новости
статьи
.sysadmin

Повесть о Linux и VLAN

Цель статьи — описать настройку компьютера под управлением Linux в качестве маршрутизатора между VLAN'ами (читается "виланами").
VLAN, или Virtual bridged LAN, — это группа устройств, объединяемых по логическому принципу (т.е. по выполняемым функциям, структурным подразделениям предприятия, приложениям и т.д.), вне зависимости от их физического размещения и подключения объединяемых сегментов сети. Эта технология позволяет управлять широковещательным и обычным сетевым трафиком, а также увеличивает безопасность информации, передаваемой по локальной сети. 
Предполагается, что читатель знаком с основами стандарта 802.1Q, умеет компилировать и устанавливать ядро Linux и настраивать IP-маршрутизацию. По этим темам существует хорошая документация, поэтому, чтобы не увеличивать объем статьи, на этих вопросах я останавливаться не буду, а читателю предлагаю при необходимости обратиться к материалам, ссылки на которые приводятся в конце статьи.
Итак, займемся делом. Задача простая — имеем коммутатор, скажем Cisco IOS-based или Allied Telesyn AT8124XL. Нужно организовать три VLAN'a, и настроить маршрутизацию между ними. Поехали.

обновление ядра

Если у вас ядро до 2.4.14, идем на http://scry.wanfear.com/~greear/vlan.html и загружаем патч для вашего ядра. Кстати, по тому же адресу вы найдете множество полезных ссылок по теме. Если версия выше — сразу переходите к конфигурации ядра.
Распаковываем файл vlan.х.х.х.tar.gz, и патчим ядро:

# cd ~
# tar xzvf vlan.x.x.x.tar.gz 
# patch -p1 < /root/vlan/vlan.patch.2.2 

Пора настраивать ядро. Перейдя в каталог с исходными тесктами, набираем магические слова:

# make menuconfig
или
# make xconfig
или
# make config 

кому что больше по вкусу.
Теперь в настройке ядра будет поддержка стандарта 802.1Q. Включаем ее, а так же указываем все опции, нужные для маршрутизации.
Пишем заветную строчку:

# make dep && make bzImage && make modules && make modules_install

Устанавливаем ядро, и перезагружаем машину. Во время загрузки успеваем увидеть радующие глаз строки:

802.1Q VLAN Support vX.ХХ Ben Greear <greearb@candelatech.com> 
vlan Initialization complete.

Это то, чего мы, собственно, и добивались. Теперь надо браться за настройку Linux'а, как маршрутизатора между VLAN'ами.

настройка Linux

Сначала небольшое отступление. Когда мы настроим Linux, то для каждого VLAN'а будет создано отдельное устройство. Нужно выбрать формат обозначения устройств из четырех имеющихся вариантов. Формат устанавливается с помощью команды:

vconfig set_name_type [name-type]

где name-type может принимать следующие значения:
VLAN_PLUS_VID: имя устройства будет выглядеть так: vlan0005
VLAN_PLUS_VID_NO_PAD: имя устройства будет выглядеть так: vlan5
DEV_PLUS_VID: имя устройства будет выглядеть так: eth0.0005
DEV_PLUS_VID_NO_PAD: имя устройства будет выглядеть так: eth0.5

Каждый из вариантов имеет свои плюсы и минусы. Так, привязка к устройству позволяет видеть, с какой сетевой картой вы работаете. Но, в тоже время, далеко не все программы поддерживают наличие точки в имени интерфейса. Например, программа sysctl из Red Hat Linux 6.2 будет ругаться на переменные вида eth0.0002.ip_forward, тогда как имя vlan0002.ip_forward пропустит без замечаний. В общем, — выбор за вами.
Хочу еще раз подчеркнуть, что имя, ассоциируемое с каждым из VLAN'ов, будь то vlan0002 или eth0.0002, представляет собой отдельное и самостоятельное устройство. Это важно при построении межсетевого экрана: как известно, программа ipchains не различает псевдонимы на устройстве — они для нее одно устройство. В тоже время ipchains отличит eth0.0002 и eth0.0003.
Вернемся теперь к настройке OC. Отключаем интерфейс, на котором будем настраивать VLAN'ы:

# ifconfig eth0 down

А теперь, просто поднимаем его (не устанавливая IP-адрес, иначе мы не сможем настраивать VLAN'ы!).

# ifconfig eth0 0.0.0.0 up

Укажем VLAN'ы, которые будут использоваться на этом интерфейсе. Каждый VLAN добавим на нужный интерфейс:

# vconfig add eth0 2
# vconfig add eth0 3
# vconfig add eth0 4

и т.д.
Примечание: В системах Cisco, и некоторых других, VLAN #1 является vlan'ом по умолчанию, и поэтому использоваться не может. Необходимо начинать с #2
Все, мы прописали VLAN'ы, которые будут использоваться на интерфейсе, теперь нужно присваивать им IP-адреса:

# ifconfig -a 
# ifconfig -i vlan0002 192.168.2.1 broadcast 192.168.2.255 netmask 255.255.255.0 up 
# ifconfig -i vlan0003 192.168.3.1 broadcast 192.168.3.255 netmask 255.255.255.0 up 
# ifconfig -i vlan0004 192.168.4.1 broadcast 192.168.4.255 netmask 255.255.255.0 up 

Вот, с линуксом мы разобрались.

