Нотатка для себе. SR-IOV VLAN Linux Proxmox

Для використання в віртуальних машинах у Proxmox віртуальних мережевих інтерфейсів.

Пристрої SR-IOV можуть спільно використовувати один фізичний порт з кількома віртуальними машинами.

Віртуальні функції мають майже рідну продуктивність і забезпечують кращу продуктивність, ніж паравіртуалізовані драйвери та емуляційний доступ. Віртуальні функції забезпечують захист даних між віртуальними машинами на тому ж фізичному сервері, коли дані управляються та контролюються апаратним забезпеченням.

How SR-IOV works

16.2. PCI Device Assignment with SR-IOV Devices Red Hat Enterprise Linux 7

Advantages of SR-IOV

SR-IOV devices can share a single physical port with multiple virtual machines.
When an SR-IOV VF is assigned to a virtual machine, it can be configured to (transparently to the virtual machine) place all network traffic leaving the VF onto a particular VLAN. The virtual machine cannot detect that its traffic is being tagged for a VLAN, and will be unable to change or eliminate this tagging.
Virtual Functions have near-native performance and provide better performance than paravirtualized drivers and emulated access. Virtual Functions provide data protection between virtual machines on the same physical server as the data is managed and controlled by the hardware.
These features allow for increased virtual machine density on hosts within a data center.
SR-IOV is better able to utilize the bandwidth of devices with multiple guests.  

Нотатка для себе: Обмеження доступу до WiFi корпоративгої мережі зі спілним сервером FreeRadius

Є бездротова точка доступу WiFi що має декілька віртуальних WiFi мереж котрі розділені за допомогою VLAN. Так є корпоративна мережа з доступом до серверів компанії, є звичайна мережа корпоративних користувачів для доступу до мережі інтернет тільки, ні і є гостьова мережа з певними обмеженнями.

Віртуальні WiFi: 

• lexxai 
• lexxai-co
• lexxai-guest
• lexxai_5g
• lexxai-co_5g

Корпоративна WiFi мережа використовує доступ за технологією WPA2-EAP, з авторизацією в корпоративному FreeRadius сервері. Гостьова мережа має доступ з відомим ключем WPA2-PKS, але з Captive Portal. Додаткові мережі що працюють у діапазоні 5ГГц мають суфікс '_5g'.

Налаштування FreeRadius

Усі віртуальні wifi мережі налаштовані з підключенням до спільного Radius сервера, як різні клієнти. 

FreeRadius clients

Використання IPSEC та включений захист DoS (Blat Attack) в керованих маршрутизаторах.

Так увімкнув функціонал захист DoS (DoS-атака) на керованому маршрутизаторі необхідно уявляти як і на що це впиває.
Я випадково заблокував роботу VPN IPSEC між двома філіями, увімкнув усі типу захисту DoS у керованому маршрутизаторі L2.
Проаналізував з часом що було зроблено з'ясував що блокування  IKE Phase 2 було через захист DoS Blat Attack.
Blat Attack - різновид DоS атаки в якому порт джерела дорівнює порту призначення. 
А так як початкові фази IKE використовують для з'єднання симетричний порт UDP 500 як у відправника так і у отримувача, то це як раз ця ситуація.
Тому треба захист DoS Blat Attack виключити щоб запрацював VPN IPSEC.

DoS Defend, L2 Management switch, TP-Link JetStream 24-Port Gigabit L2 Managed Switch

T2600G-28TS

У використаній конфігурації порт ISP , і  порт WAN програмного шлюзу pfSense підключений до маршрутизатора L2, з організацією окремого VLAN.

Нотатка. FreeNAS. Jails та VLAN

Використовуючи у FreeNAS ізольовані Jails для ізольованих служб, на-кшталт ownCloud, з'ясував що потрібно обов'язково визначати інтерфейс у налаштуванні відповідного jail  якщо мережевий інтерфейс є з VLAN і використовується VIMAGE .

файлі iface

Робити це треба не через графічний інтерфейс, а у файлі конфігурації відповідного jail, у файлі iface у теці /mnt/{ZFSPOOL}/jails/.{NAME_JAIL}.meta.
Після цього в графічному інтерфейсі можна побачити зміну значення NIC.

