VLAN для интерфейса сетевого моста#

Описание#

IEEE 802.1q, часто называемый Dot1q, - это сетевой стандарт, поддерживающий виртуальные локальные сети VLAN в сетях Ethernet стандарта IEEE 802.3. Стандарт определяет систему для маркировки кадров Ethernet и сопутствующие процедуры, которые должны использоваться сетевыми устройствами при работе с такими кадрами. Стандарт также содержит положения о схеме приоритизации качества обслуживания, известной как IEEE 802.1p, и определяет протокол регистрации общих атрибутов.

В ПО Факел интерфейсы 802.1q представлены как виртуальные интерфейс подчиненный физическому интерфейсу. Для обозначения такого интерфейса используется термин vif.

Примечание

Поскольку интерфейсы сетевого моста с поддержкой VLAN предполагают, что все немаркированные пакеты по умолчанию принадлежат VLAN 1 и что VLAN ID родительского интерфейса сетевого моста всегда равен 1, использование опции vif 1 для интерфейса сетевого моста недопустимо,

Настройка#

Пример настройки#

Пример создания интерфейса сетевого моста с поддержкой VLAN выглядит следующим образом:

* br100 - имя интерфейса сетевого моста

Интерфейс eth1 работает в режиме транк и пропускает через себя пакеты, помеченные тегом VLAN 10.
Интерфейс eth2 принадлежит VLAN 10 и передает нетегированный трафик
На интерфейсе сетевого моста br100 настроен протокол STP
192.0.2.1/24 - IPv4 адрес интерфейса сетевого моста br100
2001:db8::ffff/64 - IPv6 адрес интерфейса сетевого моста br100

Список команд для настройки интерфейса сетевого моста с поддержкой VLAN:

set interfaces bridge br100 enable-vlan
set interfaces bridge br100 member interface eth1 allowed-vlan 10
set interfaces bridge br100 member interface eth2 native-vlan 10
set interfaces bridge br100 vif 10 address 192.0.2.1/24
set interfaces bridge br100 vif 10 address 2001:db8::ffff/64
set interfaces bridge br100 stp

Пример конфигурации интерфейса сетевого моста c поддержкой VLAN:

admin@fakel# show interfaces bridge br100
 enable-vlan
 member {
     interface eth1 {
         allowed-vlan 10
     }
     interface eth2 {
         native-vlan 10
     }
 }
 stp
 vif 10 {
     address 192.0.2.1/24
     address 2001:db8::ffff/64
 }

Список команд#

Основные настройки#

• set interfaces bridge <interface> vif <vlan-id>#

Создает новый интерфейс VLAN на интерфейсе <interface>, используя номер VLAN, указанный в поле <vlan-id>.

На одном физическом интерфейсе можно создать несколько интерфейсов VLAN. Диапазон идентификаторов VLAN составляет от 0 до 4094.

Примечание

На Ethernet интерфейсах vif принимаются только пакеты с метками 802.1Q.

• set interfaces bridge <interface> vif <vlan-id> address <address | dhcp | dhcpv6>#

Задает адрес <address | dhcp | dhcpv6> для VLAN <vlan-id> интерфейса.

address может быть указан несколько раз как IPv4 и/или IPv6-адрес, например, 192.0.2.1/24 и/или 2001:db8::1/64
dhcp адрес интерфейса получен по DHCP от DHCP-сервера в данном сегменте.
dhcpv6 адрес интерфейса получен по протоколу DHCPv6 от сервера DHCPv6 в данном сегменте.

• set interfaces bridge <interface> vif <vlan-id> description <description>#: Задает описательный псевдоним <description> для VLAN <vlan-id> интерфейса. Например, псевдоним используется командой show interfaces или средствами мониторинга на базе SNMP.

• set interfaces bridge <interface> vif <vlan-id> disable#: Отключает VLAN <vlan-id> интерфейс. После отключения интерфейс будет переведен в состояние административного отключения (A/D).

• set interfaces bridge <interface> vif <vlan-id> disable-link-detect#

С помощью этой команды можно настроить VLAN <vlan-id> интерфейс таким образом, чтобы он не обнаруживал изменений физического состояния канала связи, например, при отсоединении кабеля.

По умолчанию VLAN интерфейсы настроены на обнаружение изменения физического состояния канала.

