RFC 3378 EtherIP με το FreeBSD

Έχω γράψει αυτόν τον οδηγό για να μοιραστώ με τον κόσμο πώς να χρησιμοποιήσει το RFC 3378 για να γεφυρώσει δύο δίκτυα σε επίπεδο Ethernet σε ένα δρομολογημένο δίκτυο IP - ειδικά επειδή φαίνεται ότι αυτός θα είναι ο μοναδικός οδηγός στο Διαδίκτυο που καλύπτει τον τρόπο αυτό!


Ιστορικό

Εργάζομαι στο εθνικό υγειονομικό τμήμα μιας τοπικής κυβέρνησης με περισσότερους από 35 ιστότοπους που καλύπτουν υπηρεσίες υγείας και κοινωνικής μέριμνας.

Οι περισσότεροι από αυτούς τους ιστότοπους βρίσκονται σε νησί όπου οι άμεσες επικοινωνίες (που παρέχονται από την τοπική εταιρεία τηλεπικοινωνιών) υπάρχουν ως συνδέσεις WAN μεταξύ της κύριας τοποθεσίας μας και αυτών των δορυφορικών τοποθεσιών. Ένας ιστότοπος βρίσκεται σε άλλο νησί και η σύνδεσή του με αυτήν διατρέχει την κεντρική κυβέρνηση WAN υποδομή και επομένως δεν έχουμε άμεσο έλεγχο στους ενδιάμεσους συνδέσμους. Με απλά λόγια: μεταφέρουμε την IP από τον δρομολογητή μας και φτάνει στον δρομολογητή του απομακρυσμένου μας δικτύου στο δίκτυό μας. Αυτό που συμβαίνει στο μεταξύ είναι μια σειρά από λυκίσκους και μεταβάσεις από οπτικές ίνες, χάλκινους και ραδιοφωνικούς συνδέσμους.

Ξεχωριστά, μια ασύρματη εγκατάσταση είχε ήδη ολοκληρωθεί σε ολόκληρη την περιοχή του κύριου νοσοκομείου και χρησιμοποίησε VLANs για να διαχωρίσει το προσωπικό (ιδιωτικό) και ασθενοφόρο (δημόσιο) SSID στα σημεία πρόσβασης σε ξεχωριστά firewalls.

Απαίτηση

Το νοσοκομείο στο γειτονικό νησί έπρεπε να ενημερωθεί για να συμπεριλάβει την ίδια ασύρματη λύση με την τοπική εφαρμογή. Η παροχή καλωδίων, ηλεκτρικών μπεκ και ασύρματων σημείων πρόσβασης δεν θα ήταν πρόβλημα. Ένα cabler είχε αναπτύξει νέο Ethernet γύρω από το κτίριο. Ο προϋπολογισμός για τα σημεία πρόσβασης και τους προσαρμογείς PoE που εγκρίθηκαν και τα αντικείμενα που αγοράστηκαν.

Πρόβλημα

Το πρόβλημα ήταν να πάρουμε τα ιδιωτικά και ασθενή ασύρματα κανάλια πίσω στον κεντρικό χώρο. Θα μπορούσαμε να δημιουργήσουμε νέα υποδίκτυα, αλλά αυτά θα συγκλίνουν στο δρομολογητή και θα διασχίζουν τους διάφορους λυκάνους στο δρόμο πίσω στο κεντρικό μας δίκτυο. Ωστόσο, αυτό σημαίνει ότι τα "βρώμικα" δεδομένα του ασύρματου ασθενούς θα διασχίζουν παράλληλα με τα "καθαρά" δεδομένα του δικτύου μας και θέτουν τεράστιο κίνδυνο. Είχαμε ήδη εξαλείψει αυτούς τους κινδύνους εφαρμόζοντας διαχωρισμό VLAN στο κεντρικό δίκτυο, οπότε αν υπήρχε μόνο ένας τρόπος για να περάσετε τα VLAN σε ένα δίκτυο δρομολόγησης IP. Δυστυχώς, οι δρομολογητές αποκλείουν την λεγόμενη κίνηση "Επίπεδο 2" και έτσι τα VLANs δεν μπορούν να περάσουν σε άλλο δίκτυο.

Επιπλέον, χρειαζόταν να αποφύγουμε την παροχή βοήθειας από τις υπηρεσίες δικτύου κεντρικής κυβέρνησης, καθώς είχαν πολύ πιο αυστηρό έλεγχο αλλαγής και υψηλότερο επίπεδο beauroucracies ... αλλά λιγότερο είπε γι 'αυτό!

