xg-scale

annotate bridge.tex @ 6:4a790b55d005

Обновлен раздел по Windows XP. Исправлен стиль, добавлены некоторые уточнения по конфигурационному файлу
author Igor Chubin <igor@chub.in>
date Wed Jul 09 08:50:18 2008 +0300 (2008-07-09)
parents
children
rev   line source
igor@0 1 \section{Программный мост в Linux}
igor@0 2
igor@0 3 \textbf{Бридж} (англ. \textit{bridge}, мост) — это способ соединения двух сегментов Ethernet на канальном уровне, т.е. без использования протоколов более высокого уровня, таких как IP. Пакеты передаются на основе Ethernet-адресов, а не IP-адресов (как в маршрутизаторе). Поскольку передача выполняется на канальном уровне (уровень 2 модели OSI), все протоколы более высокого уровня прозрачно проходят через мост.
igor@0 4
igor@0 5 Термины коммутатор, мост и бридж могут использоваться на данной странице как взаимознаменяемые.
igor@0 6
igor@0 7 Код bridge в Linux является частичной реализацией стандарта \htmladdnormallinkfoot{ANSI/IEEE 802.1d}{http://standards.ieee.org/getieee802/}.
igor@0 8 Впервые бриджинг в Linux появился в 2.2, затем код был переписан
igor@0 9 Леннертом Буйтенхеком (Lennert Buytenhek).
igor@0 10 Код bridge интегрирован в ядра серий 2.4 и 2.6.
igor@0 11
igor@0 12 \subsection{Коммутация и фильтрация}
igor@0 13 Linux-мосты более мощные чем простые аппаратные мосты и коммутаторы,
igor@0 14 поскольку они могут ещё фильтровать и регулировать трафик.
igor@0 15 Комбинация коммутатора и брандмауэра выполняется с помощью
igor@0 16 родственного проекта
igor@0 17 ebtables.
igor@0 18
igor@0 19 \subsection{Состояние}
igor@0 20 Код обновляется как часть ядра Linux 2.4 и 2.6, доступного на kernel.org.
igor@0 21
igor@0 22 Возможные будущие усовершенствования:
igor@0 23 \begin{itemize}
igor@0 24 \item Описать фильтрацию STP
igor@0 25 \item Использовать Netlink interface для управление бриджами (прототип в 2.6.18)
igor@0 26 \item Добавить поддержку в user space
igor@0 27 \item Сделать поддержку RSTP и других расширений 802.1d STP
igor@0 28 \end{itemize}
igor@0 29
igor@0 30 \subsection{Скачивание}
igor@0 31 Поддержка бриджинга есть в текущих ядрах 2.4 и 2.6
igor@0 32 всех основных дистрибутивов Linux. Требуемый комплект утилит для администрирования
igor@0 33 \textit{bridge-utils} есть практически во всех дистрибутивах.
igor@0 34
igor@0 35 Инсталляция утилит выполняется стандартным для дистрибутива способом.
igor@0 36 Например, в Debian GNU/Linux:
igor@0 37 \begin{verbatim}
igor@0 38 # apt-get install bridge-utils
igor@0 39 \end{verbatim}
igor@0 40
igor@0 41 Исходный код последнего релиза утилит можно получить со \htmladdnormallinkfoot{этой}{http://sourceforge.net/project/showfiles.php?group\_id=26089} страницы.
igor@0 42
igor@0 43 Как вариант можно сделать свою самую последнюю сборку кода
igor@0 44 с kernel.org
igor@0 45 и собрать утилиты bridge-utils из GIT-репозитория.
igor@0 46
igor@0 47 \begin{verbatim}
igor@0 48 $ git clone git://git.kernel.org/pub/scm/linux/kernel/git/shemminger/bridge-utils.git
igor@0 49 $ cd bridge-utils
igor@0 50 $ autoconf
igor@0 51 $ ./configure
igor@0 52 \end{verbatim}
igor@0 53
igor@0 54 \subsection{Ручная конфигурация}
igor@0 55 \subsubsection{Сетевые карты}
igor@0 56 Перед тем как вы приступите к настройке коммутатора, убедитесь,
igor@0 57 что сетевые карты работают нормально.
igor@0 58 Не устанавливайте на них IP-адресов, и не позволяйте начальным скриптам
igor@0 59 выполнять DHCP-запрос с них.
igor@0 60 IP-адреса должны устанавливаться уже после того как бридж сконфигурирован.
igor@0 61
igor@0 62 Команда ifconfig должна показывать обе (или больше, если их больше) сетевые карты, и они должны быть выключены, т.е. находиться в состоянии DOWN
igor@0 63 (это на момент начала настройки, дальше они будут переведены в UP).
