RFC 3378 EtherIP s FreeBSD

Tuto příručku jsem napsal, abych se světem podělil o tom, jak používat RFC 3378 k přemostění dvou sítí na úrovni Ethernetu přes směrovanou IP síť - zejména protože se zdá, že to bude jediný průvodce na internetu, který bude popisovat, jak to provést!


Pozadí

Pracuji v národním zdravotnickém oddělení místní správy s více než 35 místy pokrývajícími zdravotnické a sociální služby.

Většina z těchto stránek je na ostrově, kde existuje přímá komunikace (poskytovaná místní telekomunikační společností) jako WAN spojení mezi naším hlavním a těmito satelitními místy. Jeden web je na jiném ostrově a naše spojení s ním probíhá prostřednictvím infrastruktury WAN centrální vlády, a proto nemáme přímou kontrolu nad mezilehlými odkazy. Jednoduše řečeno: směrujeme IP z našeho routeru umožňujícího přístup a dorazí k routeru na našem vzdáleném webu do jejich sítě. Mezi tím se děje řada chmelů a přechodů z optických, měděných a rádiových spojů.

Kromě toho již bylo bezdrátové nasazení dokončeno v celém hlavním nemocničním místě a využívaly sítě VLAN k oddělení SSID zaměstnanců (soukromých) a pacientů (veřejných) na přístupových bodech do samostatných firewallů..

Požadavek

Nemocnice na sousedním ostrově musela být aktualizována, aby zahrnovala stejné bezdrátové řešení, jaké bylo implementováno lokálně. Zajištění kabeláže, injektorů energie a bezdrátových přístupových bodů by nebyl problém. Kolář budovy rozmístil nový Ethernet. Schválený rozpočet pro přístupové body a adaptéry PoE a zakoupené položky.

Problém

Problém spočíval v návratu soukromých a trpělivých bezdrátových kanálů zpět na centrální stránku. Mohli bychom vytvořit nové podsítě, ale ty by se sbíhaly na routeru a procházely různé chmele na cestě zpět do naší centrální sítě. To by však znamenalo, že „špinavá“ data bezdrátového pacienta by procházela vedle „čistých“ dat naší sítě a představovala by obrovské riziko. Tato rizika jsme již eliminovali implementací oddělení VLAN v centrální síti, takže kdyby existoval způsob, jak předávat VLAN přes IP směrovanou síť. Směrovače bohužel blokují takzvaný přenos „Layer 2“, takže VLAN nemohou projít do jiné sítě.

Navíc jsme se museli vyhnout požadavku na pomoc od síťových služeb ústřední vlády, protože měli mnohem přísnější kontrolu změn a větší míru beauroucracies… ale o tom méně řekli!

Řešení

Nedávno se objevil internetový standard, který byl vydán pod kódem RFC 3378 a lépe známý jako EtherIP, který poskytuje perfektní řešení našich požadavků - spojení dvou ethernetových sítí společně přes IP routerové spojení.

EtherIP je naštěstí k dispozici ve většině operačních systémů s otevřeným zdrojovým kódem, včetně FreeBSD, o kterých mám spoustu znalostí při správě.

Implementace

Budete potřebovat dva počítače, jeden pro každou stranu překlenutého odkazu a oba budou potřebovat dvě síťové karty. Jedna ze síťových karet se připojuje k místní síti jako normální počítač, s IP adresou, která vyhovuje podsíti, ve které se nachází. Druhá síťová karta je připojena k kmenovému portu přepínače (v mém případě Cisco) a je to, co zachycuje síťový provoz na úrovni Ethernet.

Provedl jsem základní instalaci FreeBSD; není třeba ani stahovat porty.

Počítač 1 (na místním serveru) měl pro ethernetový port používanou kartu Intel EtherExpress fxp0 s adresou IP 10.1.1.20 a em0..

Počítač 2 (na místě s remitem) měl kartu Broadcom bge0 s adresou IP 10.15.1.20 a em0 používanou pro port Ethernet.

FreeBSD má virtuální síťové rozhraní zvané „gif“, které vytváří tunel Etherhet mezi dvěma koncovými body. Síťové rozhraní gif0 je vytvořeno na obou počítačích a spojuje je dohromady přes směrované IP spojení. Je vytvořeno další virtuální síťové zařízení zvané „most“, které může překlenout síťový provoz mezi podobnými síťovými rozhraními, obvykle ethernetovými. Síťové zařízení bridge0 je nakonfigurováno tak, aby kombinovalo síťová rozhraní gif0 a em0 dohromady. To umožňuje přenos dat Ethernetu do em0 na gif0 a (po průchodu směrovaným IP spojením) na gif0 vzdáleného počítače a dále do síťového rozhraní em0 tohoto počítače a nakonec do sítě tam.

