From owner-p4-projects@FreeBSD.ORG Tue Aug 26 07:22:46 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 557201065687; Tue, 26 Aug 2008 07:22:46 +0000 (UTC) Delivered-To: perforce@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id C52E61065694 for ; Tue, 26 Aug 2008 07:22:45 +0000 (UTC) (envelope-from remko@freebsd.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id B27EA8FC0C for ; Tue, 26 Aug 2008 07:22:45 +0000 (UTC) (envelope-from remko@freebsd.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.2/8.14.2) with ESMTP id m7Q7Mjng091760 for ; Tue, 26 Aug 2008 07:22:45 GMT (envelope-from remko@freebsd.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.2/8.14.1/Submit) id m7Q7Mjfr091758 for perforce@freebsd.org; Tue, 26 Aug 2008 07:22:45 GMT (envelope-from remko@freebsd.org) Date: Tue, 26 Aug 2008 07:22:45 GMT Message-Id: <200808260722.m7Q7Mjfr091758@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to remko@freebsd.org using -f From: Remko Lodder To: Perforce Change Reviews Cc: Subject: PERFORCE change 148495 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 26 Aug 2008 07:22:46 -0000 http://perforce.freebsd.org/chv.cgi?CH=148495 Change 148495 by remko@remko_nakur on 2008/08/26 07:22:38 import Rene's latest work in progress. Going well! Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml#8 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml#8 (text+ko) ==== @@ -3,7 +3,7 @@ $FreeBSD$ %SOURCE% en_US.ISO8859-1/books/handbook/advanced-networking/chapter.sgml - %SRCID% 1.410 (in progress) + %SRCID% 1.412 (in progress) --> @@ -191,8 +191,8 @@ subnet - &os; zal ook subnetroutes voor het lokale subnet toevoegen ( - 10.20.30.255 is het + &os; zal ook subnetroutes voor het lokale subnet toevoegen + (10.20.30.255 is het broadcast-adres voor het subnet 10.20.30, en example.com is de @@ -209,8 +209,8 @@ De regel met host1 verwijst naar deze host, het kent deze door het Ethernetadres. Aangezien het de - zendende host is, weet &os; dat het de teruglus-interface ( - lo0) moet gebruiken, in plaats van het + zendende host is, weet &os; dat het de teruglus-interface + (lo0) moet gebruiken, in plaats van het over de Ethernet-interface te verzenden. De twee regels met host2 geven een @@ -879,8 +879,8 @@ if_ath_load="YES" Het stuurprogramma voor Atheros is opgedeeld in drie - verschillende delen: het eigenlijke stuurprogramma ( - &man.ath.4;), de ondersteuningslaag voor de hardware die + verschillende delen: het eigenlijke stuurprogramma + (&man.ath.4;), de ondersteuningslaag voor de hardware die chip-specifieke functies afhandelt (&man.ath.hal.4;), en een algoritme om de snelheid om frames te verzenden te kiezen uit een reeks mogelijke waarden (hier ath_rate_sample). Indien @@ -910,23 +910,32 @@ Nadat het apparaatstuurprogramma is ingesteld is het ook nodig om de ondersteuning voor 802.11-netwerken waarvan het stuurprogramma gebruik maakt in te stellen. Voor het - stuurprogramma &man.ath.4; is dit minimaal de module - &man.wlan.4;; deze module wordt automatisch geladen met het - stuurprogramma voor draadloze apparaten. Daarvoor zijn ook de - modules nodig die cryptografische ondersteuning implementeren - voor de te gebruiken veiligheidsprotocollen. Het is de - bedoeling dat ze dynamisch door de module &man.wlan.4; worden - geladen maar momenteel dienen ze handmatig ingesteld te - worden. De volgende modules zijn beschikbaar: - &man.wlan.wep.4;, &man.wlan.ccmp.4;, en &man.wlan.tkip.4;. - Zowel de stuurprogramma's &man.wlan.ccmp.4; en - &man.wlan.tkip.4; zijn alleen nodig indien het - veiligheidsprotocol WPA en/of 802.11i gebruikt wordt. Indien - het netwerk geheel open dient te zijn (i.e. geen versleuteling - ) is zelfs de ondersteuning van &man.wlan.wep.4; niet nodig. - Om deze modules tijdens het