igor@0 64
igor@0 65 \subsubsection{Загрузка модуля}
igor@0 66 В большинстве случаев код коммутатора оформляется в виде модуля.
igor@0 67 Если модуль сконфигурирован и установлен корректно,
igor@0 68 он автоматически загружается при первом вызове команды \textbf{brctl}.
igor@0 69
igor@0 70 Если ваши утилиты bridge-utilities корректно установлены,
igor@0 71 и ядро и его модуль bridge в порядке, вызовом команды \textbf{brctl}
igor@0 72 можно будет просмотреть маленькую сводку о синтаксисе команды:
igor@0 73 \begin{verbatim}
igor@0 74 # brctl
igor@0 75 # commands:
igor@0 76 addbr <bridge> add bridge
igor@0 77 delbr <bridge> delete bridge
igor@0 78 addif <bridge> <device> add interface to bridge
igor@0 79 delif <bridge> <device> delete interface from bridge
igor@0 80 setageing <bridge> <time> set ageing time
igor@0 81 setbridgeprio <bridge> <prio> set bridge priority
igor@0 82 setfd <bridge> <time> set bridge forward delay
igor@0 83 sethello <bridge> <time> set hello time
igor@0 84 setmaxage <bridge> <time> set max message age
igor@0 85 setpathcost <bridge> <port> <cost> set path cost
igor@0 86 setportprio <bridge> <port> <prio> set port priority
igor@0 87 show show a list of bridges
igor@0 88 showmacs <bridge> show a list of mac addrs
igor@0 89 showstp <bridge> show bridge stp info
igor@0 90 stp <bridge> <state> turn stp on/off
igor@0 91 \end{verbatim}
igor@0 92
igor@0 93 \subsubsection{Создание и удаление коммутатора}
igor@0 94 Команда
igor@0 95 \begin{verbatim}
igor@0 96 brctl addbr bridgename
igor@0 97 \end{verbatim}
igor@0 98
igor@0 99 создаёт экземпляр логического коммутатора с именем \textit{bridgename}.
igor@0 100 Для того чтобы выполнять коммутацию пакетов, нужно создать хотя бы один коммутатор .
igor@0 101 Можно воспринимать логический бридж как контейнер интерфейсов,
igor@0 102 принимающих участие в коммутации.
igor@0 103 Каждый экземпляр коммутатора представлен новым сетевым интерфейсом.
igor@0 104
igor@0 105 Соответствующая команда для удаления коммутатора:
igor@0 106 \begin{verbatim}
igor@0 107 brctl delbr bridgename
igor@0 108 \end{verbatim}
igor@0 109
igor@0 110 \subsubsection{Включение устройства в коммутатор}
igor@0 111 Команда
igor@0 112 \begin{verbatim}
igor@0 113 brctl addif bridgename device
igor@0 114 \end{verbatim}
igor@0 115 \noindent включает сетевое устройство \textit{device}
igor@0 116 в коммутатор с именем \textit{bridgename}.
igor@0 117 Все устройства, включенные в один бридж работают как одна большая сеть.
igor@0 118 Нельзя добавить устройство в несколько бриджей одновременно,
igor@0 119 поскольку это не имеет никакого смысла.
igor@0 120 Коммутатору потребуется небольшое время после того как устройство
igor@0 121 подключено, для того чтобы узнать его Ethernet-адрес, а затем
igor@0 122 он начинает делать перенаправление (forward).
igor@0 123
igor@0 124 Соответствующая команда для выключения устройства из коммутатора:
igor@0 125 \begin{verbatim}
igor@0 126 brctl delif bridgename device
igor@0 127 \end{verbatim}
igor@0 128
igor@0 129 \subsubsection{Просмотр устройств}
igor@0 130 Команда \textbf{brctl} \verb|show| показывает состояние всех работающих коммутаторов:
igor@0 131 \begin{verbatim}
igor@0 132 # brctl addbr br549
igor@0 133 # brctl addif br549 eth0
igor@0 134 # brctl addif br549 eth1
igor@0 135 # brctl show
igor@0 136 bridge name bridge id STP enabled interfaces
igor@0 137 br549 8000.00004c9f0bd2 no eth0
igor@0 138 eth1
igor@0 139 \end{verbatim}
igor@0 140 Если выполнить команду \textbf{brctl} \verb|showmacs|,
igor@0 141 будет показана информация о сетевых адресах
igor@0 142 источников трафика, прошедшего через коммутатор
igor@0 143 (и самого коммутатора тоже):
igor@0 144
igor@0 145 \begin{verbatim}
igor@0 146 # brctl showmacs br549
igor@0 147 port no mac addr is local? ageing timer
igor@0 148 1 00:00:4c:9f:0b:ae no 17.84
igor@0 149 1 00:00:4c:9f:0b:d2 yes 0.00
igor@0 150 2 00:00:4c:9f:0b:d3 yes 0.00
igor@0 151 1 00:02:55:1a:35:09 no 53.84
igor@0 152 1 00:02:55:1a:82:87 no 11.53
igor@0 153 ...