• set interfaces bridge <interface> vif <vlan-id> mac <xx:xx:xx:xx:xx:xx>#: Задает MAC адрес для VLAN <vlan-id> интерфейса.

• set interfaces bridge <interface> vif <vlan-id> mtu <mtu>#: Устанавливает размер MTU <mtu> для VLAN <vlan-id> интерфейса.

• set interfaces bridge <interface> vif <vlan-id> ip arp-cache-timeout#: Устанавливает тайм-аут записи в ARP-кэш в секундах <1-86400> для VLAN <vlan-id> интерфейса. По умолчанию это значение равно 30 секундам.

• set interfaces bridge <interface> vif <vlan-id> ip disable-arp-filter#

Отключает фильтрацию ARP на VLAN <vlan-id> интерфейсе.

Если этот параметр установлен, то ядро может отвечать на запросы ARP адресами с других интерфейсов.

По умолчанию этот параметр отключен. Это позволяет иметь несколько сетевых интерфейсов в одной подсети, и ответ на ARP адреса каждого интерфейса зависит от того, будет ли ядро маршрутизировать пакет с ARP адреса через этот интерфейс. Для работы этой функции необходимо использовать маршрутизацию на основе источника.

• set interfaces bridge <interface> vif <vlan-id> ip disable-forwarding#: Отключает переадресацию IP на VLAN <vlan-id> интерфейсе.

• set interfaces bridge <interface> vif <vlan-id> ip enable-arp-accept#

Включает прием ARP пакетов на VLAN <vlan-id> интерфейсе.

Определяет поведение для ARP пакетов, IP записи которых еще не присутствует в ARP таблице. Если настройка включена, то создаются новые записи в ARP таблице.

Как ответы, так и запросы типа gratuitous arp будут вызывать обновление ARP таблицы, если эта настройка включена.

Если в ARP таблице уже содержится IP адрес кадра gratuitous arp, то ARP таблица будет обновлена независимо от того, включена или выключена эта настройка.

• set interfaces bridge <interface> vif <vlan-id> ip enable-arp-announce#: Включает анонсирование ARP пакетов на VLAN <vlan-id> интерфейсе.

• set interfaces bridge <interface> vif <vlan-id> ip enable-arp-ignore#

Включает игнорирование ARP пакетов на VLAN <vlan-id> интерфейсе.

Этот параметр определяет режимы отправки ответов в ответ на полученные ARP запросы, разрешающие локальные целевые IP-адреса:

Если параметр включен, ответ будет отправлен только в том случае, если целевой IP адрес является локальным адресом, настроенным на входящем интерфейсе.
Если параметр отключен (по умолчанию), ответ будет получен для любого локального целевого IP адреса, настроенного на любом интерфейсе.

• set interfaces bridge <interface> vif <vlan-id> ip enable-proxy-arp#: Включает прокси ARP на VLAN <vlan-id> интерфейсе. Прокси ARP позволяет интерфейсу Ethernet отвечать своим MAC адресом на ARP запросы IP адресов назначения в подсетях, подключенных к другим интерфейсам системы.

• set interfaces bridge <interface> vif <vlan-id> ip proxy-arp-pvlan#: Включает прокси ARP частного VLAN на VLAN <vlan-id> интерфейсе.

• set interfaces bridge <interface> vif <vlan-id> ip source-validation <strict | loose | disable>#

Включает политику проверки источника по обратному пути, как указано в RFC 3704.

В настоящее время в RFC 3704 рекомендуется включать строгий режим для предотвращения подмены IP адресов в результате DDos атак. При использовании асимметричной или другой сложной маршрутизации рекомендуется использовать свободный режим.

strict: Каждый входящий пакет проверяется по FIB, и если интерфейс не является наилучшим обратным путем, то проверка пакета будет неудачной. По умолчанию неудачные пакеты отбрасываются.
loose: Адрес источника каждого входящего пакета также проверяется по FIB, и если адрес источника не достижим ни через один интерфейс, проверка пакета будет неудачной.
disable: Нет проверки источника

• set interfaces bridge <interface> vif <vlan-id> ipv6 address autoconf#: Включает механизм получения IPv6-адреса с помощью :abbr: SLAAC(Stateless Address Auto-configuration).

Примечание

Этот метод автоматически отключает пересылку трафика IPv6 на VLAN интерфейсе.