opstarten te laden, dienen de - volgende regels aan /boot/loader.conf - toegevoegd te worden: + stuurprogramma &man.ath.4; zijn dit minimaal de modules + &man.wlan.4;, wlan_scan_ap en + wlan_scan_sta; de module &man.wlan.4; wordt + automatisch geladen met het stuurprogramma voor draadloze + apparaten, de overige modeules dienen tijdens het opstarten + geladen te worden via het bestand + /boot/loader.conf: + + wlan_scan_ap_load="YES" +wlan_scan_sta_load="YES" + + Daarvoor zijn ook de modules nodig die cryptografische + ondersteuning implementeren voor de te gebruiken + veiligheidsprotocollen. Het is de bedoeling dat ze dynamisch + door de module &man.wlan.4; worden geladen maar momenteel + dienen ze handmatig ingesteld te worden. De volgende modules + zijn beschikbaar: &man.wlan.wep.4;, &man.wlan.ccmp.4;, en + &man.wlan.tkip.4;. Zowel de stuurprogramma's + &man.wlan.ccmp.4; en &man.wlan.tkip.4; zijn alleen nodig + indien het veiligheidsprotocol WPA en/of 802.11i gebruikt + wordt. Indien het netwerk geheel open dient te zijn (i.e. + geen versleuteling) is zelfs de ondersteuning van + &man.wlan.wep.4; niet nodig. Om deze modules tijdens het + opstarten te laden, dienen de volgende regels aan + /boot/loader.conf toegevoegd te worden: + wlan_wep_load="YES" wlan_ccmp_load="YES" @@ -950,6 +959,8 @@ device ath_hal # Atheros Hardware Access Layer device ath_rate_sample # John Bicket's SampleRate stuuralgoritme. device wlan # 802.11 ondersteuning (vereist) +device wlan_scan_ap # 802.11 AP-modus scannen +device wlan_scan_sta # 802.11 STA-modus scannen device wlan_wep # WEP crypto ondersteuning voor 802.11 apparaten device wlan_ccmp # AES-CCMP crypto ondersteuning voor 802.11 apparaten device wlan_tkip # TKIP en Michael crypto ondersteuning voor 802.11 apparaten @@ -1252,7 +1263,7 @@ ifconfig_ath0="ssid uw_ssid_hier inet 192.168.1.100 netmask 255.255.255.0" - + WPA @@ -1554,8 +1565,8 @@ WPA met EAP-TTLS Bij EAP-TLS hebben zowel de authenticatieserver als de - cliënt een certificaat nodig, met EAP-TTLS ( - EAP-Tunneled Transport Layer Security) is een + cliënt een certificaat nodig, met EAP-TTLS + (EAP-Tunneled Transport Layer Security) is een cliëntcertificaat optioneel. Deze methode komt in de buurt van wat sommige beveiligde websites doen, waar de webserver een veilige SSL-tunnel kan aanmaken zelfs als de @@ -1765,7 +1776,10 @@ WEP-sleutel zal worden gebruikt tijdens het verzenden. Hier wordt de derde sleutel gebruikt. Dit dient overeen te komen met de instelling in het toegangspunt. - + Indien onbekend is welke sleutel door het toegangspunt + wordt gebruikt, dient geprobeerd te worden om + 1 (i.e. de eerste sleutel) voor deze + waarde te gebruiken. @@ -2164,8 +2178,8 @@ freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 EPS De cliëntmachine heeft het toegangspunt gevonden en - kan ermee geassocieerd worden door de juiste parameters ( - sleutel, enz.) te gebruiken, zie voor meer details. @@ -2273,8 +2287,8 @@ van seriële lijnen, en meer. De Bluetooth stack is in &os; geïmplementeerd door - gebruik te maken van het Netgraph-raamwerk (zie &man.netgraph.4; - ). Een rijke variëteit van Bluetooth USB-dongles wordt + gebruik te maken van het Netgraph-raamwerk (zie + &man.netgraph.4;). Veel van de Bluetooth USB-dongles worden ondersteund door het stuurprogramma &man.ng.ubt.4;. Apparaten gebaseerd op de Broadcom BCM2033 chip worden ondersteund door de stuurprogramma's &man.ubtbcmfw.4; en &man.ng.ubt.4;. De 3Com @@ -2899,8 +2913,8 @@ - Steve - Peterson + Andrew + Thompson Geschreven door @@ -2915,13 +2929,14 @@ bridge - Soms is het handig om één fysiek netwerk ( - zoals een Ethernet-segment) in twee gescheiden netwerksegmenten + Soms is het handig om één fysiek netwerk + (zoals een Ethernet-segment) in twee gescheiden