Advanced GUI jail

Після перезавантаження у мене почали іти пакети з jail через VLAN інтерфейс.

Комутатор TP-Link Easy Smart Switch TL-SG1016DE те що потрібно знати про (default) VLAN1

Є така лінійка комутаторів від компанії TP-Link як Easy Smart Switch.

Все б не погано якби продавець попереджував про обмеження "початкової" лінійки, Easy Smart Switch, і про те що таких обмежень не має у лінійках для корпоративного рішення.

Почалося з того що було придбано 16-портовий гігабітний комутатор серії Easy Smart TL-SG1016DE.

Вивчаючи можливості застосування в своїй корпоративній мережі, з'ясувалося що якщо увімкнуто режим 802.1Q VLAN Configuration, то кожному з портів є можливість назначити VLAN ID тільки  у проміжку від 2 до 4092. А де №1 ?

Використання мереж VLAN у FreeBSD при міграції до Hyper-V

Портував FreeBSD сервер до віртуального середовища під керуванням Microsoft Hyper-V. І за звичай хотів використовувати налаштування які я робив у FreeBSD для віртуальних мереж, де є одна мережева карта "fxp0" і з неї "витягуються" усі віртуальні мережі vlan101...vlan1000:

rc.conf:

cloned_interfaces="vlan101 vlan102 vlan103 vlan104 vlan1000"
ifconfig_vlan101="inet 192.168.101.1 netmask 255.255.255.0 vlan 101 vlandev fxp0"
ifconfig_vlan102="inet 192.168.102.1 netmask 255.255.255.0 vlan 102 vlandev fxp0"
ifconfig_vlan103="inet 192.168.103.1 netmask 255.255.255.0 vlan 103 vlandev fxp0"
ifconfig_vlan104="inet 192.168.104.1 netmask 255.255.255.0 vlan 104 vlandev fxp0"
...
ifconfig_fxp0="up"

Але з'ясувалося через 'tcpdump -i fxp0 -eee', як у жахливому сні - що десь чути чую, а сказати нічого не можу .
Після аналізу з'ясував що так і потрібно, щоб віртуальні середовища були ізольовані один від одного.
Вихід з цього простий треба у налаштування віртуального середовища створити стільки мережевих адаптерів скільки віртуальних мереж Вам потрібно. Для тегованих так і не тегованих портів створюються окремі адаптери:

Визначення TAG ID port VLAN для мережевого адаптера у Hyper-V

Додаткові імена для мережевих VLAN інтерфейсів у FreeBSD

Дуже сподобалося як можна іменувати віртуальні інтерфейси у FreeBSD:

ifconfig_em0="inet 192.168.x.x netmask 255.255.255.192 descr LAN"
ifconfig_em0_ipv6="inet6 2002:d58d:87xx:1::1/64"

vlans_em0="wifi wifio" # vlan(4) interfaces
create_args_wifi="vlan 2"
create_args_wifio="vlan 3"

TP-Link WR1043N OpenWrt Attitude Adjustment

У зв'язку з використанням IPv6, оновився до останньої версії OpenWrt.

Router Name OpenWrt
Router Model TP-Link TL-WR1043N/ND v1

Firmware Version
OpenWrt Attitude Adjustment r33206 / LuCI Trunk (trunk+svn9073)
Kernel Version 3.3.8

Оновився до r33276,LuCI Trunk (trunk+svn9138)  Aug 27 19:07:23 MSK 2012 mips GNU/Linux

Mulit-SSID Wi-Fi та VLAN у роутері TP-Link 1043 (OpenWRT)

Прийшов час трохи розібратися з начинкою свого роутера більш детально у тій сфері що не використовував - VLAN.

Для ознайомлення почав тут:

• VLAN — Xgu.ru
• Комутатор і VLAN з swconfig WR1043ND на OpenWrt
• Multiple SSID with VLAN
• Multiple SSID on OpenWRT with bandwidth limit 

Архітектура WR1043ND