Сеть на управляемом коммутаторе, VLANы и замена MAC-адреса

  • Автор темы Автор темы null666
  • Дата начала Дата начала
N

null666

New Member
<r>Была сеть на неуправляемом коммутаторе. Всё работало нормально.
Потом коммутатор заменили на управляемый 3 уровня (Cisco SG300-52).
Сеть разделили на несколько VLANов, причём интернет-шлюз выделен в отдельный VLAN.
Маршрутизацию между VLAN выполняет коммутатор. Работает всё, кроме ФПСУ (соответственно, и приложений, завязанных на него).

Картина такова:
1) Если поместить клиента и интернет-шлюз в один VLAN и на клиенте прописать шлюзом адрес интернет-шлюза - всё работает.
2) Если поместить клиента и интернет-шлюз в разные VLANы и прописать на клиенте шлюзом коммутатор, то наблюдается следующая картина: при выборе "Соединиться" в IP-клиенте соединение успешно устанавливается, но передача данных по защищённому каналу не происходит. Мониторинг трафика на интернет-шлюзе показывает, что в момент установки соединения пакеты ходят правильно. После установки соединения на интернет-шлюзе трафик, направленный на сервер ФПСУ, не регистрируется вообще, даже на внутренний интерфейс пакеты не приходят.
Мониторинг трафика на порту коммутатора показывает, что после установки соединения меняется MAC адрес шлюза, куда шлются пакеты. В момент установки соединения пакеты шлются на XX:XX:XX:XX:XX:<B><s></s>63<e></e></B>, который является MAC адресом коммутатора, а после установки пакеты начинают отправляться на XX:XX:XX:XX:XX:<B><s></s>6C<e></e></B>. При этом все остальные приложения по-прежнему шлют пакеты на XX:XX:XX:XX:XX:<B><s></s>63<e></e></B> и прекрасно работают. В ARP таблице (по arp -a) на клиенте адрес XX:XX:XX:XX:XX:<B><s></s>6C<e></e></B> не отображается.</r>
 
Re: Сеть на управляемом коммутаторе, VLANы и замена MAC-адре

Долгое мучение Wireshark'а и общение с техподдержкой Cisco дало следующие результаты: проблема проявляется из-за наложения особенностей работы как ФПСУ-IP/Клиента, так и коммутатора.
Коммутатор при пересылке пакетов между VLAN'ами подменяет собственный MAC-адрес.
А Клиент в начале работы шлёт пакеты на MAC, зарегистрированный в ARP-таблице компьютера, а потом - на тот, который вытащил из входящих пакетов.
Ни то, ни другое поведение, в общем-то нельзя назвать соответствующим стандартам.

Можно ли ожидать исправления данной особенности функционирования в ФПСУ-IP/Клиенте ?
 
Re: Сеть на управляемом коммутаторе, VLANы и замена MAC-адре

Добрый день!
А чей MAC - XX:XX:XX:XX:XX:6C?
Если по правилам, пакеты на клиенте должны отправляться и получаться с MAC-адреса того VLAN(если точнее, то виртуального IP-адреса VLAN на коммутаторе), в котором прописан Клиент. Очень странно, что это не так. Возможно, что на каких-то устройствах не указан шлюз, и пакеты передаются миную маршрутизирующее устройство 3-го уровня, просто через коммутирующий модуль 2-го уровня...

Да, Вы совершенно правы относительно механизма работы ФПСУ-IP/Клиент, у нас действительно мак-адрес может меняться в зависимости от мака, полученного из входящего пакета. Мы примем к сведению вашу конфигурацию и в следующих версиях постараемся оптимизировать процесс обработки пакета.
В настоящий момент мы уже собрали бета-версию с заблокированной функцией смены MAC-адреса из входящего пакета. Вы можете получить эту версию на тестирование у нашей службы поддержки.
 
Re: Сеть на управляемом коммутаторе, VLANы и замена MAC-адре

<r><QUOTE author="Alex_N"><s>
Alex_N написал(а):
</s>Добрый день!
А чей MAC - XX:XX:XX:XX:XX:6C?<e>
Нажмите для раскрытия...
</e></QUOTE>
Здравствуйте.
В том-то и дело, что ничей. Ни в одной ARP таблице его нет.
Даже на коммутаторе просмотр всех изученных MAC адресов его не показывает.

<QUOTE author="Alex_N"><s>
Alex_N написал(а):
</s>
Если по правилам, пакеты на клиенте должны отправляться и получаться с MAC-адреса того VLAN(если точнее, то виртуального IP-адреса VLAN на коммутаторе), в котором прописан Клиент. Очень странно, что это не так. Возможно, что на каких-то устройствах не указан шлюз, и пакеты передаются миную маршрутизирующее устройство 3-го уровня, просто через коммутирующий модуль 2-го уровня...<e>
Нажмите для раскрытия...
</e></QUOTE>
Нет, всё прописано верно. И перепроверено много раз.
Техподдержка Cisco подтвердила, что как минимум на SG300 и SF300 поведение именно такое и при коммутации на третьем уровне MAC "портится" (если точнее - он не портится, а меняется по какому-то алгоритму в котором совершенно точно участвует номера порта). Как на старших коммутаторах не знаю, а вот в Small Business серии именно так. Будет ли это изменено - не знают.

<QUOTE author="Alex_N"><s>
Alex_N написал(а):
</s>
Да, Вы совершенно правы относительно механизма работы ФПСУ-IP/Клиент, у нас действительно мак-адрес может меняться в зависимости от мака, полученного из входящего пакета. Мы примем к сведению вашу конфигурацию и в следующих версиях постараемся оптимизировать процесс обработки пакета.
В настоящий момент мы уже собрали бета-версию с заблокированной функцией смены MAC-адреса из входящего пакета. Вы можете получить эту версию на тестирование у нашей службы поддержки.<e>
Нажмите для раскрытия...
</e></QUOTE>
Спасибо.</r>
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху