Требуется поднять VLan от сервера до каждого юзера (т.е. до каждого порта) по одному вилану.

Прочитал четыре мануала:
1ман
2ман
3ман
4ман

Но они друг другу противоречат

Единственное, что я понял - это что нужно пересобрать ядро с vlan'ом. Так как было написано в мануалах не получилось. Получилось только так device vlan.
Но сегодня я вообще узнал, что в версии 6.2 vlan в ядро вообще включать не надо...

Может, кто сцылочкой поможет на толковый фак?..
Мне совершенно не понятно чем, например, отличается тегированный порт от не тегированного и т.д.

Спасибо

_________________
Всё нормально.

Не стал лазить по всем ссылкам - расскажу вкратце:

1. создаёте в Фре 2 вилана (man ifconfig)
2. на том же шаге даёте ему тег (например, 2 и 3) (тот же ман)
3. создаёте на свиче 2 вилана, и включаете в оба порт, смотрящий на Фрю. делаете порт тегированным
4. включаете в каждый из виланов на свиче по 1 порту (разному) и делаете их нетегированными
5. втыкаете в каждый из этих портов по компу и смотрите друг на друга. 6. запрещаете на Фре роутинг между этими виланами и больше друг друга не видите.
7. если свичей много, а вилан надо пробросить дальше - не снимайте тег с портов в этом вилане, пока не дойдёте до абонента

У меня с ifconfig ничего не получается

Много разных вариантов перепробовал... Но по-моему должно быть так:
ifconfig vlan0 inet 192.168.0.3 netmask 255.255.255.0 vlan 2 vlandev rl0

Где
192.168.0.3 - адрес компьютера, до которого кидаем vlan
vlan 2 - ID влана на свитче
rl0 - сетевуха, в которую воткнут свитч

но не получается

Один раз ввёл:
ifconfig rl0 create vlan1 vlandev s001

и в ifconfig'е даже что-то похожее появилось... но...

_________________
Всё нормально.

все просто пишется так
ifconfig (название интервейса который будет создан) create (ип/масска сети) vlan (id влана от 1 до 4096) vlandev (название сетевухи)

в итоге должно быть что-то типо этого:
ifconfig vlan666 create 10.0.0.1/29 vlan 666 vlandev fxp0

Спасибо!!!
Вот уже что-то начало получаться

Я так понимаю, что надо на коммутаторе создать новый VID (у меня с id 2), в котором на порту 1 (куда подключен сервер) выставить tag порт, на порту 3 (куда тащим vlan) untag порт, а за тем в Port VID Setting в поле PVID порта 3 выставить ID только что созданного VID (в моём случае id 2).

Только проблема в том, что когда я нажимаю кнопочку Apply в разделе "Port VID Setting", то web-сервер на коммутаторе повисает, хотя сам коммутатор продолжает работать (т.е. вся сеть не вырубается и компьютеры видят друг друга).

_________________
Всё нормально.

Ничего не повисает.
Просто, если ты сидишь через вновь созданный вилан, то его надо сделать управляющим, опять же, если ты сидишь через порт в вилане, который тегированный - ничего не выйдет - подключайся через Фрю, или воткнись в порт в дефолтном вилане.


Причём тут адрес компьютера до которого вилан?
Ты в итоге хочешь получить 2 компа с одинаковыми IP, которые смотрят друг на друга?
А если у меня в вилане одном 254 компа?

Блин, вот так и думал, что проблема где-то в этом



Ага, уже разобрался, спасибо

_________________
Всё нормально.

Так, кстати, у всех VLan'ов на серваке должны быть разные ИПы?..

_________________
Всё нормально.

Не уверен, но, кажется, что в 6.2 можно сделать и одинаковые, но надо ли оно вам?

хм... а если у меня этих VLan'ов будет 500-1000, то этож скока ИПшников "зря" простаивают...

А в чём я буду иметь приемущество, если для каждого VLan'a сделаю свой ИП? Учитывая, что в каждом VLan'e у меня по одному юзеру?

_________________
Всё нормально.

При таких количествах, я бы не делал по вилану на юзера.
Но тут хозяин-барин.