настройка коммутатора AT8124XL

Так, займемся коммутаторами Allied Telesyn. Важно помнить, что на этом коммутаторе при работе с VLAN'ами их нужно переводить в состояние disabled. Поэтому полная конфигурация VLAN'ов может быть произведена только через консольный порт. Вот последовательность команд для на стройки с удаленного клиента:

  • регистрируемся;
  • выбираем Advanced Switch Configuration -> VLAN configuration;
  • создаем нужное количество VLAN'ов (процесс подробно описан в документации);
  • добавляем нужные порты в соответствующие VLAN'ы;
  • в каждый VLAN помещаем порт, на котором находится линукс-маршрутизатор и делаем его таггируемым (tagging = yes);
  • не забываем поставить для каждого порта, находящегося не в первом VLAN'е, PVID равным соответствующему VID. 
    Все. 

настройка коммутатора Cisco IOS-based

Итак, настраиваем Cisco. Вот набор команд для настройки порта, на который подсоединен линукс-маршрутизатор: 

telnet mycisco
>en
# conf t
ig)# int Fa 0/24
int)# duplex full
int)# speed 100
int)# switchport trunk encaps dot1q
int)# switchport trunk allowed vlan 2
int)# switchport trunk allowed vlan 3
int)# switchport trunk allowed vlan 4
int)# switchport mode trunk
int)# end
# sh run
# ping myrouter

Если все нормально, сохраняем конфигурацию коммутатора командой

# copy run start 

Кроме этого, нужно добавить к каждому VLAN'у несколько портов без инкапсуляции. (иначе какой-же смысл?).

проблемы с драйверами сетевых карт

Теперь самое интересное и противное. Нужно с какого-нибудь Linux/UNIX в одном из vlan'ов дать команду:

$ ping -s 1476 myrouter

Если работает — то облегченно вздыхаете, в противном случае, затаив дыхание, пишете следующую команду:

$ ping -s 100 myrouter

Если такой "пинг" успешен, то это свидетельствует о "кривом" драйвере сетевой карты. Подробности дальше по тексту. Если же и в этот раз "пинг" не проходит — значит, вы что-то сделали не так. Либо плохо сконфигурирован коммутатор, либо маршрутизатор, либо ваш UNIX/Linux не включен в этот самый коммутатор.
Теперь о проблемах с драйверами сетевых карт. Суть состоит в том, что стандарт 802.1Q определяет максимальный размер сегмента на 4 байта больше, чем стандарт Ethernet. Эти 4 байта и несут информацию о принадлежности пакета тому или иному VLAN'у. Самый простой выход — использовать сетевую карту на чипе rtl8029(AS) или rtl8139, драйверы к которым написаны корректно. Легко правятся драйверы сетевых карт фирмы 3Com: исправлением строки

static int mtu = 1500;

на

static int mtu = 1504;

скрипт старта сети для Red Hat систем

Так как на сайте http://scry.wanfear.com/~greear/vlan.html лежит скрипт для имен формата ethX.XXXX, то чтобы не повторятся, я приведу скрипт для имен вида vlanXXXX (OS RedHat 6.2):

#!/bin/sh
#
# network Bring up/down networking
#
# chkconfig: 2345 10 90
# description: Activates/Deactivates all network interfaces configured to \
# start at boot time.
# probe: true

# Source function library.
. /etc/rc.d/init.d/functions

if [ ! -f /etc/sysconfig/network ]; then
exit 0
fi

. /etc/sysconfig/network

if [ -f /etc/sysconfig/pcmcia ]; then
. /etc/sysconfig/pcmcia
fi


# Check that networking is up.
[ ${NETWORKING} = "no" ] && exit 0

[ -x /sbin/ifconfig ] || exit 0

# Even if IPX is configured, without the utilities we can't do much
[ ! -x /sbin/ipx_internal_net -o ! -x /sbin/ipx_configure ] && IPX=

CWD=`pwd`
cd /etc/sysconfig/network-scripts

# find all the interfaces besides loopback.
# ignore aliases, alternative configurations, and editor backup files
interfaces=`ls ifcfg* | egrep -v '(ifcfg-lo|:)' | \
egrep -v 'ifcfg-ippp[0-9]+$' | \
egrep 'ifcfg-[a-z0-9]+$' | \
sed 's/^ifcfg-//g'`

# See how we were called.
case "$1" in
start)

action "Setting network parameters" sysctl -p /etc/sysctl.conf

action "Bringing up interface lo" ./ifup ifcfg-lo

case "$IPX" in
yes|true)
/sbin/ipx_configure --auto_primary=$IPXAUTOPRIMARY \
--auto_interface=$IPXAUTOFRAME
if [ "$IPXINTERNALNETNUM" != "0" ]; then
/sbin/ipx_internal_net add $IPXINTERNALNETNUM $IPXINTERNALNODENUM
fi
;;
esac

> action "Setting VLAN parameters: " vconfig set_name_type VLAN_PLUS_VID

for i in $interfaces; do
if egrep -L "ONBOOT=\"?[Nn][Oo]\"?" ifcfg-$i >/dev/null ; then
# Probe module to preserve interface ordering
/sbin/ifconfig $i >/dev/null 2>&1
else
> vlan=`echo $i | egrep -v '(lo|:)' | \
> egrep -v 'ippp[0-9]+$' | \
> egrep 'vlan[0-9][0-9][0-9][0-9]$' | \
> sed "s/^vlan//g;s/^0*//g"`
> ifvlan=`egrep -e VLANDEV ifcfg-$i | \
> cut -d= -f2`

> if [ -n "${vlan}" ]; then
> action "Enable VLAN # ${vlan} on device {$ifvlan}: " vconfig add ${ifvlan} ${vlan}
> fi
action "Bringing up interface $i" ./ifup $i boot
fi
done

Строки с изменениями, которые необходимо внести в оригинальный файл network, отмечены символом ">". Кроме того, как видно из текста, скрипт требует внесения в файл ifcfg-vlanXXXX дополнительного параметра VLANDEV, который определяет интерфейс, на котором должен быть создан данный VLAN.

Иван Песин
обсудить статью

© сетевые решения
.
.