vlan in jail

jmt

Well-Known Member
Hallo,

ich habe ein VNET-Jail, in dem ich auch auf verschiedene vlans zugreifen möchte. Dabei habe ich folgende Beobachtung gemacht. Wenn der Host kein vlan Device hat, dann kann ich auch in dem Jail nicht mit einem vlan kommunizieren. Sobald ich auf dem Host ein vlan Device erzeugt habe, so funktioniert die Kommunikation auch in der Jail. Dabei ist die Jail über epair mit einer bridge verbunden, die ihrerseits mit dem externen device verknüpft ist. Das vlan des Host ist auch mit dem externen Device verknüpft.
Habt Ihr eine Erklärung für dieses Verhalten?

Gruß und Dank

Markus
 
Hardware VLAN filtering? Du könntest mal hardware VLAN filtering abschalten und den NIC ggf. in den promiscuous mode versetzen.
 
Danke für die Info. Es liegt in der Tat am Hardware VLAN filtering. Wenn ich das abschalte, dann funktioniert es. Was ist denn dann die bessere Konfiguration? VLAN-device im Host anlegen under Hardware VLAN Filtering abschalten? Was macht das überhaupt genau?
 
HW-VLAN Filtering abschalten.

Was ist das?

Ethernet, wie der Name es suggeriert, ist ein OSI-L2 Protokoll, was das Senden und Empfangen von Paketen bzw. Frames auf einem Shared-Media bzw. Bus-System implementiert.

Wird kein Promiscous-Mode aktiviert, dann werden Protokolldateneinheiten bzw. Frames selektiv empfangen, d. h. entspricht die Zieladresse nicht die der im Controller gespeicherten MAC-Addresse, dann wird der Rahmen verworfen.

Ethernet-Controller sind mehr oder weniger, je nach Fabrikat, programmierbar bzw. sind soweit konfigurierbar, so dasz empfangene Frames ueber eine (definierte) Menge X von Ziel- bzw. MAC-Adressen (von dem Controller) akzeptiert bzw. nicht verworfen werden, sofern keine Kollision vorliegt (bei oberflaechlicher Betrachtungsweise), d. h. Innerhalb dem Controller wird eine Menge X von MAC-Adressen oder VLAN IDs bspw. mittels CRC-32 in einem Hashtable indexiert und gespeichert, die bspw. mittels CRC (innerhalb dem Controller) ausgewertet werden.

VLAN-IDs sind demnach (je nach Controller bzw. sofern VLAN-Frames vom Controller akzeptiert werden) programmierbar, d. h. ein Controller filtert VLAN-IDs aehnlich wie HW-Adressfiltering, wobei das auch mittels Software realisierbar ist bzw. wird, d. h. es ist moeglich innerhalb einer Jail mit VLAN zu arbeiten.
 
Zuletzt bearbeitet von einem Moderator:
Ok, aber dann würde ich erwarten, dass nur ein Host-VLAN mit der gleichen ID wie die im Jail hilft. Interessanter Weise reicht aber ein beliebiges VLAN.
Ist es nun besser, das Filtern in der Hardware oder per Software zu erledigen?
 
Software, da mehr Kontrolle ueber das System (sofern kein UEFI oder andere Subsysteme integriert wurden, die vollen Zugriff (unabhaengig vom Host-OS) auf Addressraum bzw. von (integrierter) Peripherie bzw. HW-Modulen der Maschine haetten, wobei die mit UEFI, Intel-ME oder ARM TrustZone verbundene Thematik etwas OT waere).
 
Ist es nun besser, das Filtern in der Hardware oder per Software zu erledigen?

OPNsense z.B. hat default alles in dem Bereich ausgeschaltet, weil nicht immer der Treiber die Funktion der HW unterstützt oder manchmal auch Mist baut. timeouts, freezes...
Ich sags mal so: wenn du willst, dass es tut wie eingestellt, dann Software.

Wenn du dann in Bereiche mit Flaschenhals kommst und du sicher mit der Korrektheit deiner Konfiguration bist, dann kann es sich lohnen, Beschleunigung zu aktivieren<->testen.
 
Zurück
Oben