Одна сетевая карта - возможно ли ?



  • Доброе время суток, ув. гуру.
    Есть такая проблема. Имеется сервер неплохой с гипервайзером Xen 5.6.0. Решил установить на него pf 1.2.3. Все установилось замечательно. Но вот незадача, у сервера всего ОДНА сетевая и возможности поставить еще просто нет (не спрашивайте, почему  ::)) При создании вирт. машины для pf добавил еще 2 вирт. сетевые карты (у меня два подключения к прову - ПППоЕ и статика) на рабочий физический интерфейс. Они увиделись, можно их настраивать через веб-фейс, это все хорошо. Но когда захожу в Status: Interfaces, то вижу что у LAN в строке Collisions куча коллизий  :-[ . Пробовал это решить и через добавление VLAN-ов интерфейсам - бесполезно, к сожалению.
    А теперь внимание, вопрос. Можно ли как-то решить такую задачу ?
    Спасибо за ответы.



  • Про вариант с виртуальной машинкой не скажу, но у меня на HotSpot-ах живут атомные неттоп платформы с одной сетевой картой и 4 VLAN (WAN, WAN WIFI, LAN, OPT WIFI) без проблем. Правда к этому нужно добавить VLAN switch, который умеет работать с tagged VLAN. Но и тут есть замечательный бюджетный вариант, в виде D-Link DIR-100, перешитого в VLAN switch. Главное, чтобы родительский сетевой интерфейс (untagged) не был задействован вместе с созданными на нем tagged. Все вышесказанное опробовано на pfsense V2.0 …....



  • @HDTV:

    Главное, чтобы родительский сетевой интерфейс (untagged) не был задействован вместе с созданными на нем tagged.

    То-то и оно, что как этого избежать в моем случае ?



  • В Interfaces ->(assign) используешь только дочерние VLAN интерфейсы, а про родительский забываешь  ;D
    Но ethernet трафик должен быть предварительно tagged внешним устройством

    ![Screenshot VLAN.png](/public/imported_attachments/1/Screenshot VLAN.png)
    ![Screenshot VLAN.png_thumb](/public/imported_attachments/1/Screenshot VLAN.png_thumb)



  • Большое спасибо за оперативные ответы. А без тегирующего устройства (не дадут денег на него) я так понял никак не получится? Или все же есть варианты, гуру ?



  • думаю, нет.
    pfSense "не знает", что он работает на виртуальной машине. Это уже задача xen правильно интерфейсы pfSense отобразить на физические интерфейсы. Либо больше карт надо, либо vlan'ы, при чём xen должен понимать vlan'ы. На ESXi знаю, как это сделать, с xen не работал.



  • @Evgeny:

    думаю, нет.
    pfSense "не знает", что он работает на виртуальной машине. Это уже задача xen правильно интерфейсы pfSense отобразить на физические интерфейсы. Либо больше карт надо, либо vlan'ы, при чём xen должен понимать vlan'ы. На ESXi знаю, как это сделать, с xen не работал.

    Если можете, напишите где в ESXi это делается. Xen тоже умеет создавать VLAN-интерфейсы.
    Попробую сделать по аналогии.






  • На интерфейсы pfsense уже должен приходить тэгированный трафик. А поставить/снять тэги должно внешнее устройство, т.е. "умный" свитч, который умеет IEEE 802.1Q. Я же предложил "бюджетный" вариант - D-Link DIR-100 стоимость около 900 руб. Единственный минус - Fast Ethernet и небольшая пропускная способность. Но для шлюзов SOHO вполне приемлимо. Сейчас же Вы как то подключаете ADSL модем и LAN, т.е. какой то свитч уже присутствует в схеме. Может у Вас в сетевой инфраструктуре уже есть коммутатор, который поддерживает tagged VLAN, когда и покупать ничего не надо. Только настроить.



  • Есть опыт под KVM Proxmox VE 1.6 (Debian 5.0.6).
    Там колизии были для "реальных" карточек Realtek,
    пока не выбрал "e1000" в Virtual Machine Configuration->Hardware->Ethernet devices.



  • @werter:

    Если можете, напишите где в ESXi это делается. Xen тоже умеет создавать VLAN-интерфейсы.
    Попробую сделать по аналогии.

    суть в том, что Вам в любом случае понадобится либо добавить сетевую(ые) карту(ы), либо приобрести свич, который понимает vlan.