• set interfaces bridge <interface> vif <vlan-id> ipv6 address eui64 <prefix>#: Устанавливает префикс EUI-64 на основе MAC адреса <prefix> для IPv6 адреса VLAN <vlan-id> интерфейса.

• set interfaces bridge <interface> vif <vlan-id> ipv6 address no-default-link-local#: Удаляет локальный адрес IPv6 по умолчанию для VLAN <vlan-id> интерфейса.

• set interfaces bridge <interface> vif <vlan-id> ipv6 disable-forwarding#: Отключает IP переадресацию на VLAN <vlan-id> интерфейсе.

• set interfaces bridge <interface> vif <vlan-id> vrf <vrf>#: Размещает VLAN <vlan-id> интерфейс в указанном экземпляре VRF <vrf>.

Настройка получения адреса по DHCP#

• set interfaces bridge <interface> vif <vlan-id> dhcp-options client-id <description>#: Устанавливает идентификатор <description>, используемый клиентом для идентификации себя DHCP сервером

• set interfaces bridge <interface> vif <vlan-id> dhcp-options host-name <hostname>#: Изменяет системное имя устройства <hostname>, передаваемое DHCP серверу.

• set interfaces bridge <interface> vif <vlan-id> dhcp-options vendor-class-id <vendor-id>#

Определите тип поставщика клиента <text> для DHCP сервера.

Опция vendor-class-id может быть использована для запроса у сервера определенного класса опций поставщика.

• set interfaces bridge <interface> vif <vlan-id> dhcp-options no-default-route#: При активации параметра no-default-route у DHCP сервера запрашивается только адрес, но не запрашивается шлюз по умолчанию.

• set interfaces bridge <interface> vif <vlan-id> dhcpv6-options duid <duid>#

Задает уникальный идентификатор DHCP (DUID) для VLAN <vlan-id> интерфейса.

Уникальный идентификатор DHCP (DUID) используется клиентом для получения IP адреса от сервера DHCPv6. Он имеет 2-х байтовое поле типа DUID и поле идентификатора переменной длины до 128 байт. Его фактическая длина зависит от типа. Сервер сравнивает DUID со своей базой данных и выдает клиенту данные (адрес, время аренды, DNS-серверы и т.д.).

• set interfaces bridge <interface> vif <vlan-id> dhcpv6-options parameters-only#: Опция parameters-only определяет, что DHCPv6 должен обмениваться с серверами только информационными настройками. Примером таких параметров является список адресов DNS серверов. Этот параметр полезен, когда клиенту не нужны параметры с сохранением состояния, такие как IPv6 адреса или префиксы.

• set interfaces bridge <interface> vif <vlan-id> dhcpv6-options rapid-commit#: Включает опцию rapid-commit, которая отвечает за получение настроек для VLAN интерфейса от DHCPv6 сервера.

• set interfaces bridge <interface> vif <vlan-id> dhcpv6-options temporary#: При активации параметра temporaru устройство запрашивает только временный адрес и не создавать партнерство :abbr: IA_NA (Identity Association for Non-temporary Addresses).

Настройка делегирования DHCPv6 префикса#

• set interfaces bridge <interface> vif <vlan-id> dhcpv6-options pd <id> length <length>#

Задает размер делегируемого префикса <length> для экземпляра делегирования префикса <id> на VLAN <vlan-id> интерфейсе.

Некоторые провайдеры по умолчанию делегируют только префикс /64. Чтобы запросить определенный размер префикса, используйте эту опцию для запроса большего делегирования для данного экземпляра делегирования префикса <id>. Это значение находится в диапазоне от 32 до 64, поэтому вы можете запросить делегирование от /32 префикса (если ваш провайдер позволяет это сделать) до /64. Значение по умолчанию соответствует 64.

• set interfaces bridge <interface> vif <vlan-id> dhcpv6-options pd <id> interface <delegatee> address <address>#

Определяет адрес интерфейса <address>, используемый локально на интерфейсе <delegatee>, на который был делегирован префикс.

Он будет объединен с делегированным префиксом и sla-id для формирования полного адреса интерфейса. По умолчанию используется EUI-64-адрес интерфейса.

• set interfaces bridge <interface> vif <vlan-id> dhcpv6-options pd <id> interface <delegatee> sla-id <id>#: Задает значение идентификатора агрегатора уровня сайта SLA <sla-id> на интерфейсе <delegatee>. ID должен быть десятичным числом, большим 0, которое укладывается в длину идентификаторов SLA.