Forum Debian Users Gang

tancerz · 2013-05-08 15:09:06

Cześć,

Sporo się naczytałem o dwóch sieciach i konfiguracji DHCP, a im więcej czytam tym większy mętlik mam w głowie... Stad ten temat z prośbą o wyjaśnienie kilku spraw.

Sprawa dotyczy fizycznie jednej sieci ethernet.

Obecnie funkcjonuje posieć z maską 10.0.0.0/23. W tej sieci działa ładnie DHCP z adresami przydzielanymi po MAC, są jakieś regułki firewalla.

Chcę dodać drugą podsieć z taką samą maską 10.0.2.0/23. Planowo będą w niej urządzenia/komputery z tej samej sieci fizycznej, ale mają mieć komunikację jedynie wewnętrzną bez wyjścia na zewnątrz. Podsieci mają się ze sobą komunikować.

Mam do dyspozycji dwie karty sieciowe
pytanie nr 1. czy i jeśli tak to jaki ma sens stosować osobne karty sieciowe na każdą podsieć, skoro to jedna sieć fizyczna? (nie dam rady wydzielić osobnych vlanów) jakie są za i przeciw?

Próbuję skonfiurować DHCPD - konkretnie rozszerzyć konfigurację serwera DHCP który już działa aby i z drugiej podsieci przydzielać adresy po adresie MAC i dać tam pulę dynamicznych adresów.
pytanie nr 2. czy zastosować klauzulę "shared-network" przy wykorzystaniu dwóch sieciówek czy przy jednej z dwoma adresami IP ?

Firewall + routing
Pytanie nr 3. czy wykorzystując dwie sieciówki będzie mi łatwiej zarządzać regułami?
Pytanie nr 4. jak wybór konfiguracji wpłynie na wydajność rucho w sieci?

Pozdrawiam i oczekuję waszych rad :)

jurgensen · 2013-05-08 18:33:56

Moim zdaniem, lepiej to zrobić na osobnych kartach z następujących względów:

1) Utylizacja linków - mając jedną kartę i dwie sieci po 500 hostów, link będzie współdzielony na 1000 hostów. Posiadając dwie karty, ruch rozłoży się na obydwie

2) Konfiguracja firewalla - rozdzielenie na dwie karty sprawi, że będziesz w stanie skonfigurować firewalla nie tylko na podstawie adresów, ale i interfejsów

3) Większa przejrzystość konfugracji

4) Zabezpieczenie na przyszłość - jeśli w przyszłości skonfigurujesz wszystko na vlanach, będziesz miał mniej pracy z przepinaniem oraz rekonfiguracją

Ostatnio edytowany przez jurgensen (2013-05-08 18:35:13)

pasqdnik · 2013-05-08 19:35:04

1. jak najbardziej - chociażby pod względem awarii,
2. pokaż kotku co masz w środku (czyt. wstaw obecną konfigurację)
3. j/w
4. j/w

tancerz · 2013-05-09 07:50:09

Dzięki za wasze tak szybkie odpowiedzi.

jurgensen - dzięki za potwierdzenie tego ku czemu sam się skłaniam :)

Ad 1. i 2.
Testuję teraz wersję na dwie sieciówki.
DHCP - przetestowałem zarówno z opcją shared-network jak i bez niej.

Uproszczony konfig dhcpd.conf (w opcji shared-network wszystko poniższe biorę w klamerki {} i dopisuję na początku "shared-network siec1 "):
--------
#ddns-update-style none;
subnet 10.0.0.0 netmask 255.255.254.0 {
authoritative;
option routers 10.0.0.1;
option subnet-mask 255.255.254.0;
option broadcast-address 10.0.1.255;
option domain-name "siec1.pl";
option domain-name-servers 10.0.0.1;
option netbios-name-servers 10.0.0.1;
option netbios-dd-server 10.0.0.1;
option netbios-node-type 8;
range 10.0.0.10;
default-lease-time 43200;
max-lease-time 86400;

host komp1 {
hardware ethernet yy:yy:yy:yy:yy:yy;
fixed-address 10.0.0.10;
}
}

subnet 10.0.2.0 netmask 255.255.254.0 {
authoritative;
option routers 10.0.2.1;
option subnet-mask 255.255.254.0;
option broadcast-address 10.0.3.255;
option domain-name "siec1.pl";
option domain-name-servers 10.0.2.1;
option netbios-name-servers 10.0.2.1;
option netbios-dd-server 10.0.2.1;
option netbios-node-type 8;
range 10.0.3.1 10.0.3.16;
default-lease-time 43200;
max-lease-time 86400;

host komp2 {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 10.0.2.2;
}
}
--------

