-9]+$' | \ sed 's/^ifcfg-//g'` # See how we were called. case "$1" in start) action "Setting network parameters" sysctl -p /etc/sysctl.conf action "Bringing up interface lo" ./ifup ifcfg-lo case "$IPX" in yes|true) /sbin/ipx_configure --auto_primary=$IPXAUTOPRIMARY \ --auto_interface=$IPXAUTOFRAME if [ "$IPXINTERNALNETNUM" != "0" ]; then /sbin/ipx_internal_net add $IPXINTERNALNETNUM $IPXINTERNALNODENUM fi ;; esac > action "Setting VLAN parameters: " vconfig set_name_type VLAN_PLUS_VID for i in $interfaces; do if egrep -L "ONBOOT=\"?[Nn][Oo]\"?" ifcfg-$i >/dev/null ; then # Probe module to preserve interface ordering /sbin/ifconfig $i >/dev/null 2>&1 else > vlan=`echo $i | egrep -v '(lo|:)' | \ > egrep -v 'ippp[0-9]+$' | \ > egrep 'vlan[0-9][0-9][0-9][0-9]$' | \ > sed "s/^vlan//g;s/^0*//g"` > ifvlan=`egrep -e VLANDEV ifcfg-$i | \ > cut -d= -f2` > if [ -n "${vlan}" ]; then > action "Enable VLAN # ${vlan} on device {$ifvlan}: " vconfig add ${ifvlan} ${vlan} > fi action "Bringing up interface $i" ./ifup $i boot fi done Строки с изменениями, которые необходимо внести в оригинальный файл network, отмечены символом ">". Кроме того, как видно из текста, скрипт требует внесение в файл ifcfg-vlanXXXX дополнительного параметра VLANDEV, который определяет интерфейс, на котором должен быть создан данный VLAN. 8. Ссылки. - http://scry.wanfear.com/~greear/vlan.html
Эта статья любезно предоставлена автором. |
||||||||
Вернуться на главную страницу |