  • @HDTV:

    ..тут есть замечательный бюджетный вариант, в виде D-Link DIR-100, перешитого в VLAN switch. Главное, чтобы родительский сетевой интерфейс (untagged) не был задействован вместе с созданными на нем tagged.

    Последнее - это особенность прошивки DIR-100? В общем случае ведь пофиг. Например, у меня 2 виртуальные машины связаны через vswitch 3-мя каналами через один линк, из которых 2 tagged и 1 untagged. Аналогично на физическом свитче telesys default vlan доступна pfsens'у наряду с тегированными на том же порту.
    @HDTV:

    На интерфейсы pfsense уже должен приходить тэгированный трафик.

    В случае с виртуалками не обязательно. "Разбор VLAN" может осуществлять гипервизор. А в виртуальной машине надо просто создать столько интерфейсов, сколько есть VLAN. Другое дело, что ESXi, например, не позволяет создать больше 4-х на виртуалку. Тут уж приходится поручать разбор самой виртуальной машине.
    З.Ы. Все это не отменяет того, что сказал Evgeny. Без IEEE 802.1Q свитча все-равно проблему топикстартера не решить.



  • @rubic:

    Последнее - это особенность прошивки DIR-100? В общем случае ведь пофиг. Например, у меня 2 виртуальные машины связаны через vswitch 3-мя каналами через один линк, из которых 2 tagged и 1 untagged. Аналогично на физическом свитче telesys default vlan доступна pfsens'у наряду с тегированными на том же порту.

    В общем случае пофиг. Тут Вы правы, если знаете поведение конкретного "железа" при обработке нетегированного трафика на тегированном порту. Замените Allied Telesys на Cisco и ситуация измениться.
    Если Вы не являетесь заложником ситуации, например, провайдер дает интернет нетегированным, а трафик IPTV в определенном VLAN, зачем создавать неоднозначности  :)
    У меня как раз такой вариант с Telesys не прокатил. Толи в этом виноваты мои кривые руки, толи то что свич был из восстановленных …...



  • @storma:

    Есть опыт под KVM Proxmox VE 1.6 (Debian 5.0.6).
    Там колизии были для "реальных" карточек Realtek,
    пока не выбрал "e1000" в Virtual Machine Configuration->Hardware->Ethernet devices.

    Вот это и подошло! Спецом поставил Proxmox VE на машине с одной физической сетевой картой и при поднятии на ней виртуалки с pf 1.2.3 добавил три сетевые (LAN,WAN, OPT1) именно e1000 и , о чудо, ошибки пропали и все заработало.

    P.S. В Vmware vSphere 4.1 (Free) при создание ВМ тоже возможно выбирать тип эмулирующей сетевой e1000. И самое интересное , что в Citrix XenServer 5.6 (Free) нативно есть эмуляция e1000 в ядре (http://forums.citrix.com/thread.jspa?threadID=266073&start=0&tstart=0), но она выключена и по-дефолту включен этот нехороший Realtek :( И как это пофиксить пока не нашел.

    P.S.S. Пробовал по-очереди в Citrix XenServer поднимать виртуалку с Proxmon VЕ и Vmware vSphere, но оба продукта просто не устанавливаются, зависая в самом начале. Думается, запуск гипервизора в гипервизоре не возможен  ::)

    А так разрешите считать тему решеной, т.е. корректно работать на pfsense 1.2.3 на одной ФИЗИЧЕСКОЙ сетевой карте без поднятия VLAN возможно, хоть и в виртуальной среде.



  • Т.е. LAN и WAN на одной физической карте без vlan'ов?
    Взлетит то он взлетит, но… по мне так нонсенс, зачем вообще тогда firewall?



  • @Evgeny:

    Т.е. LAN и WAN на одной физической карте без vlan'ов?
    Взлетит то он взлетит, но… по мне так нонсенс, зачем вообще тогда firewall?

    Да , именно так, без ВЛАНов и на одной(!) физической сетевой. Мы-то pf не будем говорить, что она одна, а  ;)? А так он считает, что у него столько интерфейсов, сколько мы ему "даем". И самое главное, это РАБОТАЕТ! Все остальное - не важно. А на счет второго, я описал конкретно свой случай и решил, с помощью сообщества и конкретных личностей (за что им низкий поклон) , поставленную задачу.