Λύση

Ένα πρότυπο διαδικτύου είχε αναδυθεί πρόσφατα, κυκλοφόρησε με τον κωδικό RFC 3378 και πιο γνωστό ως EtherIP, το οποίο παρέχει την τέλεια λύση στις απαιτήσεις μας - δηλαδή τη γεφύρωση δύο δικτύων Ethernet που καλύπτουν από κοινού έναν δρομολογητή IP.

Ευτυχώς το EtherIP είναι διαθέσιμο στα περισσότερα λειτουργικά συστήματα ανοιχτού κώδικα, συμπεριλαμβανομένου του FreeBSD, του οποίου έχω πολλές γνώσεις στη διαχείριση.

Εκτέλεση

Θα χρειαστείτε δύο υπολογιστές, έναν για κάθε πλευρά του καναλιού και οι δύο θα χρειαστούν δύο κάρτες δικτύου. Μία από τις κάρτες δικτύου συνδέεται με το τοπικό δίκτυο, όπως ένας κανονικός υπολογιστής, με μια διεύθυνση ΙΡ που ταιριάζει στο υποδίκτυο στο οποίο βρίσκεται. Η άλλη κάρτα δικτύου είναι συνδεδεμένη με μια θύρα του διακόπτη (στην περίπτωσή μου, μια Cisco) και είναι αυτό που καταγράφει την κυκλοφορία δικτύου σε επίπεδο Ethernet.

Έκανα μια βασική εγκατάσταση του FreeBSD. δεν υπάρχει ακόμη καμία ανάγκη για λήψη των λιμένων.

Ο υπολογιστής 1 (στον τοπικό ιστότοπο) διέθετε κάρτα Intel EtherExpress fxp0 με διεύθυνση IP 10.1.1.20 και em0 που χρησιμοποιείται για τη θύρα Ethernet.

Ο υπολογιστής 2 (στην τοποθεσία remtoe) διέθετε κάρτα Broadcom bge0 με διεύθυνση IP 10.15.1.20 και em0 που χρησιμοποιείται για τη θύρα Ethernet.

Το FreeBSD έχει μια εικονική διασύνδεση δικτύου που ονομάζεται "gif" που δημιουργεί μια σήραγγα Etherhet μεταξύ δύο τελικών σημείων. Μια διεπαφή δικτύου gif0 δημιουργείται και στους δύο υπολογιστές και τα γεφυρώνει μαζί σε μια δρομολογημένη σύνδεση IP. Δημιουργείται μια άλλη εικονική συσκευή δικτύου που ονομάζεται "γέφυρα", η οποία μπορεί να καλύψει την κυκλοφορία δικτύου μεταξύ παρόμοιων διασυνδέσεων δικτύου, συνήθως Ethernet. Η συσκευή δικτύου bridge0 έχει ρυθμιστεί ώστε να συνδυάζει τις διεπαφές δικτύου gif0 και em0 μαζί. Αυτό επιτρέπει τη διαβίβαση δεδομένων Ethernet σε em0 για να περάσει στο gif0 και μετά από τη μετάβαση μέσω του δρομολογημένου συνδέσμου IP στο gif0 του απομακρυσμένου υπολογιστή και στη συνέχεια στη διασύνδεση δικτύου em0 αυτού του υπολογιστή και τελικά στο δίκτυο εκεί.

Αυτό μπορεί να ακούγεται πιο περίπλοκο απ 'ότι είναι πραγματικά! Ένα γράφημα κειμένου θα μοιάζει με αυτό:

Δίκτυο - (Port Trunk) - em0 - gif0 - fxp0 - δρομολογητής - δρομολογημένος σύνδεσμος IP - δρομολογητής - bge0 - gif0 - em0 -

Διαμόρφωση

Στον διακόπτη Cisco ρυθμίστε μια διεπαφή σε κατάσταση λειτουργίας κορμού:

interface FastEthernet0 / 24
περιγραφή Σύνδεσμος: EtherIP
διακόσμηση κορμό κλαδέματος vlan κανένα
switchport mode κορμό
τέλος

Αυτή είναι η θύρα που θα συνδέσει το em0 (στα συστήματα υπολογιστών μου). Το ίδιο έγινε στον απομακρυσμένο διακόπτη και για το αντίστοιχο em0 του άλλου υπολογιστή.

Αν χρησιμοποιείτε συσκευή που δεν είναι Cisco, θα χρειαστεί να ενεργοποιήσετε το κανάλι χρησιμοποιώντας τις συγκεκριμένες μεθόδους του πωλητή.

