у меня есть сервер с ESX5, есть Standar Switch(vswitch1) с одним подключенным физическим сетевым адаптером, vswitch1 VLAN ID установлен на All(4095) поэтому он может видеть трафик в любой VLAN, подключенной к vswitch1, у меня есть 2 виртуальных машины, Debian 6 и XP SP2 соответственно. Пока все в порядке, теперь конфигурация интерфейса debian выглядит так:
auto eth0
iface eth0 inet static
address 192.168.106.250
netmask 255.255.255.0
auto vlan52
iface vlan52 inet static
address 11.10.1.65
netmask 255.255.255.248
vlan_raw_device eth0
я также активировал modprobe 8021q и нет правил iptables, поэтому я ничего не теряю
Теперь у виртуальной машины XP есть такая сетевая конфигурация:
IP Address: 11.10.1.66
Subnet Mask: 255.255.255.248
IP Address: 192.168.106.251
Subnet Mask: 255.255.255.0
Как видите, виртуальная машина XP имеет 2 IP-адреса, поэтому пинг с XP на 192.168.106.250 в порядке, но пинг с XP на 11.10.1.65 не выполняется, затем на виртуальной машине XP с помощью Wireshark, вы можете увидеть что-то вроде этого
Source Destination Protocol Length Info
11.10.1.66 11.10.1.65 ICMP 74 Echo (ping) request id=0x0200, seq=2816/11, ttl=128
Vmware_aa:3d:e6 Broadcast ARP 42 Who has 11.10.1.65? Tell 11.10.1.66
Vmware_aa:3d:e1 Vmware_aa:3d:e6 ARP 60 11.10.1.65 is at 00:50:56:aa:3d:e1
11.10.1.66 11.10.1.65 ICMP 74 Echo (ping) request id=0x0200, seq=1280/5, ttl=128
Vmware_aa:3d:e1 Broadcast ARP 64 Who has 11.10.1.66? Tell 11.10.1.65
Vmware_aa:3d:e1 Broadcast ARP 64 Who has 11.10.1.66? Tell 11.10.1.65
11.10.1.66 11.10.1.65 ICMP 74 Echo (ping) request id=0x0200, seq=1536/6, ttl=128
И так далее, но пинг не работает, я также пытался с помощью замазки подключиться по ssh к 11.10.1.65, но это тоже не удалось.
Затем я решил протестировать физическую сеть на работе, где у меня есть 2 физических коммутатора, которые совместно используют идентификаторы vlan (другие люди настроили коммутаторы, но у меня есть доступ к конфигурации), vlan 52 существует на коммутаторе, а у debian есть vlan52 тоже вот кусочки конфига переключателей
#SWITCH 1
vlan 51
description DPC
vlan 52
description OBEM
#
interface GigabitEthernet0/0/22
description LAN_DPC
port hybrid pvid vlan 51
port hybrid untagged vlan 3 51 to 63
ip-subnet-vlan enable
#SWITCH 2
vlan 51
description DPC
vlan 52
description OBEM
#
interface Ethernet0/0/1
port hybrid pvid vlan 52
port hybrid untagged vlan 51 to 52
#
interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 50 to 52
stp disable
Переключатели Huawei Quidway S3300 Series
Итак, я подключил свой ноутбук к Ethernet0/0/1 SWITCH 2, пинг с моего ноутбука (с ip 11.10.1.67) на 11.10.1.65, тот же результат, даже в Wireshark захватить.
Я не специалист в конфиге переключателей, я даже не до конца знаю, что означают некоторые части в конфиге, например порт транк allow-pass vlan с 50 по 52 и порт гибридный немаркированный vlan с 51 по 52 может быть, вы можете порекомендовать хорошие документы об этом.
Но теперь моя настоящая головная машина - это как заставить ее работать, потому что она мне действительно нужна, мне нужно, чтобы все эти vlan проходили через одну сетевую карту брандмауэра, и прямо сейчас я действительно застрял, если вы думаете, что мне нужно поменять что-то в переключателях, я могу это сделать, как я уже сказал, у меня есть доступ, так что надеюсь, вы можете мне помочь
Спасибо
В мире huawei / H3C / HP (все они используют более или менее одинаковое программное обеспечение) есть 3 типа портов, если мы говорим о VLAN (802.1Q):
-Порт доступа: вы назначаете порт доступа одному идентификатору VLAN, чтобы коммутатор внутренне знал, что весь трафик, поступающий с этого порта, принадлежит этой VLAN. Также будет перенаправлять весь широковещательный трафик в этой VLAN на этот порт. Вы должны подключить компьютер или конечное устройство к этому типу порта, так как трафик, идущий к устройству и от него, НЕПЕРЕДАЕТСЯ.
interface Ethernet0/0/0
port link-type access
port default vlan XXX
#
-Trunk port: вы назначаете магистральный порт нескольким идентификаторам VLAN. Трафик, исходящий через магистральный порт, помечен тегами, за исключением трафика, принадлежащего PVID (ID порта VLAN). Нетегированный входящий трафик будет назначен внутри PVID, и любой помеченный трафик, который не соответствует разрешенным VLAN, будет отброшен.
interface Ethernet0/0/0
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 2 3 200
#
-Гибридный порт: это новинка, изобретенная Huawei / H3C. В этом режиме вы можете установить любую VLAN с тегами или без тегов. С моей точки зрения, я нахожу этот режим совершенно бесполезным, потому что нет смысла отправлять немаркированный трафик для более чем одной VLAN, потому что другая сторона соединения не может знать, какой кадр принадлежит какой VLAN, не так ли? Если вы настроите набор идентификаторов VLAN как TAGGED и один из них UNTAGGED и PVID, вы получите те же результаты, что и при настройке транкового порта. Единственное различие, которое я мог видеть, заключается в том, что широковещательные сообщения ARP для TAGGED VLAN на гибридном порте помечены, и если вы настроите порт магистрали, все широковещательные сообщения ARP будут без тегов
interface Ethernet0/0/0
port link-type hybrid
port hybrid tagged vlan XX XX XX
port hybrid untagged vlan XX XX XX
port hybrid pvid vlan XXX
#
СЕЙЧАС я не очень разбираюсь в виртуальных машинах, но если вы усвоите эти концепции и воздержитесь от использования гибридных портов, я думаю, вы получите решение сами. Просто помни:
Более одной VLAN на одном порте: TRUNK, TAGGED VLAN (если устройство, подключенное к нему, поддерживает VLAN, а виртуальные машины VMWARE). Только одна VLAN в порту: ACCESS, UNTAGGED VLAN.
С уважением, Юл