netwerksegmenten te verdelen zonder de noodzaak om een IP-subnet aan te maken en een router te gebruiken om de segmenten met elkaar te verbinden. Een apparaat dat twee netwerken op deze manier met elkaar - verbind wordt een bridge (brug) genoemd. Een - &os;-systeem met twee netwerkkaarten kan als bridge dienen. + verbindt wordt een bridge (brug) genoemd. Een + &os;-systeem met twee netwerkkaarten kan als bridge dienen. + De bridge werkt door de adressen van de MAC-laag (Ethernet-adressen) van de apparaten op elke netwerkinterface @@ -2936,32 +2951,21 @@ Situaties waarin bridging juist is - Er zijn vandaag de dag twee situaties waarin een bridge + Er zijn vandaag de dag veel situaties waarin een bridge gebruikt wordt. - Veel verkeer op een segment + Netwerken verbinden - De eerste situatie doet zich voor wanneer het fysieke - netwerksegment overbelast is met verkeer, en wanneer het niet - gewenst is om het netwerk in subnetten onder te verdelen en - de subnetten met een router te verbinden. - - Beschouw het voorbeeld van een krant waarbij de redactie- - en productie-afdelingen op het zelfde subnetwerk zitten. De - redactie-gebruikers gebruiken allemaal server A - voor bestandsdiensten, en de productie-gebruikers gebruiken - server B. Een Ethernet-netwerk verbindt alle - gebruikers, en hoge netwerkbelastingen zorgen voor - vertragingen. - - Indien de redactie-gebruikers op een netwerksegment gezet - konden worden en de productie-gebruikers op een andere, konden - de twee netwerksegmenten met een bridge verbonden worden. - Alleen het verkeer dat voor interfaces aan de - andere kant van het netwerk bedoeld is zou naar - het andere netwerk gezonden worden, waardoor de belasting op - elk netwerksegment verminderd zou worden. + Het basisgebruik van een bridge is het met elkaar + verbinden van twee of meer netwerksegmenten. Er zijn vele + redenen om een hostgebaseerde bridge te gebruiken in plaats + van simpele netwerkapparaten zoals kabelbeperkingen, + firewalling of het verbinden van pseudonetwerken zoals een + interface van een virtuële machine. Een bridge kan ook + een draadloze interface die in hostap-modus draait met een + bedraad netwerk verbinden en als een toegangspunt dienen. + @@ -2971,15 +2975,16 @@ NAT - De tweede gebruikelijke situatie dient zich voor wanneer - de functionaliteit van een firewall nodig is zonder network - address translation (NAT). + Een gebruikelijke situatie dient zich voor wanneer de + functionaliteit van een firewall nodig is zonder routing of + network address translation (NAT). Een voorbeeld is een klein bedrijf dat via DSL of ISDN met hun internetprovider verbonden is. Dit bedrijf heeft 13 wereldwijd bereikbare IP-adressen van de internetprovider en - 10 PC's op het netwerk. In deze situatie is een firewall die - op een router gebaseerd is lastig wegens subnet-problemen. + 10 PC's op hun netwerk. In deze situatie is een firewall die + op een router gebaseerd is lastig wegens subnet-problemen. + router @@ -2987,120 +2992,439 @@ ISDN - Een firewall die op een bridge gebaseerd is kan net na de - DSL- of ISDN-router ingesteld en geplaatst worden zonder dat - er IP-nummers veranderd hoeven te worden. + Een firewall die op een bridge gebaseerd is kan ingesteld + en net na de DSL- of ISDN-router geplaatst worden zonder dat + er problemen met IP-nummers optreden. + + + + Netwerktap + + Een bridge kan twee netwerksegmenten verbinden en kan + gebruikt worden om alle Ethernetframes die tussen dezen + voorbijkomen te inspecteren. Dit kan òfwel vanuit het + gebruik van &man.bpf.4;/&man.tcpdump.1; op de bridge-interface + òfwel door een kopie van alle frames naar een extra + interface (overspanpoort) te versturen. + + + + Laag 2 VPN + + Twee Ethernetnetwerken kunnen over een IP-verbinding + verbonden