Může to znít komplikovaněji, než ve skutečnosti je! Textové schéma by vypadalo takto:

Síť - (kufrový port) - em0 - gif0 - fxp0 - router - směrované IP spojení - router - bge0 - gif0 - em0 - (kufrový port) - síť

Konfigurace

Na přepínači Cisco nakonfigurujte rozhraní do režimu kufru:

rozhraní FastEthernet0 / 24
popis Odkaz: EtherIP
kmene prořezávání kmene kufru spínače
kufr režimu přepínání
konec

Toto je port, ke kterému se připojí em0 (v mých počítačových systémech). Totéž bylo provedeno na dálkovém přepínači i pro příslušné em0 druhého počítače.

Pokud používáte zařízení jiné než Cisco, budete muset povolit vedení pomocí metod specifických pro dodavatele.

V počítači 1 nakonfigurujte FreeBSD v souboru /etc/rc.conf takto:

# - sysinstall vygeneroval deltas - # po 31. ledna 12:09:47 2011
# Vytvořeno: Po 31. lednu 12:09:47 2011
# Povolit síťové démony pro pohodlí uživatele.
# Proveďte všechny změny tohoto souboru, nikoli /etc/defaults/rc.conf.
# Tento soubor nyní obsahuje pouze přepsání z /etc/defaults/rc.conf.
defaultrouter = ”10.1.1.1 ″
hostname = ”etherip01.mydomain.com”
ifconfig_fxp0 = ”inet 10.1.1.20 síťová maska ​​255.255.0.0 ″

# Konfigurace EtherIP
cloned_interfaces = ”gif0 bridge0 ″
ifconfig_gif0 = ”mtu 1500 tunel 10.1.1.20 10.15.1.20 nahoru”
ifconfig_bridge0 = ”addm em0 addm gif0 up”
ifconfig_em0 = ”nahoru”
##################

keymap = ”uk.iso”
sshd_enable = ”ANO”

V počítači 2:

# - sysinstall vygeneroval deltas - # Čt 3. února 11:20:45 2011
# Vytvořeno: Čt 3. února 11:20:45 2011
# Povolit síťové démony pro pohodlí uživatele.
# Proveďte všechny změny tohoto souboru, nikoli /etc/defaults/rc.conf.
# Tento soubor nyní obsahuje pouze přepsání z /etc/defaults/rc.conf.
defaultrouter = ”10.15.1.1 ″
hostname = ”etherip02.mydomain.com”
ifconfig_bge0 = ”inet 10.15.1.20 netmask 255.255.0.0 ″

# Konfigurace EtherIP
cloned_interfaces = ”gif0 bridge0 ″
ifconfig_gif0 = ”mtu 1500 tunel 10.15.1.20 10.1.1.20 nahoru”
ifconfig_bridge0 = ”addm em0 addm gif0 up”
ifconfig_em0 = ”nahoru”
##################

keymap = ”uk.iso”
sshd_enable = ”ANO”

Všimněte si, že adresy IP tunelu gif0 jsou obráceny mezi počítačem 1 a počítačem 2. Tyto adresy IP jsou adresy místního síťového rozhraní. Počítače FreeBSD v mém případě nepůsobily jako obvodové směrovače, ale stejně snadno by mohly být s třetí síťovou kartou. Tuto dodatečnou složitost jsem nepotřeboval, protože směrování IP bylo již k dispozici v sítích zdravotnictví a ústřední vlády.

Výsledek

Přepínač na vzdáleném serveru byl nakonfigurován jako klient VTP a emediately se připojil k doméně VLAN v centrální síti (pojem Cisco, který se netýká společnosti Microsoft) a vydáním příkazu „show vlan“ “odhalil všechny centrální sítě, které se VLAN rozšířily. Navíc příkaz „show cdp Neighbors“ ukázal, že centrální i vzdálené přepínače se mohou navzájem vidět, jako by byly přímo propojeny navzájem.

Doufejme, že tento průvodce může být užitečný pro všechny, kdo vyčerpali Google vyhledávání těchto informací (já vím, také jsem to zkusil!). Nutnost je ve skutečnosti Matka, která si to sama vymyslí… a teď to nemusíte!

Mohu vás kontaktovat různými způsoby podrobně uvedenými na mé stránce Kontakt.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me