Wie konfiguriere ich LAN-IPs und Subnetze für diese Topologie?

0

Ich habe einen Server mit 1G- und 10G-Links und einen 1G + 10G-Switch. Ich möchte in der Lage sein, die 1G- und 10G-Verbindungen gleichzeitig zu verwenden - entweder um beide gegeneinander zu testen oder um über SSH auf einem zu befehlen, während auf dem anderen getestet wird. Dies ist ungefähr die Topologie, die ich gerne hätte. Ich bin mir jedoch nicht sicher, wie ich am besten zwei Verbindungen parallel zwischen den Geräten einrichten und sie ohne Konflikte oder Probleme als eindeutig behandeln kann.

Dies ist die vereinfachte Topologie, die ich möchte:

Bildbeschreibung hier eingeben

Weil konkrete Ergebnisse helfen könnten

  • Ich möchte in der Lage sein, über meine 1G-Verbindung SSH vom PC zum Server auszuführen, damit ich die 10G-Verbindung über SCP / Samba hart schlagen oder neu konfigurieren und gründlich testen kann.

  • Ich möchte auch meine SSH-Sitzung live und sichtbar halten und gleichzeitig die Verkehrsergebnisse für identischen Verkehr vergleichen, der zwischen denselben Endpunkten über die 1G- und 10G-Leitungen gesendet wird.

  • Ich möchte ganz genau steuern, auf welche Link-Daten vom Client gesendet wird. Zum Beispiel möchte ich in der Lage sein, SERVER-1 zu pingen oder eine Datei über SCP / Samba zu senden. Wenn ich eine Antwort erhalte, stelle sicher, dass die Daten über SWITCH-3 und nicht über SWITCH-4 -> SERVER-2 - übertragen wurden. > SERVER-1 und wurde tatsächlich auf dem Server überbrückt.

  • Im Idealfall sollte der PC die beiden Server-IPs als separate Geräte betrachten und nicht erkennen, dass es sich um den gleichen Computer handelt. (Ich sende keine pathologischen Informationen zu den beiden Links, bei denen es zu Konflikten kommen könnte, wenn SERVER-1 und SERVER-2 so konfiguriert wären, als wären sie tatsächlich Links zu zwei separaten Servern und nicht zum selben Server). Ebenso sollte der Server die beiden Verbindungen vom PC als separate Datenströme sehen, möglicherweise von separaten PCs.

  • Schließlich kann ich damit die Dateifreigabe verbinden und trennen, aber eine ständige PC + Internetverbindung über die 1G-Verbindung aufrecht erhalten.

Ich bin mir nicht sicher, welche Auswirkungen solche parallelen Links haben oder was ich tun muss, um sie vollständig zu trennen. Auf dem Server läuft FreeBSD 11, wenn es hilft.

Für einen Teil des Tests wäre es nur sehr hilfreich, zwei Links zum Server zu haben, einen zum Verwalten und einen zum Testen (break!), Die nicht miteinander interagieren oder sich gegenseitig leiten, obwohl sie dieselben zwei Hosts verbinden.

Ich habe überlegt, ihnen separate Subnetze zuzuweisen (SERVER-1 @ 10.1.0.0/24 und SERVER-2 @ 10.2.0.0/24), bin mir aber nicht sicher, wie weit ich gehen muss, um den gewünschten Effekt zu erzielen . Ich habe momentan keine VLANs im LAN. Wenn das also eine Lösung wäre, kann ich sie heute nicht wirklich verwenden.

Aktualisieren

Der "Switch" ist eine pfSense-Plattform, daher gibt es FreeBSD 11 mit 2 x Dual 10G SFP + Chelsio-NICs für den Moment. Ich weiß, dass dies nicht die Zielrolle ist, aber mit einem kompakten Regelsatz können Samba-Pakete mit 4,5 Gbit / s auf 2 verschiedenen Verbindungen gleichzeitig zum Ad-hoc-Testen oder zum Ersetzen von defekter 10G-Ausrüstung während des Kaufs übertragen werden Ein Ersatz, der für das, was ich mache, ausreicht, da er eher ein Labor als eine Produktion ist.

Es kann also alles tun, was pf+ die Chelsio-On-Card-Firmware kann, was es sehr flexibel macht. Aber ich hätte gedacht, es gibt eine Standardmethode, um dies einzurichten, also bin ich fasziniert.