igor@0 154 \end{verbatim}
igor@0 155
igor@0 156 Время жизни (aging time) -- это количество секунд, которое
igor@0 157 MAC-адрес будет находится в таблице forwarding database
igor@0 158 после получения пакета с этим адресом.
igor@0 159 Записи в таблице периодически удаляются по тайм-ауту,
igor@0 160 для того чтобы не получилось, что они будут находиться там вечно.
igor@0 161 В нормальной ситуации, не понадобится менять данные параметры,
igor@0 162 но это сделать можно (время указывается в секундах)
igor@0 163
igor@0 164 \begin{verbatim}
igor@0 165 # brctl setageing ''bridgename'' ''time''
igor@0 166 \end{verbatim}
igor@0 167
igor@0 168 Если установить время в ноль, запись становится постоянной.
igor@0 169
igor@0 170 \subsubsection{Spanning Tree Protocol}
igor@0 171 Если используется несколько коммутаторов, для того чтобы избежать петель коммутации, нужно включить поддержку протокола
igor@0 172 Spanning Tree Protocol (Протокол остовного дерева).
igor@0 173
igor@0 174 \begin{verbatim}
igor@0 175 # brctl stp br549 on
igor@0 176 \end{verbatim}
igor@0 177
igor@0 178 Посмотреть параметры STP можно так:
igor@0 179
igor@0 180 \begin{verbatim}
igor@0 181 # brctl showstp br549
igor@0 182 br549
igor@0 183 bridge id 8000.00004c9f0bd2
igor@0 184 designated root 0000.000480295a00
igor@0 185 root port 1 path cost 104
igor@0 186 max age 20.00 bridge max age 200.00
igor@0 187 hello time 2.00 bridge hello time 20.00
igor@0 188 forward delay 150.00 bridge forward delay 15.00
igor@0 189 ageing time 300.00 gc interval 0.00
igor@0 190 hello timer 0.00 tcn timer 0.00
igor@0 191 topology change timer 0.00 gc timer 0.33
igor@0 192 flags
igor@0 193
igor@0 194 eth0 (1)
igor@0 195 port id 8001 state forwarding
igor@0 196 designated root 0000.000480295a00 path cost 100
igor@0 197 designated bridge 001e.00048026b901 message age timer 17.84
igor@0 198 designated port 80c1 forward delay timer 0.00
igor@0 199 designated cost 4 hold timer 0.00
igor@0 200 flags
igor@0 201
igor@0 202 eth1 (2)
igor@0 203 port id 8002 state disabled
igor@0 204 designated root 8000.00004c9f0bd2 path cost 100
igor@0 205 designated bridge 8000.00004c9f0bd2 message age timer 0.00
igor@0 206 designated port 8002 forward delay timer 0.00
igor@0 207 designated cost 0 hold timer 0.00
igor@0 208 flags
igor@0 209 \end{verbatim}
igor@0 210
igor@0 211 \paragraph{Настройка STP}
igor@0 212 Конфигурироваться может несколько параметров, имеющих отношение к Spanning Tree Protocol.
igor@0 213 Код автоматически определяет скорость соединения и другие параметры,
igor@0 214 поэтому, как правило, вручную их менять не нужно.
igor@0 215
igor@0 216 \paragraph{Приоритет коммутатора}
igor@0 217 У каждого коммутатора есть относительный приоритет (priority) и стоимость (cost).
igor@0 218 Каждый интерфейс коммутатора ассоциируется с номером порта в коде STP. У каждого есть приоритет и стоимость, на основе которых принимается решение о том, какой путь для передчи пакета является кратчайшим. Всегда используется путь с наимеьшей стоимостью (за исключением случая, когда этот путь разорван).
igor@0 219 Если у вас несколько коммутаторов и интерфейсов,
igor@0 220 может понадобиться отрегулировать приоритеты, чтобы достичь максимальной
igor@0 221 производительности.
igor@0 222
igor@0 223 \begin{verbatim}
igor@0 224 # brctl setbridgeprio ''bridgename'' ''priority''
igor@0 225 \end{verbatim}
igor@0 226
igor@0 227 Бридж с наименьшим приоритетом избирается как \textit{корневой}.
