проблемы с bridge-ом

[Aidaho]

Добрый день.

Имеется такая проблема:
Хочу шейпировать трафик c помощью utm-a и rfw на PC под управлением freebsd. На нем поднят бридж. Вот в чем проблема. Когда подсоединяешь к бриджу каталист и клиента. У каталиста все порты настроены как транк, бридж работает. Но когда подключаешь каталист с настроенными вланоми и роутер, то никто не кого не видит....
все сделано по схеме

Может, кто сталкивался с подобной проблемой?
Может ли бридж резать вланы?

[Aidaho]

Я уже даже и не знаю, куда копать.. все маны перечитал...

[Ata-man]

Карточки поддерживают пересылку больших пакетов?

А если завести все вланы, которые приходят с каталиста на самом бридже - трафик идет?

[Aidaho]

судя по ману и по options=8<VLAN_MTU>
то да.

вланы привязываются только к физическим интерфейсам.. к бриджу его не привяжешь...

[Ata-man]

Вы как вланы пропускаете через бридж?

Заводите на нем соответствующие вланам интерфейсы, или просто сделан бридж карточка-карточка? Я об этом и спрашиваю.

[Aidaho]

карточка-карточка....

[Ata-man]

Я предлагаю попробовать забриджевать не карточки, а вирт. интерфейсы, соответствующие вланам.

[Aidaho]

хм...
а при заведении нового клиента, дополнительно прописывать на бридж еще 1 влан?

[Ata-man]

Да, это неудобно.
Просто есть предположение, что если на карточках не подняты вланы, то пакеты с тегами через бридж не проходят... Хотя могу и ошибаться.

P.S. Есть еще вариант попробовать сделать бридж с помощью netgraph.

[Aidaho]

ну вообще поддержку вланов я не давно сделал, но еще не пробовал с ними. Если честно, я сомневаюсь в этом.


А можно по подробней о нетграфе?

[Ata-man]

Попробовать поискать в Гугле по ng_bridge

в man ng_bridge есть ссылка на файл с примером: /usr/share/examples/netgraph/ether.bridge

[amix]

мы используем freebsd как шейпящие бриджи, но без вланов.
я бы на вашем месте переделал схемку таким образом чтобы инет канал не шёл через бридж, а попадал в роутер напрямую+вместо 2950 лучше поставить чтонить типа 3560, с роутингом.

[Aidaho]

нет... переделать к сожалению нельзя...

[Aidaho]

разобрался с бриджом...
но он не фильтрует теперь
настройки sysctl:

Код: Выделить всё

net.link.ether.bridge_ipfw=1
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=fxp1,rl0
net.inet.ip.fw.enable=1
net.link.ether.ipfw=1

когда делаешь deny ip from any to any, то закрывает и ничего не ходит, но когда пытаешься зарезать определенный адрес, то правило игнорируется.
Может кто знает в чем может быть проблема?

[Chrst]

разобрался с бриджом...
но он не фильтрует теперь
настройки sysctl:

Код: Выделить всё

net.link.ether.bridge_ipfw=1
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=fxp1,rl0
net.inet.ip.fw.enable=1
net.link.ether.ipfw=1

когда делаешь deny ip from any to any, то закрывает и ничего не ходит, но когда пытаешься зарезать определенный адрес, то правило игнорируется.
Может кто знает в чем может быть проблема?

Я так понимаю бридж вам нужен только для шейпа. Для "ходить/не ходить" в Инет можно использовать кошку и динамические ACL. Там действительно последним идет правило deny ip any any, но для тех кому разрешено ходить ставится не запрет, а permit.
Какую авторизацию применяете. При авторизации через радиус можно отдавать дополнительные атрибуты и шейпить на кошке например через rate-limit.