W logu mam:
1. Stosując shared-network:
May 9 06:39:07 debian1 dhcpd: Multiple interfaces match the same shared network: eth2 eth1
...
May 9 07:00:51 debian1 dhcpd: DHCPDISCOVER from xx:xx:xx:xx:xx:xx via eth1
May 9 07:00:51 debian1 dhcpd: DHCPOFFER on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth1
May 9 07:00:51 debian1 dhcpd: DHCPDISCOVER from xx:xx:xx:xx:xx:xx via eth2
May 9 07:00:51 debian1 dhcpd: DHCPOFFER on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth2
May 9 07:00:56 debian1 dhcpd: DHCPREQUEST for 10.0.2.2 from xx:xx:xx:xx:xx:xx via eth1
May 9 07:00:56 debian1 dhcpd: DHCPACK on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth1
May 9 07:00:56 debian1 dhcpd: DHCPREQUEST for 10.0.2.2 from xx:xx:xx:xx:xx:xx via eth2
May 9 07:00:56 debian1 dhcpd: DHCPACK on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth2

Czyli wygląda, że odpytania i odpowiedzi idą przez oba interfejsy - czy to jest poprawnie?
Co ważne wpisy takie są raz i adres IP jest popranie przydzielony dla klienta dhcp.

2. bez shared-network:
May 9 07:23:27 debian1 dhcpd: DHCPDISCOVER from xx:xx:xx:xx:xx:xx via eth1
May 9 07:23:27 debian1 dhcpd: no free leases on subnet 10.0.0.0
May 9 07:23:27 debian1 dhcpd: DHCPDISCOVER from xx:xx:xx:xx:xx:xx via eth2
May 9 07:23:27 debian1 dhcpd: DHCPOFFER on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth2
May 9 07:23:32 debian1 dhcpd: DHCPREQUEST for 10.0.2.2 from xx:xx:xx:xx:xx:xx via eth1
May 9 07:23:32 debian1 dhcpd: DHCPNAK on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth1
May 9 07:23:32 debian1 dhcpd: DHCPREQUEST for 10.0.2.2 from xx:xx:xx:xx:xx:xx via eth2
May 9 07:23:32 debian1 dhcpd: DHCPACK on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth2
May 9 07:23:34 debian1 dhcpd: DHCPREQUEST for 10.0.2.2 from xx:xx:xx:xx:xx:xx via eth1
May 9 07:23:34 debian1 dhcpd: DHCPNAK on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth1
May 9 07:23:34 debian1 dhcpd: DHCPREQUEST for 10.0.2.2 from xx:xx:xx:xx:xx:xx via eth2
May 9 07:23:34 debian1 dhcpd: DHCPACK on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth2
May 9 07:23:39 debian1 dhcpd: DHCPREQUEST for 10.0.2.2 from xx:xx:xx:xx:xx:xx via eth1
May 9 07:23:39 debian1 dhcpd: DHCPNAK on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth1
May 9 07:23:39 debian1 dhcpd: DHCPREQUEST for 10.0.2.2 from xx:xx:xx:xx:xx:xx via eth2
May 9 07:23:39 debian1 dhcpd: DHCPACK on 10.0.2.2 to xx:xx:xx:xx:xx:xx via eth2

Wydawało mi się bardziej poprawne, ponieważ przez eth1 jest DHCPNAK (odrzucenie) a przez właściwy interfejs jest DHCPACK (przesłanie danych IP). Jednak ostatnie 4 wpisy logu powtarzają się w logach co kilka sekund i komunikacja z clientem nie działa płynnie.

Z powyższego wynika, że stosując dwa interfejsy sieciowe muszę zastosować opcję shared-network - dobry wniosek ?

Ad. 3 i 4.
Co do firewalla to jest dość mocno rozbudowany (dla podsieci "0"), a podsieć "2" zasadniczo ma mieć pełną komunikację z "0" i absolutnie nic więcej. Dla podsieci "0" oprócz działających reguł potrzebuję jekieś dodatki do komunikacji z podsiecią "2".... ?

jurgensen · 2013-05-09 18:59:43

Spróbuj jeszcze do pierwszej puli dodać opcję deny unknown-clients. Wówczas z tego, co pamiętam (nie mam teraz jak sprawdzić), nie powinien być odsyłany NAK.
To, że REQUEST trafia na dwa interfejsy, to normalne. W przypadku pakietów DHCPREQUEST, adres docelowy ustawiany jest na broadcast.

bobycob · 2013-05-09 20:59:12

Ja się co prawda nie znam, ale odradzam. Jakieś 5 lat temu próbowałem używać tego typu konfiguracji. Niespodzianki pojawiały się gdy system słyszał odpowiedź arp na innym interfejsie niż powinien. Pewnie to była kwestia konfiguracji kernela - ale po co prosić się o problemy.
Moim skromnym zdaniem powinieneś skonfigurować to na jednej karcie, a jeśli chcesz już sieć dzielić to zainwestuj w lepszy sprzęt sieciowy - przechodzone cisco Fastethernet można mieć już za stoparę złotych. Wtedy śmiało możesz szaleć z podziałem sieci. ;).