igor@0 228 Корневой бридж является центром остовного дерева (spanning tree)
igor@0 229 коммутационных связей.
igor@0 230
igor@0 231 \paragraph{Приоритет и стоимость}
igor@0 232 У каждого интерфейса моста может быть своя собственная скорость, и её значение
igor@0 233 используется при выборе какое соединение должно использоваться.
igor@0 234 У более быстрых интерфейсов должна быть более низкая стоимость.
igor@0 235
igor@0 236 \begin{verbatim}
igor@0 237 # brctl ''setpathcost bridge port cost''
igor@0 238 \end{verbatim}
igor@0 239
igor@0 240 Для разных портов, имеющих одинаковую стоимость
igor@0 241 существует ещё \textit{приоритет}.
igor@0 242
igor@0 243 \paragraph{Задержка передачи (Forwarding delay)}
igor@0 244 Задержка передачи (forwarding delay) это время
igor@0 245 в течение которого порт находится в состояниях
igor@0 246 Listening и Learning, прежде чем перейти в состояние Forwarding.
igor@0 247 Это время нужно для того чтобы мост, когда он включается в
igor@0 248 сеть, сначала должен ознакомиться с трафиком, прежде чем включаться
igor@0 249 в работу.
igor@0 250
igor@0 251 \begin{verbatim}
igor@0 252 # brctl setfd ''bridgename'' ''time''
igor@0 253 \end{verbatim}
igor@0 254
igor@0 255 \paragraph{Время Hello}
igor@0 256 Время от времени
igor@0 257 корневой мост (Root Bridge)
igor@0 258 и выделенные мосты (Designated Bridges)
igor@0 259 отправляют пакет \textit{hello}.
igor@0 260 Пакеты hello нужны для обмена информацией
igor@0 261 о топологии все коммутироемой локальной сети.
igor@0 262
igor@0 263 \begin{verbatim}
igor@0 264 # brctl sethello ''bridgename'' ''time''
igor@0 265 \end{verbatim}
igor@0 266
igor@0 267 \paragraph{max age -- таймаут hello}
igor@0 268 Если другой коммутатор в дереве spanning tree не отправляет пакет hello
igor@0 269 в течение долгого времени, считается, что он не в порядке (dead).
igor@0 270 Таймаут устанавливается командой:
igor@0 271 \begin{verbatim}
igor@0 272 # brctl maxage ''bridgename'' ''time''
igor@0 273 \end{verbatim}
igor@0 274
igor@0 275 \subsubsection{Пример настройки}
igor@0 276 Базовая настройка моста выполняется так:
igor@0 277
igor@0 278 \begin{verbatim}
igor@0 279 # ifconfig eth0 0.0.0.0
igor@0 280 # ifconfig eth1 0.0.0.0
igor@0 281 # brctl addbr mybridge
igor@0 282 # brctl addif mybridge eth0
igor@0 283 # brctl addif mybridge eth1
igor@0 284 # ifconfig mybridge up
igor@0 285 \end{verbatim}
igor@0 286
igor@0 287 Хост настраивается как обычный мост.
igor@0 288 У него самого нет IP-адреса, поэтому к нему
igor@0 289 нельзя получить доступ (или взломать) удалённо
igor@0 290 по TCP/IP.
igor@0 291
igor@0 292 Опционально можно настроить виртуальный интерфейс \textit{mybridge}
igor@0 293 на доступ по локальной сети.
igor@0 294 Он будет работать как обычный интерфейс -- как сетевая карта.
igor@0 295 Процесс настройки полностью совпадает с вышеописанным,
igor@0 296 за тем исключением, что нужно заменить
igor@0 297 последнюю команду на такую:
igor@0 298
igor@0 299 \begin{verbatim}
igor@0 300 # ifconfig mybridge 192.168.100.5 netmask 255.255.255.0
igor@0 301 \end{verbatim}
igor@0 302
igor@0 303 Если вы хотите чтобы мост автоматически получал IP-адрес
igor@0 304 у ADSL-модема по DHCP (или в другой похожей ситуации),
igor@0 305 сделайте так:
igor@0 306
igor@0 307 \begin{verbatim}
igor@0 308 # ifconfig eth0 0.0.0.0
igor@0 309 # ifconfig eth1 0.0.0.0
igor@0 310 # brctl addbr mybridge
igor@0 311 # brctl addif mybridge eth0
igor@0 312 # brctl addif mybridge eth1
igor@0 313 # dhclient mybridge
igor@0 314 \end{verbatim}
igor@0 315
igor@0 316 Если делать это много раз, процессов \textbf{dhclient} может расплодиться великое множество. Или безжалостно убейте их, или почитайте об \textbf{omshell}.
