LINUX.ORG.RU
ФорумAdmin

Пересылка пакетов между vlan


0

3

Добрый вечер! Есть debian 7.3 сервер, свежеустановленный, на нем настроены vlan интерфейсы, ntp и dhcp. Устройства получают корректные адреса по dhcp, получают время и на этом все.. Пингуют свои шлюзы, но не пингуют за ними и соседние устройства. Свичи - пингуются. 3 часа ночи, очень хочется домой.. Что это может быть? В /etc/sysctl.conf net.ipv4.ip_forward=1 раскоментировал. Что еще нужно, что бы заработала пересылка пакетов? iptables сбросил, политики по умолчанию ACCEPT. У меня паника..

ifconfig, route -n на debian и устройстве

arson ★★★★★ ()

cat /proc/sys/net/ipv4/ip_forward

arson ★★★★★ ()

Навскидку - устройства получают по DHCP шлюз по-умолчанию? Причём правильный?

Для нормальной диагностики выложи:
- ip address show
- /proc/net/vlan/config
- ip route
- /proc/sys/net/ipv4/ip_forward
- iptables -L -v -n
- dhcpd.conf

selivan ★★★ ()
Ответ на: комментарий от selivan

Доброе утро! Не досидел до победного на работе, выложу чуть чуть позже все.

matroskin ()
Ответ на: комментарий от matroskin

Гм... выглядит всё так, что должно работать, ошибок не вижу.
Запусти пинг на хосте в одном влане до хоста в другом влане, поснифай трафик на шлюзе tcpdump-ом и посмотри - приходят ли пакеты на шлюз и уходят ли они с него.

iptables покажи ещё -t nat, -t mangle и -t raw, может там что режется?

selivan ★★★ ()
Ответ на: комментарий от matroskin

Посмотри tcpdump'ом, доходят ли транзитные пакеты до шлюза и уходят ли они с него. После этого можно будет сказать, проблема на нём или нет.

Может быть и в коммутаторах, и вообще в чём угодно

selivan ★★★ ()
Последнее исправление: selivan (всего исправлений: 1)
Ответ на: комментарий от selivan

Сбросили конфиг cisco 2960, отключили от всего, подключили 2 ноута, назначили им статичные адреса 192.168.0.2 192.168.0.3 с маской 255.255.255.0. По идее должны же пинги проходить между ними, нет? Не проходят...

matroskin ()
Ответ на: комментарий от matroskin

Оказалось, что перед использованием цисок их прошили на самую последнюю версию ios. Сбросили до заводской - начались пинговаться компьютеры. Цирк.

matroskin ()
Ответ на: комментарий от selivan

Все стало еще хуже. Проблема не решилась. Имеем 2 компа подключенных к 2960s, на компах статичные адреса, пинги не проходят от одного к другому. В таблице мак адрсов они зарегистрированы... Ума не приложу, что делать дальше. Элементарная схема, с cisco раньше только в Packet Tracer работал.

matroskin ()
Ответ на: комментарий от matroskin

Ещё раз: посмотри tcpdump-ом на марштуризаторе, какие пакеты до него доходят, и какие он пересылает. Настройки маршрутизатора правильные, насколько я вижу.

Ну и show runnning на цисках в студию, будем дальше копать

selivan ★★★ ()

Может я ошибаюсь, но мне не нравится настройка VLAN:

3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 90:b1:1c:27:40:16 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/22 brd 10.0.3.255 scope global eth1
    inet6 fe80::92b1:1cff:fe27:4016/64 scope link 
       valid_lft forever preferred_lft forever

Должно быть:

3: eth1.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 90:b1:1c:27:40:16 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/22 brd 10.0.3.255 scope global eth1
    inet6 fe80::92b1:1cff:fe27:4016/64 scope link 
       valid_lft forever preferred_lft forever

На физ интерфейсе eth1 не должно быть IP

aeX1pu2b ()
Ответ на: комментарий от aeX1pu2b

Должно быть:

Не должно: у него нет vlan N1. А сам по себе IP на физическом интерфейсе может быть, хотя и не сильно красиво смотрится.

AS ★★★★★ ()

Схему дай чего куда повоткнуто.

frob ★★★★★ ()
Ответ на: комментарий от matroskin


Имеем на сейчас - свичи заработали как надо, компьютеры получают ip и не пингуют компы в соседних вланах. Адъ...