worden door de netwerken naar een EtherIP-tunnel te + bridgen of met een oplossing gebaseerd po &man.tap.4; zoals + OpenVPN. + + + + Laag 2 Redundancy + + Een netwerk kan met meerdere verbindingen verbonden worden + en het Spanning Tree Protocol gebruiken om overbodige paden te + blokkeren. Een Ethernetnetwerk kan alleen juist functioneren + indien er slechts één actief pad bestaat tussen + twee apparaten, Spanning Tree zal lussen detecteren en de + overbodige verbindingen in een geblokkeerde toestand zetten. + Indien een van de actieve verbindingen faalt zal het protocol + een andere boom berekenen en een van de geblokkeerde paden + weer activeren om de verbindingen naar alle punten in het + netwerk te herstellen. - Een bridge configureren + De kernel instellen + + Deze sectie behandelt de bridges geïmplementeerd met + &man.if.bridge.4;, een stuurprogramma dat bridges met netgraph + implementeert is ook beschikbaar, zie voor meer informatie de + hulppagina &man.ng.bridge.4;. + + Het bridge-stuurprogramma is een kernelmodule en zal + automatisch door &man.ifconfig.8; worden geladen wanneer er een + bridge-interface wordt aangemaakt. Het is mogelijk om de bridge + in de kernel te compileren door + device if_bridge aan het + kernelinstellingenbestand toe te voegen. + + Pakketfiltering kan met elk firewall-pakket worden gebruikt + dat via het raamwerk &man.pfil.9; aankoppelt. De firewall kan + als een module worden geladen of in de kernel worden + gecompileerd. + + De bridge kan als met &man.altq.4; of &man.dummynet.4; als + een verkeersregelaar worden gebruikt. + + + + De bridge inschakelen + + De bridge wordt aangemaakt door interfaces te klonen. Om + een bridge aan te maken wordt &man.ifconfig.8; gebruikt, indien + het bridge-stuurprogramma niet in de kernel aanwezig is zal het + automatisch worden geladen. + + &prompt.root; ifconfig bridge create +&prompt.root; ifconfig bridge0 +bridge0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 + ether 96:3d:4b:f1:79:7a + id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15 + maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200 + root id 00:00:00:00:00:00 priority 0 ifcost 0 port 0 + + Een bridge-interface is aangemaakt en er is automatisch een + random gegenereerd Ethernet-adres aan toegekend. De parameters + maxaddr en timeout bepalen + hoeveel MAC-adressen de bridge in de doorstuurtabel houdt en + hoeveel seconden voordat elke regel wordt verwijderd nadat het + voor het laatst gezien is. De andere parameters bepalen hoe + Spanning Tree werkt. + + Voeg de netwerk-interfaces die lid zijn aan de bridge toe. + Om de bridge pakketten te laten doorsturen dienen alle + lid-interfaces en de bridge actief te zijn: + + &prompt.root; ifconfig bridge0 addm fxp0 addm fxp1 up +&prompt.root; ifconfig fxp0 up +&prompt.root; ifconfig fxp1 up + + De bridge stuurt nu Ethernet-frames door tussen + fxp0 en fxp1. + De overeenkomstige configuratie in + /etc/rc.conf zodat de bridge tijdens het + opstarten wordt aangemaakt is: + + cloned_interfaces="bridge0" +ifconfig_bridge0="addm fxp0 addm fxp1 up" +ifconfig_fxp0="up" +ifconfig_fxp1="up" + + Indien de bridge-gastheer een IP-adres nodig heeft dan is de + juiste plaats om dit in te stellen op de bridge-interface zelf + in plaats van op een van de lid-interfaces. Dit kan statisch of + via DHCP worden ingesteld: + + &prompt.root; ifconfig bridge0 inet 192.168.0.1/24 + + Het is ook mogelijk om een IPv6-adres aan een + bridge-interface toe te kennen. + + + + Firewalls gebruiken + + firewall + + Wanneer pakketten worden gefilterd, zullen gebridgede + pakketten het filter inbound op de vertrekkende interface + passeren, op de bridge-interface en outbound op de bestemde + interface. Elke stap kan uitgezet worden. Wanneer de