Боюсь, что при количестве вланов 500-1000 у Вас возникнет много интересных проблем как со свитчами, так и с FreeBSD.

Если Вам требуется изоляция клиента на 2-м уровне (например, Вы подключаете фирмы), то влан на клиента это правильный путь.

Если же речь идет о массовом подключении абонентов (например, у Вас домашняя сеть или гостиница), то есть другие решения.

Если опишите Вашу задачу, то народ в форуме охотно подскажет несколько решений и поспорит между собой на счет оптимального из них!-)

Задача состоит как раз в подключении каждого пользователя по VLan'у в домашней сети.

Почему это делается:
1) Разрешить каждому юзеру только один ИП и по нему его (юзера) контролировать.
2) Контроль трафика в сети. При работе с VLan'ами весь трафик будет проходить через сервер -> можно его как-то контролировать (отрубать ненужный, учитывать, тарифицировать и пр.)

Использование VLan'ов увеличит нагрузку на сеть в 1,5 - 1,8 - 2 раза.
Но не более. Что не может не радовать

ИМХО при правильной сегментации сети проблему с загруженностью каналов можно решить (особенно это сделать легко мне, когда сеть только начинает строиться).

Вот такие соображения

_________________
Всё нормально.

А может будет лучшим вариантом сечь по id vlan'а?..
Т.е. VLan поднять только на свитче, а на серваке смотреть id VLan'a...
хотя х/з как это сделать и, видимо, тоже не выход...

_________________
Всё нормально.

1. Что значит "Разрешить каждому юзеру только один ИП"?

Если Вы даете пользователю влан, то это второй уровень и он может там делать все, что ему угодно. Например, создать собственную приватную сеть, ARP'ы которой будет видеть Ваш маршрутизатор!-)

Если же речь лишь о том, чтобы не дать пользователю выставить себе чужой IP-адрес, то это достигается на уровне статического ARP для MAC-IP пользователя на свитче уровня доступа и/или на маршрутизаторе.

Следует правда помнить, что пользователь легко может сменить и MAC-адрес, поэтому рекомендую посмотреть на IpMacBindingPort. С этим режимом Вы будете уверены, что пользователь пришел именно через этот порт и именно с разрешенной Вами связкой MAC-IP.

Контролировать пользователей последнее дело. Лучше технически препятствовать всем возможностям воровства, чем мониторить и пытаться решить конкретный случай.

2. Если Вы не хотите, чтобы пользователи внутри одного влана общались друг с другом напрямую, то Вы можете запретить это ACL-правилом на свитче уровня доступа. Есть и другие технологии. С помощью ACL можно выборочно разрешить что-то и запретить прямо на свитче уровня доступа.

3) Речь не об увеличении нагрузки, а о большом количестве вланов и ограничении свитчей различных серий и производителей (честно говоря, я FreeBSD на поддержку больше 100 вланов не проверял!-).

---

Сколько Вы планируете свитчей уровня доступа?
Будет ли использоваться STP в сети?
Планируете ли разрешить абонентам прямой обмен трафиком?

---

Кстати, а как использование вланов поможет Вам решить "проблему с загруженностью"?

Например, Вы продали мне влан, он идет на Ваш центральный сервер, где Вы, если я правильно понял, планируете шейпить, фильтровать и т.п. через несколько Ваших свитчей, в том числе и через "узкий" участок.

Я просто начинаю генерировать пакеты на скорости абонентского порта и все до Вашего роутера будет забито моим трафиком. Дальше он не пройдет, но проблемы создаст капитальные. Или просто буду печатать на принтере, который подключен к машине в соседней квартире, когда трафик будет идти не напрямую, а пробегать через всю Вашу сеть до маршрутизатора, а потом возвращаться обратно.

Также подумайте о том, сколько пакетов в секунду может в принципе обработать PC-роутер (именно пакетов, а не трафика), как скажется на производительности сервера шейпинг, NAT, firewall, сбор сетевой статистики т.е. скольких "средних" клиентов сможет "потянуть" один сервер.