2 NIC külön subnet azonos switch

Hálózati eszközök

Sziasztok,

A szerveremben 3 hálókártya van. 1 publikus interface ADSL kapcsolattal, másik a belső háló és még egyet be akarok állítani a belső hálóra külön subnettel. Viszont azonos switchbe dugva mindkét NIC-et elkezdenek leszakadni a kliensek a szerveremről. Mintha az ARP kérések nem érnének ezek után célba.

Mivel teljesen külön subnet külön IP-vel, ezért nem értem a dolgot. Elképzelhető hogy a hálókártyám kever be és egy másik típussal megoldódna a helyzet?

Ha a belső hálókártyámra állítok be VLAN-t a külön subnettel, akkor meg nem érem el azon a másik subnet-en lévő gépeket. Se ping, se szolgáltatást. NMAP sem hoz semmit.

Hardveres gond lehet vagy a hálókártya nem támogat valamit?

Rendszer Debian 6, NIC: Digital Equipment Corporation DECchip 21142/43 (rev 41)

Találkozott valaki ilyennel? Előre is köszönöm.

(Kieg.: egyelőre várnék az azonnali szerver leállítással és hardver cserékkel és tesztekkel, mert állandóan lógnak user-ek a szerveren)

  • 6711 megtekintés

( Skuzzy | 2013. 01. 29., k – 10:57 )

Attól még, hogy külön hálókártya, külön ip, a másik kártya ip-jét simán lehet pingelni (is), tehát az ip-k keresztbe kasul látszanak. Valószínű ott borul meg a dolog, hogy a switch a mac címeket elkezdi cserélgetni magában.. Vagy valami hasonló történik az arp táblákkal valamelyik ponton, én erre tippelnék.
Vagy szeparáld fizikailag is a két netet legalább vlan-nal, vagy egy kártyát használj két ip tartománnyal.

( g_sipos | 2013. 01. 29., k – 11:03 )

ethernet loop-ot csinaltal, az IP-nek ehhez semmi koze. ez nem hardverhiba, hanem ennek igy kell mukodnie. Ha link aggregation-t akarsz csinalni, ahhoz switch oldalon is kell tamogatas, ha csak azert kell masik link, h. masik subnet legyen, vegyel fel IP alias-t.

szerk: kerestem ra linket, h. miert esik ossze: http://rendszer-gazda.blogspot.hu/2012/07/l2-es-hurok.html

( Swifty v | 2013. 01. 29., k – 11:06 )

RTFM: VLAN, IP alias...

--
Debian Linux rulez... :D

Ezzel kezdtem, de sajna nem megy az IP alias. Rendesen felveszem, "ip r" és "ifconfig" mutatja a beállított IP-t, broadcast és netmask-ot, csupán ping-elni nem tudom az ezen a subnet-en lógó gépet és semmilyen szolgáltatást nem érek el. Tűzfal beállítások jók, de lehet azzal még játszok kicsit.

( log69 | 2013. 01. 29., k – 11:58 )

VLAN-t beállítva (eth0.2) és erről a NIC-ről pingelve a közös subnet-en lévő gépet a tcpdump azt mutatja, hogy a "who-has" ARP kérésre egyáltalán nem kap választ a VLAN-os virtuális NIC-em. Teljesen nem tudom a tesztelés idejére kikapcsolni a tűzfalat, de a VLAN-hoz engedélyeztem a forgalmat, és mégsem akarja az igazat.

Kérdések:

- A switch-ed "okos"? Ismeri a VLAN tagging-et? Layer2 és Layer3? (Bármelyik kérdésre igen válasz hozza többi igent is... :D )
- vlan csomag telepítve van?

Segítség:
- vconfig add eth0 100
- ifconfig vlan100 up 10.0.0.1 netmask 255.255.255.0

--
Debian Linux rulez... :D

( Xanco | 2013. 01. 29., k – 21:48 )

A géped mindkét interfésze megkapja mindkét hálózati tartományból küldött broadcast üzeneteket, így az ARP csomagokat is. Sajnos a Linux alapból akkor is válaszol a saját IP-jére érkező ARP kérésekre, ha az nem az IP-hez tartozó interfészen érkezett be.

A Te esetedben mindkét hálózat címére mindkét interfész válaszol és csak a véletlenen múlik, hogy milyen sorrendben. Ha éppen rossz sorrendben ment a válasz, akkor utána a többi gép a rossz interfész MAC címre küldö az adott hálózat csomagjait, Te meg jó eséllyel a csomagszűrésnél eldobod, hiszen rossze interfészen jött be. (Már ha nem a linux nem dobja el.)

Próbáld meg aktiválni az ARP filtert az interfészeken:

sysctl -w net.ipv4.conf.all.arp_filter=1
sysctl -w net.ipv4.conf.default.arp_filter=1
sysctl -w net.ipv4.conf.eth0.arp_filter=1
sysctl -w net.ipv4.conf.eth1.arp_filter=1
sysctl -w net.ipv4.conf.eth2.arp_filter=1

A permanens hatáshoz a /etc/sysctl.conf fájlba rakd be az értékek beállítását.

Elvileg ezek után csak a megfelelő interfész fog az ARP kérésekre válaszolni.

Miért keringene? Ha a két interfész nincsen bridgelve a Linuxban, akkor a bejövő csomagok (ethernet keretek) nem kerülnek kiküldése másik interfészen a Linux által. Csak a bridgelés hatására viselkedik úgy a Linux, mint ahogy a switchek/hubok és küldi ki az egyik interfészen beérkező broadcast üzeneteket a többi (az előbbi interfésszel összebridgelt) interfészén.