Настройка коммутатора
Настройка коммутатора заключается в настройке набора правил для групп коммутации:
- Уникальный номер группы коммутатора (1-4095) для каждой группы
- Интерфейсы, включенные в данную группу коммутации и правила, регулирующие направление определенного трафика в определенную группу коммутации
- На каждом узле можно настроить несколько групп коммутации. Каждый интерфейс устройства можно включить в несколько групп коммутации одновременно
- Группы коммутации назначаются на разных узлах сети MINT. Узлы, на которых настроены одинаковые группы коммутации, составляют «зону коммутации»
- «Зона коммутации» существует только внутри данного сегмента сети MINT.
Группы коммутации
Сеть MINT можно рассматривать как один виртуальный распределенный L2-коммутатор, где границы узлов действуют как внешние порты этого виртуального коммутатора. Задача коммутатора – транспортировка кадров из одного порта в другой. Важно понимать, что группы коммутации следует создавать только на тех узлах, где кадры приходят или уходят во внешнюю сеть относительно MINT. На узлах в режиме повторителя не требуется создавать группы коммутации.
Для направления входящего кадра в одну из групп коммутации, используются гибкие правила, позволяющие сортировать кадры в соответствии с различными критериями, такими как:
Транковые группы
Транковая группа – это группа коммутации, работающая в режиме "trunk".
Входящий поток из проводного сегмента, предназначенный такой группе, разделяется по отдельным подгруппам (входящим в транк группам коммутации) в зависимости от VLAN-тега каждого пакета. При этом номер каждой группы коммутации в транке будет соответствовать номеру VLAN коммутируемых в неё пакетов. Использование транковых групп облегчает процесс настройки коммутатора в случаях, когда нужно обеспечить передачу VLAN-потоков нескольким абонентам.
Если на базовой станции включается Транковая группа, которая будет обеспечивать передачу нескольких VLAN потоков по разным направлениям, то на абонентских терминалах следует использовать опцию "in-trunk" для явного указания, в состав какой транковой группы входит данная Группа коммутации.
При отправке данных через проводной коммутатор, номер группы автоматически преобразовывается в VLAN-тег стандарта 802.1q и, наоборот, при получении пакета через проводной коммутатор VLAN-тег преобразовывается в соответствующий номер группы.
Транковые группы могут использоваться для соединения нескольких сегментов VLAN.
Специальные правила для интерфейсов позволяют гибко управлять VLAN-тегами: удалять, назначать, менять (подробнее см. Руководство ОС WANFleX).
Настройка управления устройством
Для целей управления необходимо создать специальную Группу коммутации, общую для всех устройств в сети MINT и привязать её к интерфейсу SVI.
SVI представляет собой L3-интерфейс Группы коммутации. Он обеспечивает обработку на канальном уровне (L3) пакетов, входящих или выходящих через все порты, связанные с данной Группой коммутации.
Назначьте IP-адреса прямо на интерфейс SVI для непосредственного управления или создайте дополнительный интерфейс VLAN, привязанный к этому SVI - VLAN управления.
Все пакеты, отправляемые через интерфейс SVI, будут распределяться только внутри соответствующей ему Группы коммутации.
Универсальный способ настройки VLAN управления через общую Группу коммутации - назначить IP-адреса VLAN с родительским интерфейсом SVI1, который является управляющим интерфейсом Группы 1, в которую включены интерфейсы "eth0" и "rf5.0" (Подробнее см. раздел "Удаленное управление устройствами R5000"):
ВНИМАНИЕ
Использование специальной группы управления – предпочтительный способ настройки, т.к. VLAN управления создается только на одном сетевом устройстве, а в группе не нужно создавать дополнительные правила.
Альтернативный способ настройки VLAN управления через специальную Группу управления - назначить нужный IP-адрес интерфейсу SVI M, который является управляющим интерфейсом Группы M, в которую включены интерфейсы VLAN X (с родительским интерфейсом "eth0" и "rf5.0"):
Правила групп коммутации
Кадр, предназначенный одной из групп коммутации, не выйдет из этой группы, пока не достигнет одного из внешних портов. Правила групп коммутации применяются только тогда, когда кадр приходит в сеть MINT через один из внешних портов. Чтобы покинуть сеть, кадру не требуется никаких правил, т.к. он уже принадлежит одной из групп коммутации и автоматически перенаправляется на внешний порт (или порты), который принадлежит этой группе коммутации.
ВНИМАНИЕ
Правила используются для следующих целей:
- Выбор подходящей группы коммутации, если пакет получен через интерфейс "ethX". Пакет коммутируется только той группой, правилам которой он полностью соответствует.
ПРЕДОСТЕРЕЖЕНИЕ
Пакет, который не принадлежит ни с одной из групп коммутации, не коммутируется устройством и может быть уничтожен.
- Если пакет назначен группе коммутации, группа решает, пересылать ли пакет через один из интерфейсов или отбросить его. Пакет будет переслан, только если удовлетворяет правилам интерфейса
Правила состоят из условий и решений (разрешение/отказ). Анализируя список правил, коммутатор проверяет, соответствует ли пакет условию текущего правила. Если соответствует, то к нему применяется действие, соответствующее текущему правилу. Если нет, список правил просматривается дальше. Может быть применено только одно из правил. Если пакет не удовлетворяет ни одному из условий, к нему применяется действие, заданное по умолчанию для данной группы или интерфейса.
Условие определяет, какие пакеты будут соответствовать данной группе. Только пакеты, для которых условие является ИСТИНОЙ, будут соотнесены с данной группой. Условие может состоять из одного или нескольких примитивов. Примитивы обычно состоят из ID (номера группы или имени интерфейса) и одного или более классификатора.