Στον υπολογιστή 1 διαμορφώστε το FreeBSD ως εξής στο αρχείο /etc/rc.conf:

# - δημιουργείται sysinstall δέλτα - # Δευτ 31 Ιαν. 12:09:47 2011
# Δημιουργήθηκε: Κυ Ιαν 31 12:09:47 2011
# Ενεργοποιήστε τους δαίμονες δικτύου για την ευκολία των χρηστών.
# Καταχωρίστε όλες τις αλλαγές σε αυτό το αρχείο, όχι στο /etc/defaults/rc.conf.
# Αυτό το αρχείο περιέχει τώρα μόνο τις παρακάψεις από το /etc/defaults/rc.conf.
defaultrouter = "10.1.1.1"
hostname = "etherip01.mydomain.com"
ifconfig_fxp0 = "inet 10.1.1.20 netmask 255.255.0.0"

# Configuration EtherIP
cloned_interfaces = "gif0 bridge0"
ifconfig_gif0 = "mtu 1500 σήραγγα 10.1.1.20 10.15.1.20 επάνω"
ifconfig_bridge0 = "προσθέστε em0 addm gif0 up"
ifconfig_em0 = "επάνω"
################

keymap = "uk.iso"
sshd_enable = "ΝΑΙ"

Στον υπολογιστή 2:

# - δημιουργήθηκαν sysinstall deltas - # Τετ 3 Φεβρουαρίου 11:20:45 2011
# Δημιουργήθηκε: Παρ 3 Φεβρουαρίου 11:20:45 2011
# Ενεργοποιήστε τους δαίμονες δικτύου για την ευκολία των χρηστών.
# Καταχωρίστε όλες τις αλλαγές σε αυτό το αρχείο, όχι στο /etc/defaults/rc.conf.
# Αυτό το αρχείο περιέχει τώρα μόνο τις παρακάψεις από το /etc/defaults/rc.conf.
defaultrouter = "10.15.1.1"
hostname = "etherip02.mydomain.com"
ifconfig_bge0 = "inet 10.15.1.20 netmask 255.255.0.0"

# Configuration EtherIP
cloned_interfaces = "gif0 bridge0"
ifconfig_gif0 = "mtu 1500 σήραγγα 10.15.1.20 10.1.1.20 επάνω"
ifconfig_bridge0 = "προσθέστε em0 addm gif0 up"
ifconfig_em0 = "επάνω"
################

keymap = "uk.iso"
sshd_enable = "ΝΑΙ"

Σημειώστε ότι οι διευθύνσεις IP της σήραγγας gif0 αντιστρέφονται μεταξύ του υπολογιστή 1 και του υπολογιστή 2. Αυτές οι διευθύνσεις IP είναι αυτές της διεπαφής τοπικού δικτύου. Οι υπολογιστές του FreeBSD στην περίπτωσή μου δεν λειτουργούσαν ως περιμετρικοί δρομολογητές αλλά θα μπορούσαν να είναι εξίσου εύκολα με μια τρίτη κάρτα δικτύου. Δεν είχα ανάγκη από αυτή την πρόσθετη πολυπλοκότητα, καθώς η δρομολόγηση IP ήταν ήδη διαθέσιμη στα δίκτυα υγείας και της κεντρικής κυβέρνησης.

Αποτελέσματα

Ο διακόπτης στην απομακρυσμένη τοποθεσία είχε ρυθμιστεί ώστε να είναι πελάτης VTP και εισήλθε απευθείας στον τομέα VLAN του κεντρικού δικτύου (μια έννοια της Cisco και όχι η Microsoft) και η έκδοση της εντολής "show vlan" αποκάλυψε ότι όλα τα κεντρικά δίκτυα VLAN είχαν πολλαπλασιαστεί. Επιπλέον, η έκδοση της εντολής "show cdp neighbors" αποκάλυψε ότι τόσο οι κεντρικοί όσο και οι απομακρυσμένοι διακόπτες μπορούσαν να δουν ο ένας τον άλλον σαν να ήταν συνδεδεμένοι απευθείας μεταξύ τους.

Ας ελπίσουμε ότι αυτός ο οδηγός μπορεί να είναι χρήσιμος σε όλους εκείνους που έχουν στραγγίξει το Google για τις αναζητήσεις για αυτές τις πληροφορίες (ξέρω, προσπάθησα πάρα πολύ!). Η αναγκαιότητα είναι πραγματικά η Μητέρα να το υπολογίζεις για τον εαυτό σου ... και τώρα, δεν χρειάζεται!

Μπορώ να έρθω σε επαφή με διάφορους τρόπους στη σελίδα επαφών μου.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me