Inna opcja możesz używać vlanów bez dodatkowego sprzętu - większość kart sieciowych pod windowsem umożliwia pracę na określonym vlanie. Wtedy mimo pracy w jednej sieci fizycznej, będzie się zachowywać jak dwie osobne:).

jurgensen · 2013-05-09 21:37:55

To nie do końca tak, że karty umożliwiają separację sieci bez dodatkowego sprzetu. Po prostu większość kart (i oczywiście sterowników do nich) obsługuje enkapsulację 802.1q. Jednak aby odseparować sieci, cały czas potrzebujemy switcha z obsługą vlanów. Różnica jest taka, że możemy hosta podpiąć jednym linkiem do portu trunkowego i działać na wirtualnych interfejsach w oddzielnych vlanach (czyli coś jakby router na patyku wg nazewnictwa Cisco).

Natomiast jak najbardziej zgadzam się, że wiele podsieci w jednej domenie rozgłoszeniowej, to proszenie się o problemy.

pasqdnik · 2013-05-09 23:49:02

No jasne, niech sobie chłopak walnie podsieć 10.0.0.0/8 na jednej (strzelam, że niezbyt "serwerowej") sieciówce. Nie po to ktoś wymyślił bonding, mosty i inne cuda, żeby trzymać tysiące aktywnych końcówek w sieci na jednej karcie, skoro ruch można ładnie rozłożyć na kilka interfejsów. Kilka regułek w firewallu chyba nie robi różnicy, a w przypadku awarii jest szansa na brak dłuższego przestoju...

tancerz · 2013-05-10 07:38:54

Dzięki za wypowiedzi.

Pisząc o tym, że nie dam rady podzielić sieci na Vlany to jest związane najbardziej z topologią sieci, która jest bardzo mieszana i przy tym z róznymi rodzajami switchy. Dodatkowo podział na podsieci dotyczy nie tylko komputerów, ale i drukarek oraz innych urządzeń, które otrzymują adres z dhcp lub czasem mają go wpisany statycznie.

Jak narazie trzymam się dwóch sieciówek (głownie ze względu na regułki firewalla i wg mnie bardziej przejrzystą sytuację).

jurgensen - DHCPNAK pojawia mi się przy opcji bez "shared-network" i wtedy praktycznie nie działa poprawnie połączenie z komp2. Stosując "shared-network" pomimo otrzymywania DHCPREQUEST (to zrozumiałe) oraz DHCPACK (to dla mnie niezrozumiałe???) na obu interfejsach to komunikacja jest poprawna zarówno z komp1 jak i z komp2. Dodatkowo ponieważ ten serwerek "debian1" jest bramą domyślną dla obu podsieci to komp1 i komp2 komunikują się ze sobą bez problemu.

bobycob - czy bez podziału na vlany nadal doradzasz wykorzystać jedną siecówkę ? jeśli tak to jakie masz na to argumenty?

jurgensen - czy twoje zdanie "wiele podsieci w jednej domenie rozgłoszeniowej, to proszenie się o problemy" dotyczy tego że chcę mieć dwie podsieci w jednym VLAN ?

Widząc to co się dzieje na serwerku w obecnej konfiguracji (DHCPACK przez obie sieciówki) zastanawiam się... czy gdy padnie na nim jedna z sieciówek, to obie podsieci będą dostawać IP z DHCP przez tę drugą? To byłoby (przypadkiem) niezłe zabezpieczenie przydzielania adresów z DHCP przed awarią jednej z sieciówek :)

bobycob · 2013-05-10 09:34:38

Nie ma potrzeby używania przełącznika zarządzalnego gdy hosty pracują bezpośrednio na ramkach tagowanych. Wszystkie współczesne przełączniki takie ramki przepuszczają.

Nie wiem jak duże masz obciążenie sieci, ale podejrzewam, że nie jest to ciągłe 100 Mbit - nie napisałeś też jakie to są interfejsy (może gigowe podłączone do gigowych przełączników).
W każdym razie przy średnim ruchu na poziomie kilku megabitów spadek wydajności nie powinien być zauważalny. Jednak sam musisz wybrać co dla ciebie lepsze. Dwie karty użyłbym tylko w sytuacji fizycznego rozdzielenie sieci.

Forum Debian Users Gang

Ogłoszenie

#1 2013-05-08 15:09:06

tancerz - Użytkownik

1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

#2 2013-05-08 18:33:56

jurgensen - Użytkownik

Re: 1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

#3 2013-05-08 19:35:04

pasqdnik - Pijak ;-P

Re: 1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

#4 2013-05-09 07:50:09

tancerz - Użytkownik

Re: 1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

#5 2013-05-09 18:59:43

jurgensen - Użytkownik

Re: 1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

#6 2013-05-09 20:59:12

bobycob - Członek z Ramienia

Re: 1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

#7 2013-05-09 21:37:55

jurgensen - Użytkownik

Re: 1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

#8 2013-05-09 23:49:02

pasqdnik - Pijak ;-P

Re: 1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

#9 2013-05-10 07:38:54

tancerz - Użytkownik

Re: 1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

#10 2013-05-10 09:34:38

bobycob - Członek z Ramienia

Re: 1 sieć fizyczna - dwie podsieci logiczne - dhcpd / routing / firewall

Stopka forum