RFC 3378 EtherIP FreeBSD-vel

Ezt az útmutatót írtam, hogy megosszák a világgal az RFC 3378 használatát két hálózat Ethernet szintű áthidalására egy átirányított IP-hálózaton keresztül - különösen mivel úgy tűnik, hogy ez lesz az egyetlen útmutató az interneten, hogyan kell ezt megtenni.!


Háttér

Egy helyi önkormányzat nemzeti egészségügyi szolgálatánál dolgozom, amelynek több mint 35 helyszíne van az egészségügyi és szociális gondozási szolgáltatásokkal.

Ezeknek a helyeknek a többsége a szigeten helyezkedik el, ahol közvetlen kommunikáció (a helyi telekommunikációs társaság által biztosított) létezik, mint WAN-összeköttetés fő webhelyünk és ezen műholdas oldalak között. Az egyik hely egy másik szigeten található, és azzal való kapcsolatunk a központi kormányzati WAN-infrastruktúrán megy keresztül, ezért nincs közvetlen ellenőrzésünk a közbenső összeköttetések felett. Egyszerűen fogalmazva: az IP-t átirányítjuk az engedélyező útválasztónkból, és ez megérkezik a távoli helyünk útválasztójához a hálózatba. Ami közt történik, egy sor komló és átmenet az optikai, réz- és rádiós kapcsolatokból.

Ettől eltekintve, a vezeték nélküli telepítés már befejeződött az egész kórház területén, és VLAN-okat használt a hozzáférési pontok személyzetének (magán) és beteg (nyilvános) SSID-jének különálló tűzfalakká történő elkülönítésére..

Követelmény

A szomszédos szigeten fekvő kórházat fel kellett korszerűsíteni, hogy tartalmazza ugyanazt a vezeték nélküli megoldást, mint amelyet helyben hajtottak végre. A kábelezés, az injektorok és a vezeték nélküli hozzáférési pontok biztosítása nem jelent problémát. Egy kábelkészítő telepített új Ethernet-t az épület körül. A hozzáférési pontok és a PoE-adapterek, valamint a megvásárolt tételek költségvetése jóváhagyva.

Probléma

A probléma az volt, hogy a privát és a beteg vezeték nélküli csatornákat visszajuttatják a központi oldalra. Létrehozhatunk új alhálózatokat, de ezek egybevágnak az útválasztón és átjárják a különféle komlókat, visszatérve a központi hálózatba. Ez azonban azt jelentené, hogy a vezeték nélküli páciens „piszkos” adatai hálózatunk „tiszta” adataival együtt haladnak át, és óriási kockázatot jelentenek. Ezeket a kockázatokat már kiküszöböltük a VLAN elválasztás bevezetésével a központi hálózaton, tehát ha csak lenne mód a VLAN átvitelére egy IP útválasztású hálózaton. Sajnos az útválasztók blokkolják az úgynevezett „2. réteg” forgalmat, így a VLAN-ok nem tudnak átjutni egy másik hálózatra.

Ezenkívül el kellett kerülnünk a központi kormányzati hálózati szolgálatok segítségét, mivel ezek sokkal szigorúbban irányították a változásokat és magasabb szintű Beauouracracies… de kevésbé mondtak erről!

Megoldás

Nemrégiben alakult ki egy internetes szabvány, amelyet RFC 3378 kóddal adtak ki, és jobban ismert EtherIP néven, amely tökéletes megoldást kínál igényeinkre - két Ethernet hálózat áthidalása, amely egy IP router linkre terjed ki..

Szerencsére az EtherIP elérhető a legtöbb nyílt forráskódú operációs rendszerben, beleértve a FreeBSD-t is, amelynek rengeteg ismerete van az adminisztrációban.

Végrehajtás

Két számítógépre lesz szüksége, egyre a peremezett kapcsolat mindkét oldalán, és mindkettőnek két hálózati kártyára van szüksége. Az egyik hálózati kártya úgy csatlakozik a helyi hálózathoz, mint egy normál számítógép, olyan IP-címmel, amely megfelel az alhálózatnak, amelyben van. A másik hálózati kártya a kapcsoló törzsportjához van csatlakoztatva (az én esetemben a Cisco), és ez rögzíti az Ethernet szintű hálózati forgalmat.

Megkezdtem a FreeBSD alapvető telepítését; még a portokat sem kell letölteni.

Az 1. számítógépnek (a helyi oldalon) volt egy Intel EtherExpress kártya fxp0 10.1.1.20 IP-címmel és az em0 az Ethernet porthoz használt.

A 2. számítógépnek (a távoli helyszínen) egy Broadcom kártya bge0 volt, 10.15.1.20 IP-címmel, és az em0-et az Ethernet porthoz használták.

