Sunday, March 29, 2015

VLAN-uri

Am vrut sa am doua sisteme sa comunice prin switch pe vlan-uri separate.
Ar fi doua optiuni.

  1. SVI pe switch
  2. SVI pe linux.
Findca sw-ul nu este gbit  si raspberry la fel , ma lasa cu desktop-ul cu functia de router.
In sensul acesta trebuie sa facem in felul urmator:



  1. Activarea ip.forwarding care by default e off in arch si cel mai probabil in alte distro-uri
  2. Activarea profilelor de conectare daca nu vrem sa folosim script-uri custom
    1. avem profile exemplu in /etc/netctl/examples
    2. copiem ce ne interseaza (ethernet-static, vlan-static, si daca avem PPPoE avem si profil pentru el dar prefer sa folosesc direct ppp
    3. sintaxa e foarte stricta si orice greseala duce la neridicarea interfetei si documentatia cam lasa de dorit
      1. exemplu: dupa ridicarea interfetei vreau sa am doua rute, nu doar una, adaugate.Merge cu IPCustom dar nu cu Routes
    4. dupa ce am creat fisierele trebuie activate cu netctl enable numeprofil (profilele le-am denumit dupa numele interfetei)
    5. dupa activare la boot pot fi pornite si let's hope there's no errors reported.
  3. Actualizarea iptables cu o regula POSTROUTING in tabla NAT si asigurarea ca chain-ul de forwarding nu are politica de drop sau daca are atunci sa se adauge exceptie
Acum am 3 vlan-uri:
34 - Management 10.34.0.1/29
25 - Raspberry 10.25.0.1/29
86 - Sistem 10.86.0.1/29

Initial am creat interfete vlan pe sisteme si comunicau daca tineam porturile in trunk. Totusi sisteme care sunt in trunk sunt interesante pentru ca ar permite folosirea de vlan-uri pentru separerea serviciilor de pe acelasi sistem. Am 2 servere pe raspberry. Postgres si Nginx. Le putem da
de pe interfete tagate si am putea discrimina mai bine traficul pe switch. Ramane de incercat.

As fi vrut si un subnet separat pentru fiecare si un subnet in plus pentru Management-ul prin SSH.

Pe switch am doua host-uri conectate dar as vrea un svi penru management. Sa ridic un SVI pentru interfete care nu sunt UP nu merge. Pe loopback nu pot aplica un SVI si vlan state active nu merge ca SVI-ul tot are nevoie de o interfata pe care sa fie traffic. Nu a mers nici cu no keepalive pe o interfata fast.

Asa ca raman cu optiunea de a folosi loopback care e mereu up si pot accesa echipamentul cat timp am ruta la el.

Pana la urma am lasat interfata spre sistem trunk si am pus vlan 86 ca nativ. Am vrut  o interfata netagata spre switch.
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport trunk native vlan 86
switchport trunk allowed vlan 25,34
switchport mode trunk
!

Profiul netctl pentru interfata spre swtich. Foarte important e SkipNoCarrier care nu va ridica interfata da ca nu e link si cand va fi link tot nu o va ridica.

cat /etc/netctl/enp4s2
Description='enp4s2-access 86'
Interface=enp4s2
Connection=ethernet
SkipNoCarrier=yes
IP=static
AutoWired=yes
Address=('10.86.0.2/29')
IPCustom=('route add 10.25.0.0/29 via 10.86.0.1' 'route add 10.34.0.0/29 via 10.86.0.1') 


ifconfig va arata interfata dupa netctl start
Pe interfata de pe raspberry. Traficul pleaca la fel. Untagged.

[root@pytest netctl]# cat eth0
Description='eth0'
Interface=eth0
Connection=ethernet
AutoWired=yes
SkipNoCarrier=yes
IP=static
Address=('10.25.0.2/29')
Gateway=('10.25.0.1')
DNS=('8.8.8.8 8.8.4.4')

Si pe swtich
!
interface Vlan25
description Raspberry
ip address 10.25.0.1 255.255.255.248
!
!
interface FastEthernet0/12
switchport access vlan 25
switchport mode access
!


Cu o ruta statica spre sistemul cu netul
!
interface Vlan30
description Calculator
ip address 10.86.0.1 255.255.255.248
!

ip route 0.0.0.0 0.0.0.0 10.86.0.2

No comments:

Post a Comment