igor@0 317
igor@0 318 \subsection{Конфигурирование через /etc/net}
igor@0 319 Сначала в \texttt{/etc/net} настраиваются два ethernet-устройства port0 и port1:
igor@0 320 \begin{verbatim}
igor@0 321 # cat >> /etc/net/iftab
igor@0 322 port0 mac 00:13:46:66:01:5e
igor@0 323 port1 mac 00:13:46:66:01:5f
igor@0 324 ^D
igor@0 325 # mkdir /etc/net/ifaces/port0
igor@0 326 # cat > /etc/net/ifaces/port0/options
igor@0 327 TYPE=eth
igor@0 328 MODULE=via-rhine
igor@0 329 # mkdir /etc/net/ifaces/port1
igor@0 330 # cat > /etc/net/ifaces/port1/options
igor@0 331 TYPE=eth
igor@0 332 MODULE=via-rhine
igor@0 333 ^D
igor@0 334 \end{verbatim}
igor@0 335 После этого описывается мост:
igor@0 336 \begin{verbatim}
igor@0 337 # mkdir /etc/net/ifaces/mybridge
igor@0 338 # cat > /etc/net/ifaces/mybridge/options
igor@0 339 TYPE=bri
igor@0 340 HOST='port0 port1'
igor@0 341 ^D
igor@0 342 # cat > /etc/net/ifaces/mybridge/brctl
igor@0 343 stp AUTO on
igor@0 344 ^D
igor@0 345 \end{verbatim}
igor@0 346 После этого можно поднять бридж командой \textbf{ifup} \texttt{mybridge}. Устройства port0 и port1 поднимутся автоматически.
igor@0 347
igor@0 348 \subsection{FAQ}
igor@0 349 \subsubsection{Что делает мост/коммутатор?}
igor@0 350 Мост прозрачно пересылает трафик между несколькими сетевыми интерфейсами.
igor@0 351 На простом языке это означает, что коммутатор соединяет два или более интерфейсов Ethernet между собой, для того чтобы получилась большая Ethernet-сеть.
igor@0 352
igor@0 353 \subsubsection{Это как-то зависит от используемых протоколов?}
igor@0 354 Нет. Коммутатор ничего не знает о протоколах высокого уровня, он только видит кадры Ethernet. Поэтому функциональность моста является протоколонезависимой и проблем с передачей протоколов таких как IPX, NetBEUI, IP, IPv6 и других быть не должно.
igor@0 355
igor@0 356 \subsubsection{Чем этот код лучше чем аппаратный коммутатор?}
igor@0 357 Пожалуйста, имейте в виду, что этот код не писался
igor@0 358 с целью заменить Linux-боксами выделенное сетевое оборудование.
igor@0 359 Не надо воспринимать Linux с этим кодом как замену аппаратным коммутаторам.
igor@0 360 Это скорее расширение сетевых возможностей Linux. Как бывает, что Linux-маршрутизатор лучше чем аппаратный маршрутизатор (и наоборот),
igor@0 361 есть ситуации, когда Linux-мост лучше чем выделенный мост (и наоборот).
igor@0 362
igor@0 363 Основная сила кода моста Linux это его гибкость.
igor@0 364 И так есть уже огромнейшее количество всяких интересных
igor@0 365 вещей, которые можно делать с Linux (см. например, Linux Advanced Routing and Traffic Control), и мосты -- ещё одно добавление к этой гремучей смеси.
igor@0 366
igor@0 367 Одним из главных преимуществ решения, базирующегося на Linux,
igor@0 368 в сравнении с выделенным коммутатором
igor@0 369 являются разнообразные возможности по фильтрации трафика.
igor@0 370 Можно использовать всю функциональность netfilter (iptables) в комбинации
igor@0 371 с мостами, что даёт больший функционал, чем проприетарные решения.
igor@0 372
igor@0 373 \subsubsection{Чем этот код хуже чем аппаратный коммутатор?}
igor@0 374 Для того чтобы работать в качестве моста,
igor@0 375 устройство должно быть переведено в неразборчивый (promiscuous)
igor@0 376 режим, в котором оно получает весь трафик, приходящий на интерфейс.
igor@0 377 В действительно загруженных сетях, это может занять значительную часть
igor@0 378 процессора, замедляя работу системы.
igor@0 379 Выход -- или использовать выделенную Linux-систему в качестве моста
igor@0 380 или использовать аппаратный коммутатор.
igor@0 381
igor@0 382 \subsubsection{Какова производительность моста?}
igor@0 383 Производительность ограничивается используеммыми сетевыми картами и процессором.