Der Hintergrund ist, dass mein Haupt-10G-Switch gerade gestorben ist und ich mir etwas Zeit nehme, um überfällige Fehlerbehebung / Tuning durchzuführen, einige neue Dinge zu lernen und einige Tests durchzuführen, weshalb ich keine weitere Bandbreite benötige und warum dies so ist ist in Ordnung, bis der Schalter in etwa einem Monat ausgetauscht werden kann.

ip subnet wired-networking Stilez
quelle
Bitte bearbeiten Sie die Frage mit Marke und Modell des Schalters, damit wir Handbücher usw. googeln können. Je nachdem, was der Schalter genau tut, ist dies in dieser Konfiguration möglicherweise überhaupt nicht möglich, und Sie müssen möglicherweise mit den beiden Links ohne Schalter experimentieren .
Dirkt
1
Es hört sich so an, als müssten Sie nur eine eindeutige IP-Adresse für jede der Server-NICs festlegen. Ein Switch hat keine Ahnung, zu welchem ​​Gerät (welchen Geräten) eine bestimmte IP gehört. Er kennt lediglich die MAC-Adresse. Bei zwei NICs haben Sie also zwei MACs und damit zwei unterschiedliche Endpunkte, an die der Switch Datenverkehr senden kann.
MaQleod
Gibt es einen Grund, eine IP-Adresse der anderen vorzuziehen? Könnten Sie nicht beide IPs dual stapeln und verwenden? Wenn Anfragen für IPv4 eingehen, können Sie dies nativ unterstützen, oder wenn Anfragen für IPv6 eingehen, können Sie dies nativ unterstützen. Der Versuch, eine Verbindung zu einem Gerät herzustellen, das nur eine IP mit der anderen IP unterstützt, kann sehr hässlich werden. Dem Switch (Ethernet) ist es egal, welche oder beide IPs er trägt.
Ron Maupin
@ Ron - Ich teste und behebe Probleme. Das gesamte Ziel ist nicht Failover oder willkürliche Anfragen (außer denen, die ich selbst sende). Ein dedizierter Management-Link und ein dedizierter Test- / Daten-Link - und die Maschinen werden nicht durch zwei Routen verwirrt, und die NICs werden intern nicht überbrückt. Ich könnte der zweiten Gruppe ein eigenes Subnetz zuweisen, aber ich möchte, dass sie sich, wenn möglich, im selben Subnetz befinden - aber ist das möglich?
Stilez
Die beiden unterschiedlichen IPs sind separate Protokolle und können nicht ohne irgendeine Art von Klamotten kommunizieren. und IPv4-Host kann nicht direkt mit einem IPv6-Host kommunizieren. Deshalb stapeln Sie Ihren Server doppelt.
Ron Maupin

Antworten:

0

Alles, was Sie tun müssen, ist, jeder Ihrer Netzwerkkarten eine eigene IP-Adresse zuzuweisen. Dies kann entweder statisch oder über DHCP erfolgen. Stellen Sie dann nur sicher, dass Sie bei der Kommunikation mit dem Server die richtige IP-Adresse verwenden.

Zum Beispiel, wenn Sie NIC 1 als 192.168.10.101und NIC 2 als 192.168.10.202dann konfigurieren :

  • Beide Netzwerkkarten befinden sich im selben LAN
  • Der Verkehr, der für bestimmt ist 192.168.10.101, wird immer über SWITCH 3 <-> SERVER 1 abgewickelt
  • Der Verkehr, der für bestimmt ist 192.168.10.202, wird immer über SWITCH 4 <-> SERVER 2 abgewickelt

Wenn Sie einen lokalen DNS-Server eingerichtet haben, können Sie für jede IP-Adresse separate Hosteinträge erstellen, um den Datenverkehr leichter leiten zu können.

