• свитчевание
Replies:
12
Views:
264
You need to be a registered member to post to this forum.
Register now.
|
2012-01-30 09:58
Member
Posts: 7
|
Добрый день.
Есть два R5000 WANFleX (АБ1 и АБ2) хочется засвитчевать два eth0 между собой. возникает несколько вопросов по этому поводу. Что будет после свитчевания? Т.е при обращении с аб1 на локальный ip АБ2 он будет свитчеваться, а на ip, не входящий в данную подсеть уходить на шлюз и не свитчеваться? + Если локальные сетки на АБ1 и АБ2 натились через внешний ip, будут ли они продолжать натиться? Задача просто такая : есть две абонетские антенны,на которых висит два абонента по вот такой схеме: 1. ifc null0 80.80.80.80/32 ifc vlan11 mtu 1500 up ifc vlan11 192.168.0.254/24 ifc vlan11 vlan 11 vlandev eth0 acl add $TEST1 net 192.168.0.0/24 nat local_acl $TEST1 80.80.80.80 2. ifc null0 90.90.90.90./32 ifc vlan11 mtu 1500 up ifc vlan11 192.168.0.254/24 ifc vlan11 vlan 11 vlandev eth0 acl add $TEST2 net 192.168.0.0/24 nat local_acl $TEST2 90.90.90.90 Необходимо, чтобы была возможность гонять любой трафик между этими подсетками, и чтобы в инет они выходили каждый по своему |
|
2012-01-30 10:34
IW Team
Posts: 466
|
Думаю, на обоих абонентских устройствах нужно сделать что-то вроде этого:
sw list MYLIST match add "src net 192.168.0.0/24 and dst net 192.168.0.0/24" sw 1 add vlan11 rf5.0 sw 1 permit match MYLIST sw 1 deny sw 1 start sw start Только у вас возникнет конфликт IP адресов 192.168.0.254 Можно добавить его в исключения. sw list MYLIST match add "src net 192.168.0.0/24 and dst net 192.168.0.0/24 and not host 192.168.0.254" |
|
2012-01-30 11:43
Member
Posts: 7
|
Спасибо! Буду пробовать=)
Т.е. всё будет по прежнему натиться? |
|
2012-01-30 11:52
IW Team
Posts: 466
|
Не вижу препятствий.
В принципе, правило можно даже упростить. sw list MYLIST match add "net 192.168.0.0/24 and not host 192.168.0.254" |
|
2012-01-30 12:20
Member
Posts: 7
|
Сразу возникает вопрос - раз есть acl add $TEST1 net 192.168.0.0/24
т.е все запросы на эти ip будут попадать под общие правила ipfw для этого vlan11 и выше надо как-то разрешать траффик? или же они не будут попадать под правила ipfw для этого vlan? или они как-то отдельно прописываются? ipfw add 20 vlan11 reject udp from any to $LOCAL 137:138 ipfw add 30 vlan11 accept icmp from any to any ipfw add 40 vlan11 accept udp from $TEST1 to $TEST1 1024:65535 ipfw add 50 vlan11 accept tcp from $TEST1 to $TEST1 1024:65535 ipfw add 60 vlan11 reject log all from any to $RFC Я правильно понимаю. что если запрос идёт на шлюз - то он натится и попадает под правила указанные выше, а если на ip свитчевания то под эти правила он не попадёт? |
|
2012-01-30 12:28
IW Team
Posts: 466
|
Правила ipfw работают в любом случае.
|
|
2012-01-30 13:29
Member
Posts: 7
|
ipfw add 20 vlan11 reject udp from any to $LOCAL 137:138
ipfw add 30 vlan11 accept icmp from any to any ipfw add 40 vlan11 accept udp from $TEST1 to $TEST1 1024:65535 ipfw add 50 vlan11 accept tcp from $TEST1 to $TEST1 1024:65535 ipfw add 60 vlan11 reject log all from any to $RFC ipfw addout 170 rf4.0 accept all from $RADIO to any ipfw addout 180 rf4.0 accept icmp from $AP_ALL to any ipfw addout 190 rf4.0 accept all from $AP_ALL to $VOIP ipfw addout 200 rf4.0 reject log all from $RFC to any ipfw add 210 accept icmp from any to any ipfw add 220 accept all from $ADM to $LOCAL ipfw add 230 accept all from $ADM to $SWITCH ipfw add 240 accept all from $RADIO to $LOCAL ipfw add 241 accept all from not $RFC to $REDIR ipfw add 250 accept tcp from any to any 1024:65535 ipfw add 260 accept udp from any to any 1024:65535 ipfw add 270 reject log tcp from any to any 135:139 445 ipfw add 280 reject log udp from any to any 135:139 445 ipfw add 290 reject log all from any to $SWITCH ipfw add 300 reject log all from any to $LOCAL ipfw add 310 accept all from any to any Посоветуйте тогда пожалуйста, чтобы не зарезало свитчевание куда добавить правила. и какие? Что то вроде: acl add $TEST num 1 2 ipfw add 10 accept swg=$TEST all from any to any + такое же на addout? |
|
2012-01-30 13:48
IW Team
Posts: 466
|
Ну уж нет, разбирайтесь в этой каше сами.
Первое же правило ставит в тупик, зачем оно ? Замените правила 40 и 50 на одно: ipfw add 40 accept all from $TEST1 to $TEST1 вот уже одна сетка и заработает. |
|
2012-01-30 14:06
Member
Posts: 7
|
Спасибо, но суть не в том что у меня в конфиге, а в каком виде добавлять правила для свитчевания:
ipfw add 10 accept swg=$TEST all from any to any + такое же на addout они будут отрабатывать именно для свитчевания? вопрос скорее в том, что при попадании на свитчевании будут ли действовать правила для vlana или будут уходить на sw? если будут - то правило это в начало обязательно ставить, а если на sw то после правил для vlan |
|
2012-01-30 14:30
IW Team
Posts: 466
|
swg=N не предусматривает использование ACL
addout не работает в режиме коммутации. Все правила обрабатываются ещё до свитчевания и до маршрутизации. |
|
2012-01-31 07:18
Member
Posts: 7
|
Большое спасибо! буду ковырять.
|
|
2012-01-31 09:04
Member
Posts: 7
|
ещё вопрос по натированию
есть такой клиент например ifc vlan16 mtu 1500 up ifc vlan16 192.168.3.254/24 ifc vlan16 10.0.4.241/30 alias ifc vlan16 10.0.4.237/30 alias ifc vlan16 vlan 16 vlandev eth0 прописываем правило свичевания: sw list CLIENT1 match add "not (dst host 192.168.3.254 or dst net 10.0.0.0/16)" или можно так? sw list CLIENT1 match add "not localnet" switch group 101 add eth0:16 rf4.0:101 switch group 101 rule 10 match CLIENT1 permit switch group 101 deny switch group 101 start После этого будут свичеватся все пакеты пришедшие из интерфейса eth0:16 которые не имеют шлюзом 192.168.3.254 или или сеть 10.0.0.0/16. Пакеты с eth0:16 не попавшие под правила свичевания попадут на ifc vlan16, отработает ipfw, nat и тд. То что нам и нужно. Вопрос: как будут отработаны пакеты пришедшие с радиоинтерфейса в свич группе 101 и имеющие шлюзом 192.168.3.254? В ifc vlan16 они не попадут, nat и ipfw не отработает. |
|
2012-01-31 11:53
IW Team
Posts: 466
|
То, что вы хотите, невозможно сделать средствами Infinet.
|