igor@0 384 Джеймс Ю (James Yu) из университета DePaul провёл исследование,
igor@0 385 в котором выполнил сравнение Linux моста и коммутатора Catalyst
igor@0 386 Yu-Linux-TSM2004.pdf
igor@0 387
igor@0 388 \subsubsection{Моего моста не видно в трассе traceroute\rq{}а!}
igor@0 389 И не должно быть видно.
igor@0 390 Работа моста является полностью прозрачной для сети (по крайней мере должна);
igor@0 391 сети, которые мост соединяет между собой должны видеться как одна большая сеть.
igor@0 392 Именно поэтому мост и не виден в traceroute; пакеты и не думают о том, что они пересекают границы подсети.
igor@0 393
igor@0 394 Дополнительная информация об этом в книгах по сетям TCP/IP.
igor@0 395
igor@0 396 \subsubsection{Ничего не работает!}
igor@0 397 Когда я пытаюсь добавить мост, система говорит: \dq{}br\_add\_bridge: bad address\dq{}!
igor@0 398
igor@0 399 Или ваше ядро слишком старое (2.2 или более ранее), или вы забыли включить поддержку бриджей в ядро.
igor@0 400
igor@0 401 \subsubsection{Работает ли бриджинг на ядре 2.2?}
igor@0 402 Изначально разработка велась на 2.2, есть патчи для этого ядра.
igor@0 403 Но сейчас эти патчи уже не поддерживаются и не развиваются.
igor@0 404
igor@0 405 \subsubsection{Есть ли в планах поддержка RSTP (802.1w)?}
igor@0 406 Да. Ведётся работа по включению поддержки RSTP в будущий релиз для ядра 2.6. Код делался для ядра 2.4 и нуждается в доработке, тестировании и обновлении.
igor@0 407
igor@0 408 \subsubsection{Что можно соединять с помощью моста?}
igor@0 409 Мосты Linux очень гибкие; можно соединять
igor@0 410 как традиционные ethernet-устройства, так и псевдоустройства такие
igor@0 411 как PPP, VPN или VLAN\rq{}ы.
igor@0 412
igor@0 413 Ограничения, которые накладываются на соединяемые устройства:
igor@0 414 \begin{itemize}
igor@0 415 \item У всех должен быть одинаковый максимальный размер пакета (MTU). Мост не выполняет фрагментирование пакетов.
igor@0 416 \item Устройства должны выглядеть как Ethernet, т.е. у них должны быть 6-байтные адреса отправителя и получателя.
igor@0 417 \item Должен поддерживаться неразборчивый (promiscuous) режим. Мост должен получать не только трафик, адресованный ему, но и весь сетевой трафик.
igor@0 418 \item Должен быть разрешён спуфинг адресов. У моста должна быть возможность отправлять данные по сети, как если бы они пришли от другого хоста.
igor@0 419 \end{itemize}
igor@0 420
igor@0 421 \subsubsection{Можно ли выполнять коммутацию в сочетании с netfilter/iptables?}
igor@0 422 Да. Соответствующий код включен в большинство ядер. Смотрите проект ebtables.
igor@0 423
igor@0 424 \subsubsection{Работает ли он с Token Ring, FDDI и Firewire?}
igor@0 425 Нет. У этих протоколов отличается адресация и размер кадра.
igor@0 426
igor@0 427 \subsubsection{Я продолжаю получать сообщение \dq{}retransmitting tcn bpdu\dq{}!}
igor@0 428 Это означает, что ваш Linux-мост ретранслирует сообщение
igor@0 429 Topology Change Notification Bridge Protocol Data Unit
igor@0 430 Это означает что где-то есть коммутатор (или другой Linux-мост),
igor@0 431 который не согласен с правилами STP.
igor@0 432
igor@0 433 В каждой коммутируемой сети есть один \dq{}главный коммутатор\dq{},
igor@0 434 который также называется \textit{корневым} (root).
igor@0 435 Какой именно мост является корневым можно узнать с помощью \textbf{brctl}.
igor@0 436
igor@0 437 Когда топология коммутируемой сети меняется (например, кто-то выдернул
igor@0 438 кабель между коммутаторами), коммутатор, который это обнаружил,
igor@0 439 отправляет сообщение корневому коммутатору.
igor@0 440 Корневой коммутатор устанавливает бит \rq{}topology changed\rq{}
igor@0 441 в пакеты hello, которые будут отправляеться в течение следующих X секунд
igor@0 442 (обычно X равно 30). В результате все мосты узнают об изменении топологии,
igor@0 443 и они могут работать с учётом этого -- например удалить устаревшие MAC-записи.
igor@0 444
igor@0 445 После того как коммутатор отправляет сообщение об изменении топологии,
igor@0 446 он ждёт что в hello-сообщении будет установлени бит \rq{}\dq{}topology changed\dq{}.
igor@0 447 Если его нет (бит в данном случае играет роль подтверждения получения информации
igor@0 448 о смене топологии), коммутатор решает, что сообщение было потеряно.
igor@0 449 Поэтому пересылает сообщение повторно.
igor@0 450 Однако, в некоторых коммутаторах реализациия
igor@0 451 STP немного недоделанная, и они не отправляют подтверждение
igor@0 452 получения сообщения об изменении топологии.
igor@0 453 Если один из таких коммутаторов у вас корневой,
igor@0 454 все остальные коммутаторы будут постоянно повторно пересылать
igor@0 455 информацию об изменении топологии.
igor@0 456 В результате чего и будут появляеться такие сообщения.
igor@0 457
igor@0 458 Список вещей, которые можно сделать:
igor@0 459 \begin{itemize}
igor@0 460 \item Найти какой коммутатор является корневым, где он находится и под управлением какого программного обеспечения работает. Пожалуйста, сообщите о таком коммутаторе в список рассылки, чтобы можно было его добавить в blacklist.
igor@0 461 \item Заставить Linux-мост быть корневым. Найдите какой приоритет у коммутатора, который сейчас является корневым, и с помощью команды \textbf{brctl} \verb|setbridgeprio| установите приоритет линуксового моста на 1 меньше (Мост с наименьшим приоритеом всегда становится корневым).
igor@0 462 \item Вообще отключите STP на Linux-мосте. Только смотрите чтобы не появилось петель коммутации! Если у вас есть петли, и не работает STP, пакеты зациклятся и будут гулять по сети вечно, что сделает её нерабочей.
igor@0 463 \end{itemize}
igor@0 464
igor@0 465 \subsubsection{Оно не работает с моей обычной ethernet-карточкой!}
igor@0 466 К сожалению, у некоторых сетевых карт глючные драйверы,
igor@0 467 которые сбоят во время загрузки.
igor@0 468 Ситуация улучшается, поэтому может помочь установка текущего ядра и сетевых драйверов. Ещё можно попробовать устройства другого производителя.
igor@0 469
igor@0 470 Пожалуйста, сообщайте обо всех проблемах
igor@0 471 в список рассылки \dq{}Bridge mailing list\dq{}: bridge@osdl.org.
igor@0 472 Если ваша сетевая карта не работает даже без бриджинга,
igor@0 473 попробуйте обратиться в список рассылки
igor@0 474 \dq{}Linux networking mailing list\dq{} linux-net@vger.kernel.org.
igor@0 475
igor@0 476 \subsubsection{Оно не работает с моей wireless-карточкой!}
igor@0 477 Это известная проблема, и она не связана с кодом моста.
igor@0 478 Большое количество wireless-карт не позволяет делать подмену (spoofing)
igor@0 479 адреса источника. В некоторых чипсетах это ограничение на уровне прошивки (firmware).
igor@0 480 Дополнительная информация может быть найдена в архивах списков рассылки.
igor@0 481
igor@0 482 Удалось ли кому-нибудь обойти проблему связанную с тем,
igor@0 483 что Wavelan не позволяет использовать никакие MAC-адреса за исключением
igor@0 484 своего собственного?
igor@0 485
igor@0 486 \textit{(Отвечает Michael Renzmann, mrenzmann at compulan.de)}
igor@0 487
igor@0 488 99\% пользователей никогда не смогут избавиться от этой проблемы.
igor@0 489 Для такой функции нужна специальная прошивка. Её нужно загрузить
igor@0 490 в память WaveLAN-карточки и тогда карточка сможет выполнять бриджинг.
igor@0 491 Но нет общедоступной документации интерфейса.
igor@0 492 Единственный выход -- иметь полную версию библиотеки hcf,
igor@0 493 которая контролирует все действия карты, и в частности,
igor@0 494 доступ к памяти карты.
igor@0 495 Для получения этой библиотеки нужно убедить компанию Lucent,
igor@0 496 что это ей будет выгодно и помимо этого подписать NDA.
igor@0 497 Поэтому, скорее всего, пока Lucent не передумает,
igor@0 498 вам не удастся получить доступ к коду (а в том, что Lucent передумает
igor@0 499 есть большие сомнения).
igor@0 500
igor@0 501 Если вам срочно нужна wireless-карта которая может работать в мосте,
igor@0 502 нужно использовать те, что построены на базе чипсета \textit{prism}
igor@0 503 (изготавливает Harris Intersil).
igor@0 504 Драйверы для этой карты есть на www.linux-wlan.com
igor@0 505 (веб-сайт от Absoval), и в одном из сообщений говорится,
igor@0 506 что общедоступна необходимая прошивка и программа для загрузки для Linux.
igor@0 507 Если вам нужны какие-то дополнительные возможности, нужно разговаривать
igor@0 508 с Absoval.
igor@0 509
igor@0 510 \subsubsection{И всё же я не понимаю!!}
igor@0 511 Полноценный мост для беспроводных сетей (802.11) требует поддержки WDS.
igor@0 512 В текущей реализации её нет.
igor@0 513
igor@0 514 Можно сделать ограниченную функциональность с некоторыми драйверами.
igor@0 515 Для этого обязательно чтобы устройство поддерживало
igor@0 516 разные адреса отправителя и получателя. Что и обеспечивает WDS.
igor@0 517
igor@0 518 Есть способы добиться чтобы оно заработало, но они достаточно запутанные,
igor@0 519 и их сложно понять без досконального знания 802.11, режимов его работы и формата загловка кадра.
igor@0 520
igor@0 521 \subsubsection{Я получаю ошибку \rq{}too much work in interrupt\rq{}}
igor@0 522 Это связано с тем, что сетевая карта теряет пакеты.
igor@0 523 Можно попробовать несколько вещей. Во-первых, собрать
igor@0 524 драйвер с поддержкой NAPI (если он по умолчанию, не включен).
igor@0 525 NAPI делает так чтобы получал управление по программному прерыванию,
igor@0 526 не по прерыванию низкого уровня.
igor@0 527
igor@0 528 Если драйвер не поддерживает NAPI, можно попробовать
igor@0 529 увеличить объём работы, который драйвер может делать
igor@0 530 в течение обработки прерывания.
igor@0 531 Для 3c59x это делается с помощью опции \verb|max_interrupt_work| (поэтому нужно добавить опцию \verb|options 3c59x max_interrupt_work=10000| в файл \texttt{/etc/modules.conf}).
igor@0 532 У других сетевых карт похожие опции.
igor@0 533
igor@0 534 \subsubsection{Работает ли DHCP через/поверх моста?}
igor@0 535 Мост передаёт DHCP-трафик (широковещательный) и ответы на него.
igor@0 536 Также можно использовать DHCP для установки локального IP-адреса на псевдо-интерфейс моста.
igor@0 537
igor@0 538 Одна из распространённых ошибок при использовании DHCP является установка задержки передачи (forwarding delay) на порту коммутатора равной 30 секунд.
igor@0 539 При такой задержке интерфейс когда он подключился к мосту не может посылать
igor@0 540 через него данные в течении первых 30 секунд. Причина в том, что при использовании моста в сложной топологии он должен сначала обнаружить остальные мосты дабы не создавать петель. Проблема была одной из причин создания протокола
igor@0 541 Rapid Spanning Tree Protocol (RSTP).
igor@0 542
igor@0 543 Если мост используется в одиночку (т.е. поблизости нет мостов)
igor@0 544 можно спокойно отключить задержку передачи (установить её равной 0)
igor@0 545 перед тем как подключать интерфейс к мосту.
igor@0 546 После этого сразу же можно вызывать dhclient:
igor@0 547
igor@0 548 \begin{verbatim}
igor@0 549 # brctl setfd br0 0
igor@0 550 # brctl addif br0 eth0
igor@0 551 # dhclient eth0
igor@0 552 \end{verbatim}
igor@0 553
igor@0 554 \subsection{Дополнительная информация}
igor@0 555 \begin{itemize}
igor@0 556 \item \htmladdnormallinkfoot{Linux Bridge}{http://xgu.ru/wiki/Linux\_Bridge} (рус.)
igor@0 557 \item \htmladdnormallinkfoot{Ethernet VPN bridging}{http://openvpn.sourceforge.net/bridge.html}
igor@0 558 \item \htmladdnormallinkfoot{Ebtables firewalling}{http://ebtables.sourceforge.net}
igor@0 559 \item \htmladdnormallinkfoot{Ethernet-bridge + netfilter HOWTO}{http://www.tldp.org/HOWTO/Ethernet-Bridge-netfilter-HOWTO.html}
igor@0 560 \item \htmladdnormallinkfoot{Linux-bridge STP HOWTO}{http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html}
igor@0 561 \item \htmladdnormallinkfoot{Spanning Tree Protocol}{http://en.wikipedia.org/wiki/Spanning\_tree\_protocol} на Wikipedia
igor@0 562 \end{itemize}
igor@0 563