    P.s. На гипервизоре XenServer,установленном Вашим покорным слугой, работает уже далеко ни одна серъёзная государственная контора и пара троек крупных коммерческих организаций. Второй год.
    P.s.s Извините за оффтоп, вот две ссылки по поводу лицензирования ПО M$ в виртуальных средах - http://www.vmgu.ru/articles/windows-server-sql-licensing-virtulization и http://blogs.technet.com/b/vm/archive/2008/05/04/vm-licensing-introduction.aspx . И ссылка на один интересный документ - http://download.microsoft.com/documents/rus/licensing/licenzirovanie_servernih_produktovmicrosoft_pri_ispolzovanii_v_virtualnoy_srede.docx . Там на 10-й странице очень доходчиво написано как и сколько можно запускать экземпляров ОС в виртуальных средах и , самое главное, потом самому посчитать, во сколько раз это экономнее и в железе и в приобретение лицензий на устанавливаемые ОС. Таким способом сэкономил очень много "тэньге" для подшевных организаций.

    За сим разрешите откланяться. Еще раз извиняюсь за оффтоп  ;D



  • Всё это классно за исключением одного - большая дырка в безопасности (безотносительно виртуализации).



  • Для госкомпании покупка железного firewall является непозволительной роскошью. Гораздо эффективнее поставить в виртуалку фаерволл, ведь тогда можно будет сказать что у нас типа защищенная сеть и мы жутко экономим.
    И про такие штуки мы ничего не знаем.



  • @deutsche:

    Для госкомпании покупка железного firewall является непозволительной роскошью. Гораздо эффективнее поставить в виртуалку фаерволл, ведь тогда можно будет сказать что у нас типа защищенная сеть и мы жутко экономим.
    И про такие штуки мы ничего не знаем.

    Не в тему сарказм-то. Мы то знаем. Только вот денег подкиньте на это. Как-то не охота на свои покупать, а с "выбиванием" я еще в конце 90-х завязал  ;D



  • 300р стоит



  • @HDTV:

    В общем случае пофиг. Тут Вы правы, если знаете поведение конкретного "железа" при обработке нетегированного трафика на тегированном порту. Замените Allied Telesys на Cisco и ситуация измениться.
    Если Вы не являетесь заложником ситуации, например, провайдер дает интернет нетегированным, а трафик IPTV в определенном VLAN, зачем создавать неоднозначности  :)
    У меня как раз такой вариант с Telesys не прокатил. Толи в этом виноваты мои кривые руки, толи то что свич был из восстановленных …...

    кхм.. пожалуй пересмотрю свое мнение.. действительно, использование untagged default vlan наряду с tagged vlans на одном порту - зло.. ушел все переделывать.. хотя default vlan != vlan all (4095), порой выглядит все именно так(( в частности на telesys в логах pfsense можно видеть траляля is on em0 but got reply from vlan1 (при этом все работает, но ведь некоторый перфекционизм нам не чужд?)
    основное объяснение - неизвестно что накручено на default vlan в конкретной реализации свитча((



  • Поймите меня правильно - я не против виртуализации, во многих случаях она может сохранить кучу денег. Но:

    1. хост виртуальных машин с одной сетевой, подключенной к свичу, который не понимает vlan
      и
    2. хост с хотя бы двумя сетевыми, подключенными к разным свичам (тупым) (то же самое есть одна сетевая с умным свичом)
    • это очень большая разница. И дело не в государственности контор.


  • @Evgeny:

    я не против виртуализации, во многих случаях она может сохранить кучу денег.

    Off: Это еще и очень гибкое решение. Просто не представляю тот кавардак из свитчей, проводов и серверов, который пришлось бы накрутить в моей тесной серверной, если бы не она)) В остальном подерживаю. Решение выбранное ТС - полумера. Все равно все подсети, насколько я понял, находятся в одном broadcast domain. И ничего не стоит получить доступ в другую подсеть с клиентской машины, просто прописав дополнительный IP на интефейсе. Не секъюрно это.



  • Так наше начальстов не увидит кавардак в сети, а вот кавардак видимый еще как. Сделать все красиво не умеем.



  • @deutsche:

    Так наше начальстов не увидит кавардак в сети, а вот кавардак видимый еще как. Сделать все красиво не умеем.

    Off: В моем случае это только если я слишком много "бычков" в серверной по полу раскидаю)) Барьба с курением идет. Типа, кто кого заборет. Как там провода висят и где какие лампочки мигают - никто старается на вдаваться от греха. Для себя только стараюсь)) Все подвязано и прострочено. Иначе это оскорбляло бы мое эстетическое чувство, а я так не могу((


Log in to reply