[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Debian - IPROUTE MACVLAN

Bom Dia,

Paulinho, no caso eu estava pensando em fazer algo como uma switch trabalha, porém somente com uma eth.

No caso você configurou a vlan como tagged desta forma as estações que estiveram com a flag da vlan vai funcionar, porém em máquinas que eu não tenho acesso a SO (Impressora) eu não conseguiria, por isso da ideia de VLAN com o MAC.




--
Att
Marcos Carraro
about.me/marcoscarraro

Em 27 de agosto de 2015 16:26, Paulino Kenji Sato <pksato@gmail.com> escreveu:
Ola,

2015-08-27 13:32 GMT-03:00 Marcos Carraro <marcos.g.carraro@gmail.com>:
Boa Tarde,

Pessoal alguém sabe me informar se é possível criar no Linux uma placa virtual, e nesta placa virtual amarar a ela vários MACs das estações, e então deixar estas estações isoladas de outras estações, algo parecido com o que é feito em switchs gerenciáveis, porém sem o uso delas, apenas do linux e uma única placa de rede.

Encontrei algumas coisas com o uso do iproute2 + macvlan mas nada claro, de como utilizar, ou como funciona...

Na verdade seria o Linux se comportando como uma Switch Gerenciavel L2

Abraços

--
Att
Marcos Carraro


Para fazer isso teria que ter cada estação conectado em uma PHY independente. Isso pode ser feito usando várias placas de rede. Existem placas com múltiplos PHY (4).
E usar o ebtables para fazer o controle.
Uma alternativa e usar o 802.1x e cada estação ingressar/autenticar em uma vlan (802.1q).
Da para fazer usando somente o 802.1q.
O problema e que nem todas as placas  (driver) ou sistema operacional suportam o 802.1q ou 802.1x.
Além do problema de endereçamento ip, já que cada vlan e uma rede independente. Talvez de para contornar isso fazendo bridge para uma outra interface, com a dummy ou tap.
O ebtables ou mesmo o iptables controla quais os mac podem se comunicar com o linux.
Isso não impede de outra estação entrar na mesma vlan (autenticação controla isso).

Nunca implantei uma 802.1x. Mas 802.1q tenho usado sempre que preciso de mais redes. Por exemplo isolar as redes WiFis.
Se compra um switch gerenciável a partir de R$850.
Alguns switchs baratos não gerenciáveis podem ser modificados para suportar 802.1q. Mas, precisa saber catar bits para reprogramar a eeprom.
Um desses switch usa o chip RTL8309SB, de 8 portas. Reprogramei algumas para ter vlans. Também da para criar port vlan (pvlan), isso isola as portas ou grupo de portas de se comunicarem entre si. pvlan e vlan são combinados para ter uma 802.1q.

Se tiver dois ou mais linux:
Instale o pacote vlan
não configure a ethX (sem ip), ou a derrube (ifdown ethX)
crie uma vlan
vconfig add ethX 2
configure um ip
ip addr add 192.168.2.1/24 dev ethX.2  (mude o final do ip para a outra estação)
suba as interfaces
ip link set up dev ethX
ip link set up dev ethX.2

pode criar mais uma e configurar uma 3 estação
vconfig add ethX 3
ip addr add 192.168.3.1/24 dev ethX.3
ip link set up dev ethX.3

Na 3a estação (ethX.3), pode configurar o ip da rede ethX.2, que não vai conseguir se comunicar com a estação que só tem a ethX.2  configurada.

As vlan vão de 2 a 4095 (0 e 1 são reservados)

Isso não impede que um sniffer ou mesmo o OS informe quais as vlans disponíveis na rede.







--
Paulino Kenji Sato

Reply to: