Policy based VLAN tagging

Question

[niakrisn]

Приветствую, подскажите пожалуйста существуют ли в природе устройства которые способны разметить входящие пакеты определенными VLAN тэгами в зависимости от IP адреса назначения?

Answer 1

[jov]

Я бы попробовал примерно так.

#создаём виртуальные интерфейсы с закреплённым за ним vlan id
for i in `seq 0..$n`; 
do
   /sbin/vconfig add eth0 $i
   /sbin/ip addr add eth0.$i 192.168.0.$i
done
#а теперь собственно тегируем трафик
ip route add 192.168.0.0/24 via 192.168.0.1
ip route add 192.168.1.0/24 via 192.168.0.2

Если совсем не правильно, не пинайте ногами пожалуйста, ленно в столь поздний час проводить эксперименты.

Comments

[niakrisn]

Желательно бы реализовать при помощи какого-нибудь устройства типа свича, т.к. трафик большой (в пиках 2Mpps), не хотелось бы обрабатывать его еще одной ОС.

[jov]

Мне кажется, что собрать простенький компьютер в ближайшей барахолке на базе какого-нибудь Pentium3(а он однозначно справиться с заявленной нагрузкой), будет дешевле, чем купить L3-свитч.

Answer 2

[nicolnx]

Пень3 на 2 Mpps? Крякнет даже не поняв что произошло (если топикстартер Mbps c Mpps не перепутал конечно)
Если трафик действительно в миллионах пакетов в секунду, то наверное есть смысл поставить какую-нибудь кошку и ею уже фильтровать на asic-ах.
Если же очень хочется именно софтового решения, то, думаю iproute2+hashes поможет и без этих костылей.

Comments

[niakrisn]

Почему Пень3, живет сейчас фряха на X56xx и туговато, но вполне справляется с таким трафиком.

Answer 3

[0Lexx0]

А чем вам не подходить PBR? По сути маркировка определенным тегом является маршрутизацией на нужный интерфейс. Ах да — cisco + route map вам в помощь.

Comments

[niakrisn]

Возможно это то, что нужно.
Подскажите как посмотреть какие железки поддерживают эту технологию?

[niakrisn]

Похоже не то, нужно чтобы входящий трафик прошёл устройство транзитом и вышел размеченный с одного интерфейса, за которым стоит физический хост.

[navion]

Я могу ошибаться, но если направить трафик в нужный влан с помощью рут-мапы, то на выходе автоматически будет проставлен тег.

[navion]

Должно получиться что-то вроде этого:
ip access-list 10 permit 10.0.0.0 0.255.255.255
!
int GE0/1
ip policy route-map MYMAP
!
int GE0/2
!
int GE0/0.1
encapsulation dot1Q 10
!
route-map MYMAP permit 10
match ip address 10
set interface Vlan10
!
route-map MYMAP permit 10
set interface GE0/2

Answer 4

[amario]

PBR- это 3-ий уровень, vlan второй.
Так что? не заставите вы командой set поменять vlan id, вы перенаправляете ваш пакет на виртуальный интерфейс 3-го уровня.
Если вы именно хотите менять на лету у пакета vid то по моему это не решаемо.
ну а другие случаи, можно посмотреть на private vlan (опять же, вы не поставили задачу, вы описали ваше видение решение проблемы, так что могу ошибаться )

Answer 5

[nicolnx]

а не стоит ли посмотреть в сторону MPLS, раз уж так странного хочется?

Comments

[niakrisn]

Вот что-то подобное нужно, только для MPLS масштабы очень маленькие, наверняка роутер который размечает пакеты стоит больших денег.
Просто подумал, что есть реализация подобного на менее дорогих устройствах, но похоже ошибся.

[nicolnx]

есть мнение, что если вы там уже оперируете миллионами пакетов в секунду, то масштабы более-менее подходящие для какой-нибудь ME3750 кошки или подобного.