Примеры правил фильтрации пакетов:
Одна IP подсеть:
net 192.168.1.0/24
Несколько IP подсетей:
net 192.168.1.0/24 or net 192.168.100.0/24
Несколько IP подсетей с исключениями:
net 192.168.1.0/16 and not net (192.168.100.0/24 or 192.168.200.0/24)
Несколько IP подсетей внутри VLAN:
vlan 50 and (net 192.168.1.0/24 or net 192.168.100.0/24)
Трафик PPPoE:
pppoed or pppoes
или (синонимично):
ether proto 0x8863 or ether proto 0x8864
Запретить передачу на групповые и широковещательные IP-адреса:
not ip multicast
Подробное описание синтаксиса правил фильтрации
Правило фильтрации определяет, какие пакеты выбираются фильтром для дальнейшей обработки. Если нет ни одного фильтра, выбираются все пакеты. Во всех других случаях, будут выбраны только пакеты, для которых выражение является ИСТИНОЙ.
Существует три вида классификаторов:
Классификатор | Описание |
---|---|
type |
|
dir |
|
proto |
|
Кроме того, существует несколько специальных «примитивных» ключевых слов, которые не соответствуют шаблонам: broadcast, greater, less, арифметические выражения. Они описаны ниже.
Cложные выражения фильтрации строятся с использованием слов and, or и not для соединения примитивов. Например, “host foo and not port ftp and not port ftp-data”. Для экономии времени, одинаковые классификаторы могут быть пропущены. Например, “tcp dst port ftp or ftp-data or domain” эквивалентно “tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain”.
Применимые примитивы:
Примитив | Описание |
---|---|
dst host host |
|
src host host |
|
host host |
|
ether dst ehost |
|
ether src ehost |
|
ether host ehost |
|
dst net net |
|
src net net |
|
net net |
|
net net mask netmask |
|
net net/len |
|
dst port port |
|
src port port |
|
port port |
|
dst portrange port1-port2 |
|
src portrange port1-port2 |
|
portrange port1-port2 |
|
less length |
|
greater length |
|
ip proto protocol |
|
ip protochain protocol |
|
ether broadcast |
|
ether multicast |
|
ip multicast |
|
ether proto protocol |
|
ip, arp, rarp, atalk, aarp, iso, stp, ipx, netbeui |
|
svlan [vlan_id] |
|
vlan [vlan_id] |
|
mpls [label_num] |
|
pppoed |
|
pppoes |
|
tcp, udp, icmp |
|
iso proto protocol |
|
clnp, esis, isis |
|
expr relop expr |
|
Примитивы можно комбинировать, используя:
- Группы примитивов и операторов в круглых скобках (скобки используются специально для Shell и должны иметь измененный регистр)
- Инверсию (`!' или `not')
- Конъюнкцию (`&&' или `and')
- Дизъюнкцию (`||' или `or').
Инверсия имеет наивысший приоритет. Дизъюнкция и конъюнкция имеют равный приоритет и сопоставляются слева на право. Обратите внимание, что явный указатель и метки, не расположенные рядом, требуется сцепить. Если идентификатор задан без ключевого слова, предполагается последнее использованное слово. Например, “not host 1.1.1.1 and 2.2.2.2” – сокращение для “not host 1.1.1.1 and host 2.2.2.2” – не следует путать с “not (host 1.1.1.1 or 2.2.2.2)”.
Параметры групп коммутации
В разделе "Коммутатор (MAC Switch)" представлена информация о существующих группах коммутации и правилах, включая группу управления, а также предусмотрена возможность редактирования параметров групп и правил, их удаления и создания новых групп и правил.
Основные элементы управления в данном разделе:
- Флажок "Включить Switch"- позволяет включить/отключить коммутацию.
ПРЕДОСТЕРЕЖЕНИЕ
Отключение коммутатора при отсутствии настроек маршрутизации может привести к прекращению передачи пакетов через устройство.
Область настроек группы коммутации:
Параметр коммутатора | Описание |
---|---|
Группа # |
|
Состояние |
|
Интерфейсы |
|
Repeater |
|
| |
Флуд |
|
Inband |
|
Режим |
|
Описание |
|
Стандартное действие |
|
Default QM Channel |
|
Стандартный приоритет |
|
- Кнопка "Удалить управление" – позволяет удалить интерфейс sviX, используемый для управления устройством.
- Кнопка "Создать управление" – позволяет добавить интерфейсы vlanX и sviX для управления устройством через веб-интерфейс (см. примеры конфигурации в Главе Сценарии настройки оборудования)
Чтобы добавить новое правило для группы коммутации, откройте меню "Правила" в области настроек данной группы и нажмите кнопку "Добавить правило":
Чтобы удалить правило, нажмите кнопку "Удалить прав." в правой части строки данного правила
Чтобы изменить порядок групп коммутации в списке, используйте стрелки "вверх/вниз" в правой части области настройки групп коммутации.
Чтобы удалить группу, нажмите кнопку "Удалить группу" в правом нижнем углу области настроек данной группы.
Чтобы создать новую группу, нажмите кнопку "Создать группу коммутации" под списком существующих групп.
Набор правил применяется ко всем пакетам внутри группы коммутации. Вы можете создать несколько правил коммутации внутри группы коммутации. С помощью правил коммутации могут быть настроены следующие параметры:
Параметр правила коммутации | Описание |
---|---|
Делать |
|
QM Channel |
|
Приоритет |
|
Выражение фильтра Packet capture |
|
Список VLAN |
|
ВНИМАНИЕ
Фильтры в разделах "Коммутатор (MAC Switch)", "IP Firewall" и "Контроль трафика" имеют одинаковый синтаксис для установки правил - PCAP-выражение. Это универсальный инструмент для создания правил.