В чём проблема сдампить трафик?
В нём же кроется ответ, где у тебя проблема.

blackst0ne ★★★★★ ()
Ответ на: комментарий от matroskin

Телепаты всё ещё в отпуске

1. Что и откуда ты пинговал в момент снятия дампа? Я вообще не вижу там ICMP. Ты должен пинговать компьютер в одном влане из другого влана через роутер, и снимать трафик на роутере
2. Когда снимаешь дамп, фильтруй по протоколу ICMP
3. show running на цисках тоже выложи

selivan ★★★ ()
Ответ на: комментарий от AS

Не должно: у него нет vlan N1. А сам по себе IP на физическом интерфейсе может быть, хотя и не сильно красиво смотрится.

Не совсем так, пришлось капнуть маны:

интерфейс.VLAN-ID
eth0.2 (пример).
Следует учесть, что трафик нижележащего интерфейса (eth0, в данном случае) будет отсылаться без тега (untagged в терминологии cisco). Добавление дополнительных вланов никак не скажется на его работе.

Соответственно на каталисте на порту присутствует как тегированный, так и нетегированный трафик с подсети 10.0.0.0/22

Если подсеть 10.0.0.0/22 на каталисте дефолтная (т.е имеет тег 1), то все должно работать, но это уже как то криво (согласитесь).

aeX1pu2b ()
Ответ на: комментарий от aeX1pu2b

Соответственно на каталисте на порту присутствует как
тегированный, так и нетегированный трафик с подсети 10.0.0.0/22

Это не очевидно из приведённых данных.

Если подсеть 10.0.0.0/22 на каталисте дефолтная (т.е имеет тег 1), то все должно работать,

Почему 1 ? Любой untagged. У меня современных цисок нет, но на всех практически коммутаторах можно делать гибридные порты. Называются они по-разному у разных вендоров, но суть одна:

interface GigabitEthernet1/1/2
 port link-type hybrid
 port hybrid vlan 105 200 871 tagged
 port hybrid vlan 900 untagged
 undo port hybrid vlan 1
 port hybrid pvid vlan 900

В такой ситуации на этом GE будет присутствовать растегированный трафик vlan 900, VID 1 тут не при чём, хотя и его можно растегировать точно так же. Правда, многие вендоры наделяют VID 1 особыми, так сказать, полномочиями. В данном примере (Huawei) требуется вот в явном виде его убирать, чтобы не маячил на порту.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)

Есть debian 7.3 сервер, свежеустановленный, на нем настроены vlan интерфейсы

Вброшу. :-)
Для описания vlan-интерфейсов очень удобен etcnet в ALT Linux. Особенно, когда их десятки. Или, как у меня, сотни. ;-)

AS ★★★★★ ()
Ответ на: комментарий от aeX1pu2b

но у него порт на циске в режиме trunk

Или я не вижу, где, или не говорил. :-) Хотя, к делу не относится, если там всё не работает, а не с отдельной сетью проблема.

AS ★★★★★ ()
Ответ на: комментарий от matroskin

вот более корректный http://pastebin.com/j3ZA9X54

08:32:22.712339 IP 10.0.132.4 > 10.0.4.3: ICMP echo request, id 1, seq 96, length 40

А где echo reply ? Ищи, куда он делся. Это трафик с eth1.101, или с eth1.2 ? Если это с eth1.2, то reply или не приходит вообще, или приходит в другом vlan. Можно проверить, что видно на eth1 целиком:
tcpdump -eni eth1 | grep ICMP

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 2)

Попробуй добавить правила в iptables:

iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT

iptables -A FORWARD -i eth+ -j ACCEPT

aeX1pu2b ()
Ответ на: комментарий от matroskin

С какого интерфейса снимался dump? -i any?
Если -i any, то при пересылке пакет должен появляться дважды. Сейчас я этого не вижу, то есть либо шлюз не пересылает пакеты, либо ты снимал дамп не со всех интерфейсов.

Сними дамп с опцией -w, в формате pcap, и выложи.

И когда снимаешь дамп, всё-таки фильтруй по ICMP.

selivan ★★★ ()

а на конечных устройствах (рабочих станциях) маршрут корректный?

victorb ★★ ()
Ответ на: комментарий от frob

Продолжу в выходные, до этого ни как. Спасибо всем за участие!

matroskin ()
Ответ на: комментарий от selivan

Так и научусь пользоваться tcpdump. Выложу в субботу. Спасибо, что мучаетесь со мной. Уже не смог сделать сегодня.

matroskin ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.