A FreeBSD rendelkezik egy gif nevű virtuális hálózati felülettel, amely Etherhet alagutat hoz létre két végpont között. Mindkét számítógépen létrejön egy gif0 hálózati interfész, és összekapcsolja őket egy átirányított IP kapcsolaton keresztül. Létrejön egy másik „híd” nevű virtuális hálózati eszköz, amely képes áthidalni a hálózati forgalmat az azonos hálózati interfészek, általában az Ethernet interfészek között. A bridge0 hálózati eszköz úgy van konfigurálva, hogy egyesítse a gif0 és az em0 hálózati interfészeket. Ez lehetővé teszi, hogy az em0-be átmenő Ethernet-adatok továbbadódjanak a gif0-ra és (a továbbított IP-kapcsolaton keresztüljutás után) a távoli számítógép gif0-jére, tovább a számítógép em0 hálózati felületére, és végül az ott található hálózatra..

Lehet, hogy bonyolultabbnak tűnik, mint valójában! A szöveges diagram így néz ki:

Hálózat - (csomagtartó port) - em0 - gif0 - fxp0 - útválasztó - irányított IP kapcsolat - útválasztó - bge0 - gif0 - em0 - (csomagtartó port) - hálózat

Configuration

A Cisco kapcsolón konfiguráljon egy felületet csomagtartó módra:

interfész FastEthernet0 / 24
leírás Link: EtherIP
nincs kapcsolótámasz a csomagtartó metszésében
switchport mód csomagtartó
vég

Erre a portra csatlakozik az em0 (a számítógépes rendszeremen). Ugyanez történt a távoli kapcsolón, a másik számítógép megfelelő em0-jén is.

Ha nem Cisco eszközt használ, akkor engedélyeznie kell a csatornázást az eladó specifikus módszereivel.

Az 1. számítógépen konfigurálja a FreeBSD-t az alábbiak szerint az /etc/rc.conf fájlban:

# - sysinstall által generált delták - # hétfő január 31, 12:09:47 2011
# Létrehozva: 2011. január 31., hétfő 12:09:47
# Engedélyezze a hálózati démonokat a felhasználó kényelme érdekében.
# Kérjük, módosítsa a fájlt, és ne az /etc/defaults/rc.conf fájlt.
# Ez a fájl most csak az /etc/defaults/rc.conf fájl felülírásait tartalmazza.
defaultrouter =”10.1.1.1"
hostname =”etherip01.mydomain.com”
ifconfig_fxp0 = ”inet 10.1.1.20 netmask 255.255.0.0 ″

# EtherIP konfiguráció
cloned_interfaces = ”gif0 bridge0 ″
ifconfig_gif0 = “mtu 1500 alagút 10.1.1.20 10.15.1.20 fel”
ifconfig_bridge0 = ”addm em0 addm gif0 up”
ifconfig_em0 =”up”
################

kiosztás =”uk.iso”
sshd_enable =”YES”

A 2. számítógépen:

# - sysinstall által generált delták - # 2011. február 3., 11:20:45
# Létrehozva: 2011. február 3., 11:20:45
# Engedélyezze a hálózati démonokat a felhasználó kényelme érdekében.
# Kérjük, módosítsa a fájlt, és ne az /etc/defaults/rc.conf fájlt.
# Ez a fájl most csak az /etc/defaults/rc.conf fájl felülírásait tartalmazza.
defaultrouter =”10.15.1.1"
hostname =”etherip02.mydomain.com”
ifconfig_bge0 = ”inet 10.15.1.20 netmask 255.255.0.0 ″

# EtherIP konfiguráció
cloned_interfaces = ”gif0 bridge0 ″
ifconfig_gif0 = “mtu 1500 alagút 10.15.1.20 10.1.1.20 up”
ifconfig_bridge0 = ”addm em0 addm gif0 up”
ifconfig_em0 =”up”
################

kiosztás =”uk.iso”
sshd_enable =”YES”

Vegye figyelembe, hogy a gif0 alagút IP-címei megfordulnak az 1. számítógép és a 2. számítógép között. Ezek az IP-címek a helyi hálózati interfész címei. A FreeBSD számítógépek az én esetemben nem perimetrikus útválasztókként működtek, de ugyanolyan egyszerűen egy harmadik hálózati kártyával is rendelkezhetnek. Nem volt szükségem erre a komplexitásra, mivel az IP-útválasztás már elérhető volt az egészségügyi és a központi kormányzati hálózatokon belül.

Eredmények

A távoli telephelyen lévő kapcsolót VTP kliensként konfigurálták, és azonnal csatlakoztak a központi hálózati VLAN tartományhoz (a Cisco fogalom, nem a Microsofthoz kapcsolódóan), és a „show vlan” parancs kiadásával kiderült, hogy az összes központi hálózati VLAN terjedt az egész hálózaton. A „cdp szomszédok megmutatása” parancs kiadása mellett kiderült, hogy mind a központi, mind a távoli kapcsolók láthatják egymást, mintha közvetlenül kapcsolódnának egymáshoz.

Remélhetőleg ez az útmutató hasznos lehet mindazok számára, akik kiszorították a Google-t ezen információk kereséséért (tudom, én is megpróbáltam!). A szükséglet valójában az Anya, hogy csak kitalálja magának ... és most már nem kell!

Különböző módon léphetnek kapcsolatba velem a Kapcsolat oldalon.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me