kloana
Starter 
Anmeldungsdatum: 06.10.2008
Beiträge: 17
|
 Verfasst am: 10 Okt 2008 12:51 Titel: c't Server 3 mit VLAN's |
   |
|
Hallo,
da ich bei mir zu Hause mit einem VLAN-Switch arbeite, und ich aufgrund der PCI-Steckplätze gerne alle Endian-Interfaces über ein physisches Interface mit VLAN's getrennt fahren möchte, habe ich hier ein kleines HOWTO, wie dies zu realisieren ist.
Bitte keine Diskusionen über die Sinnhaftigkeit/Sicherheit von ROT und GRÜN auf einem physischen Interface! Dies muß jeder für sich abwägen.
Wie im /etc/network/interfaces zu erkennen ist, verwendete ich für den Test die VLAN's 10 (eth0.10=intern), 13 (eth0.13=wlan), 14 (eth0.14=dmz) und 15 (eth0.15=extern).
ACHTUNG:
Wenn ihr zur Zeit über eth0 die Dom0 erreicht müßt ihr höllisch aufpassen, da diese IP, dann ins eth0.10 übernommon werden muß, ihr also am Switch und an der Dom0 etwas ändern müßt, damit ihr wieder hinkommt. Sonst müßt ihr einen Monitor und eine Tastatur anstecken.
1.) Die benötigen Module laden, und gleich in die /etc/modules eintragen, damit sie bei jedem Start geladen werden.
| Code: | modprobe 8021q
echo 8021q >> /etc/modules |
2.) Das benötigte Paket installieren.
| Code: | | apt-get install vlan |
3.) Die /etc/network/interfaces anpassen, damit die VLAN-Interfaces generiert werden, bzw. zu den zugehörigen Bridges hinzugefügt werden. Ich hänge hier einfach meine /etc/network/interfaces an, damit ihr die editieren könnt wie es euch paßt.
| Code: | xen:~# more /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
#
# This file has been modified by ctsrvcfg for Xen.
# if you break it, you have to keep both pieces Wink
#
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface (internal NetworkCard)
allow-hotplug eth0
iface eth0 inet static
up ifconfig eth0 promisc up
pre-up vconfig add eth0 10
pre-up vconfig add eth0 13
pre-up vconfig add eth0 14
pre-up vconfig add eth0 15
post-down vconfig rem eth0 10
post-down vconfig rem eth0 13
post-down vconfig rem eth0 14
post-down vconfig rem eth0 15
auto eth0.10
auto eth0.13
auto eth0.14
auto eth0.15
iface eth0.10 inet manual
iface eth0.13 inet manual
iface eth0.14 inet manual
iface eth0.15 inet manual
up ifconfig eth0.10 up
up ifconfig eth0.13 up
up ifconfig eth0.14 up
up ifconfig eth0.15 up
pre-up brctl addbr intern
# intern is the interface to the internal lan
auto intern
iface intern inet static
address ******
netmask ******
network ******
broadcast ******
gateway ******
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers ******
dns-search ******
pre-up brctl addif intern eth0.10
bridge_fd 1
bridge_stp off
bridge_hello 1
# extern
auto extern
iface extern inet manual
pre-up brctl addbr extern
up ifconfig extern 0.0.0.0 promisc up
pre-up brctl addif extern eth0.15
bridge_fd 1
bridge_stp off
bridge_hello 1
down ifconfig extern down
post-down brctl delbr extern
# wlan
auto wlan
iface wlan inet manual
pre-up brctl addbr wlan
up ifconfig wlan 0.0.0.0 promisc up
pre-up brctl addif wlan eth0.13
bridge_fd 1
bridge_stp off
bridge_hello 1
down ifconfig wlan down
post-down brctl delbr wlan
# dmz
auto dmz
iface dmz inet manual
pre-up brctl addbr dmz
up ifconfig dmz 0.0.0.0 promisc up
pre-up brctl addif dmz eth0.14
bridge_fd 1
bridge_stp off
bridge_hello 1
down ifconfig dmz down
post-down brctl delbr dmz |
4.) Noch die Datei /etc/network/if-up.d/fix-xen anpassen, damit beim booten keine Fehlermeldungen wegen des Protokoll Offloads kommen.
| Code: | #!/bin/bash
if [ $IFACE != "lo" ] && [ $IFACE != "eth0.10" ] && [ $IFACE != "eth0.13" ] && [ $IFACE != "eth0.14" ] && [ $IFACE != "eth0.1
5" ]; then
ethtool -K $IFACE tx off
fi |
5.) Wenn die Ethernet-Karte nicht native VLAN supportet, muß in der /etc/network/if-up.d/fix-xen folgender Befehl zusätzlich eigefügt werden.
| Code: | | ifconfig $IFACE mtu 1496 |
Die Datei würde damit dann so aussehen.
| Code: | #!/bin/bash
if [ $IFACE != "lo" ] && [ $IFACE != "eth0.10" ] && [ $IFACE != "eth0.13" ] && [ $IFACE != "eth0.14" ] && [ $IFACE != "eth0.1
5" ]; then
ethtool -K $IFACE tx off
ifconfig $IFACE mtu 1496
fi |
6.) Noch rebooten, und sich an den großen Mengen an Interfaces freuen und für mich wieder das Bierli mittrinken. Die Config Files für die DomU's können unangetastet bleiben, da dort einfach nur die Bridge angegeben wird. Die Umsetzung aufs VLAN, passiert ja in der Bridge in der Dom0.
lg
Herby
_________________
Hardware Produktiv: ASUS P5B-E Plus, Intel Core 2 Duo E6400, 4GB, 2 NICs (1 x sky2, 1 x e100), 2 x DVB-S (Technisat Skystar2), Cisco Catalyst 3560G-48PS
Software Produktiv: Debian 5.0 Lenny als Dom0, Astaro in HVM als Firewall, Mythtvbackend unter Lenny, mehrere Debian 5.0 Lenny Server paravirtualisiert für Web extern, intern, usw.
VOIP: 1x Cisco 1751-V mit Cisco CallManager Express, 1x Cisco 7971G-GE, 3x Cisco 7961G-GE, 2x Cisco Wireless 7921G |
|