kicken
quelle
Die Sorge ist dies. Angenommen, ich mache das und pinge dann SVR1 oder verwende \\ SVR1 (Samba-Freigabe). Könnte der Datenverkehr über PC-> SW4-> SVR2-> SVR1 auf dem Server unsichtbar überbrückt werden (wenn SVR1 nicht verbunden ist) oder aufgrund der geringen 10G-Latenz (wenn beide Routen verfügbar sind) auf diese Weise weitergeleitet werden? Was ist, wenn SVR CURL verwendet, um von einem LAN / WAN-Computer aus zu dl, um sicherzustellen, dass SVR2-> SW4 nicht als Gateway / fwdr kooptiert werden kann, sondern nur Punkt-zu-Punkt zwischen zwei Computern, sodass der SVR-Verkehr auf SW4 gewonnen hat? nicht über PC / SWITCH an eine andere Netzwerkkarte / einen anderen Router / ein anderes Gerät überbrücken / weiterleiten? Moreso, wenn das lokale Subnetz / 16 beide IPs enthält. Das ist meine Frage - wie
Stilez
Afaik, SW4 -> SRV2 -> SVR1 sollte nicht möglich sein. Der Switch würde nicht wissen, dass SVR1 über SRV2 erreichbar ist, also würde er keine Daten auf diese Weise senden. Wenn der Datenverkehr vom Server ausgeht, müssen Sie sicherstellen, dass das Programm an die richtige IP-Adresse gebunden ist, da das Betriebssystem sonst eine IP-Adresse auswählen würde, die es für richtig hält. Insbesondere für Curl würde dies die Verwendung der --interface/ --dns-interface-Optionen bedeuten .
Kicken
Wenn Sie möchten, dass ein Link für die Kommunikation mit einem bestimmten PC reserviert ist und sich beide auf demselben Switch befinden, sollte auch ein privates Subnetz über eine statische Konfiguration funktionieren.
Kicken
0

Grundsätzlich sollte Ihr Switch aus den MACs von NIC1 und NIC2 (die natürlich unterschiedliche Adressen benötigen) herausfinden, welchen Pfad das Paket gehen sollte, und sollte es nicht auf den anderen Pfad senden, um absolut sicherzugehen ( und wenn Sie neue Dinge lernen möchten, würde ich VLANs einrichten, um die Datenpfade vollständig zu trennen.

PfSense unterstützt VLANs, daher sollte auch Ihr Switch dies tun. Grob gesagt ist ein VLAN-Paket wie ein normales Ethernet-Paket, verfügt jedoch über ein zusätzliches Tag-Feld, sodass Sie Ihren Switch so einrichten können, dass er sich wie mehrere "überlagerte" virtuelle Switches verhält. Ihr Switch sollte auch Tags hinzufügen oder entfernen können.

So können Sie beispielsweise ein VLAN mit Tags haben 1, 2und zwar 3wie folgt:

              Switch           Server

                         tag 1
ROUTER        NIC1  NIC3 ----- NIC1

PC      ----- NIC2  NIC4       NIC2
        tag 1


ROUTER        NIC1  NIC3       NIC1

PC      ----- NIC2  NIC4 ----- NIC2
        tag 2            tag 2


        untag            tag 3     
ROUTER  ----- NIC1  NIC3 ----- NIC1

PC      ----- NIC2  NIC4       NIC2
        tag 3

Der Router kann möglicherweise keine getaggten VLAN-Pakete verarbeiten.

Erstellen Sie unterschiedliche Subnetze für die verschiedenen VLANs, z. B. 192.168.0.0/24 ist das vom Router bereitgestellte Subnetz (Tag 3), und 10.0.1.0/24 und 10.0.2.0/24 sind die Subnetze für Tag 1 und Tag 2.

Sie können ipVLANs zu Netzwerkschnittstellen hinzufügen und Adressen festlegen. Dies ist beispielsweise für Ihren Server mit eth1und der eth2Fall

ip link add link eth1 name vlan1 type vlan id 1
ip link add link eth2 name vlan2 type vlan id 2
ip link add link eth1 name vlan3 type vlan id 3
ip addr add 10.0.1.10/24 dev vlan1
ip addr add 10.0.2.10/24 dev vlan2
ip addr add 192.168.0.10/24 dev vlan3

Sie können einige Anwendungen, z. B. Samba, anweisen, sich nur an bestimmte Schnittstellen zu binden, z vlan3. Oder Sie können Netzwerknamespaces erstellen und sagen, vlan1in diesen Namespace einfügen und in diesem Namespace ausführen sshd. Und so weiter.

Das VLAN-Tagging ist mit einem gewissen Aufwand verbunden, obwohl Ihr Switch dies im Prinzip in der Hardware tun sollte. Experimentieren Sie daher auch mit der Geschwindigkeit, wenn Sie nur Pakete ohne Tag verwenden.

dirkt
quelle