richting + van het pakketverkeer belangrijk is, kan de firewall het beste + op de lid-interfaces draaien en niet op de bridge zelf. + + De bridge heeft verschillende aanpasbare instellingen voor + het doorlaten van non-IP- en ARP-pakketten, en een laag 2 + firewall met IPFW. Zie &man.if.bridge.4; voor meer informatie. + + + + + Opspannende boom + + Het bridge-stuurprogramma implementeert het Rapid Spanning + Tree Protocol (RSTP of 802.1w) met terugwaartse compatibiliteit + met het verouderde Spanning Tree Protocol (STP). Spanning Tree + wordt gebruikt om lussen in een netwerktopologie te detecteren + en verwijderen. RSTP biedt snellere convergentie naar een + opspannende boom dan het verouderde STP, het protocol wisselt + informatie met naburige switches uit om snel naar forwarding + over te gaan zonder lussen te creëren. + + De volgende tabel laat de ondersteunende werkwijzen zien: + + + + + + + OS-versie + STP-modi + Standaard modus + + + + + + &os; 5.4—&os; 6.2 + STP + STP + + + + &os; 6.3+ + RSTP of STP + STP + + + + &os; 7.0+ + RSTP of STP + RSTP + + + + + + Spanning Tree kan op lid-interfaces worden geactiveerd met + het commando stp. Voor een bridge met + fxp0 en fxp1 + ale huidige interfaces, wordt STP met het volgende geactiveerd: + + + &prompt.root; ifconfig bridge0 stp fxp0 stp fxp1 +bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 + ether d6:cf:d5:a0:94:6d + id 00:01:02:4b:d4:50 priority 32768 hellotime 2 fwddelay 15 + maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200 + root id 00:01:02:4b:d4:50 priority 32768 ifcost 0 port 0 + member: fxp0 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP> + port 3 priority 128 path cost 200000 proto rstp + role designated state forwarding + member: fxp1 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP> + port 4 priority 128 path cost 200000 proto rstp + role designated state forwarding + + De bridge heeft spanning tree ID + 00:01:02:4b:d4:50 en prioriteit + 32768. Aangezien het + root id hetzelfde is geeft dit aan dat dit de + hoofd-bridge voor de boom is. + + Een andere bridge in het netwerk heeft spanning tree ook + geactiveerd: + + bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 + ether 96:3d:4b:f1:79:7a + id 00:13:d4:9a:06:7a priority 32768 hellotime 2 fwddelay 15 + maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200 + root id 00:01:02:4b:d4:50 priority 32768 ifcost 400000 port 4 + member: fxp0 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP> + port 4 priority 128 path cost 200000 proto rstp + role root state forwarding + member: fxp1 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP> + port 5 priority 128 path cost 200000 proto rstp + role designated state forwarding + + De reegl root id 00:01:02:4b:d4:50 priority 32768 + ifcost 400000 port 4 geeft aan dat de hoofd-bridge + 00:01:02:4b:d4:50 is zoals boven en dat de + padkosten 400000 zijn vanaf deze bridge, het + pad naar de hoofd-bridge gaat via port 4 + welke fxp0 is. + + + + Geavanceerd bridgen - De netwerkkaart selecteren + Verkeersstromen reconstrueren + + De bridge ondersteunt monitor-modus, waarin de pakketten + worden verwijderd nadat ze door &man.bpf.4; zijn verwerkt, + en ze niet verder verwerkt of doorgestuurd worden. Dit kan + worden gebruikt om de invoer van twee of meer interfaces naar + een enkele &man.bpf.4;-stroom te multiplexen. Dit is nuttig + voor het reconstrueren van het verkeer voor netwerktaps welke + de RX/TX-signalen over twee verschillende interfaces uitzenden + . - Een bridge heeft minstens twee netwerkkaarten nodig om te - functioneren. Helaas ondersteunen niet alle netwerkkaarten - bridging. Raadpleeg &man.bridge.4; voor details over de - ondersteunde kaarten. + Om de invoer van vier netwerkinterfaces als + één stroom te lezen: - Installeer en test de twee netwerkkaarten alvorens verder - te gaan. + &prompt.root; ifconfig bridge0 addm fxp0 addmfxp1 addm fxp2 addm fxp3 monitor up +&prompt.root; tcpdump -i bridge0 - Kernelinstellingen wijzigingen + SPAN poorten - - kernelopties + Van elk Ethernet-frame dat door de bridge wordt ontvangen + wordt er een kopie naar de aangewezen SPAN-poort verstuurd. + Het aantal geconfigureerde SPAN-poorten op een bridge is + onbeperkt, indien een interface aangewezen is als SPAN-poort + kan het niet ook als gewone bridge-poort gebruikt worden. Dit + is het nuttigste voor het passief afluisteren van een + gebridged netwerk op een andere host die met een van de + SPAN-poorten van de brdige verbonden is. - BRIDGE - + Om een kopie van alle frames naar het interface + fxp4 te versturen: - Om kernelondersteuning voor bridging aan te zetten, dient - de volgende regel aan het kernelinstellingenbestand toegevoegd - te worden: + &prompt.root; ifconfig bridge0 span fxp4 + - options BRIDGE + + Privé-interfaces - Hierna dient de kernel opnieuw gebouwd te worden. + Een privé-interface stuurt geen verkeer door naar + poorten die niet ook een privé-interface zijn. Het + verkeer wordt onvoorwaardelijk geblokkeerd, dus worden er + geen Ethernet-frames doorgestuurd, inclusief ARP. Indien + verkeer selectief dient te worden geblokkeerd dient er in + plaats hiervan een firewall gebruikt te worden. - Firewall-ondersteuning + Klevende interfaces + + Indien een lid-interface van een bridge als klevend is + gemarkeerd worden dynamisch geleerde adresregels als statisch + behandelt wanneer ze in de doorstuurcache komen. Klevende + interfaces vallen nooit uit de cache en worden nooit vervangen + , zelfs niet als het adres op een andere interface wordt + gezien. Dit biedt het voordeel van statische adresregels + zonder dat de doorstuurtabel van te voren gevuld hoeft te + worden, cliënten die geleerd zijn op een bepaald segment + van de bridge kunnen niet roamen naar een ander segment. + + + Een ander voorbeeld voor het gebruik van klevende adressen + zou het combineren van de bridge met VLANs zijn om een router + te creëren waar klantnetwerken geïsoleerd zijn + zonder dat IP-adresruimte verspild wordt. Neem aan dat + KlantA op + vlan100 zit en KlantB op + vlan101. De bridge heeft het adres + 192.168.0.1 en is tevens een + internet-router. + + &prompt.root; ifconfig bridge0 addm vlan100 sticky vlan100 addm vlan101 sticky vlan101 +&prompt.root; ifconfig bridge0 inet 192.168.0.1/24 + + Beide cliënten zien 192.168.0.1 als hun standaard gateway + en aangezien de bridge-cache kleverig is kunnen ze niet het + MAC-adres van de andere klant spoofen om hun verkeer op te + vangen. - firewall + Alle communicatie tussen de VLANs kan geblokkeerd worden + door het gebruik van privé-interfaces (of een firewall) + : - Indien de bridge als firewall gebruikt gaat worden, dient - ook de optie IPFIREWALL toegevoegd te - worden. Raadpleeg voor algemene - informatie over het instellen van de bridge als firewall. + &prompt.root; ifconfig bridge0 private vlan100 private vlan101 - Indien het nodig is om niet-IP-pakketten (zoals ARP) door - de bridge moeten stromen, dient dit in de firewall ingesteld - te worden. De optie IPFIREWALL_DEFAULT_TO_ACCEPT - dient hiervoor. Merk op dat dit de standaardregel van de - firewall zo verandert dat het elk pakket accepteert. Ben er - zeker van de betekenis van deze verandering op de - regelverzameling voordat deze optie wordt ingesteld. + De klanten zijn compleet geïsoleerd van elkaar, het + volledige /24 adresruimte kan + zonder subnetten toegewezen worden. - Bandbreedtebeheersing ondersteuning + Adresbeperkingen + + Het aantal unieke bron-MAC-adressen achter een interface + kan beperkt zijn. Wanneer de limiet bereikt is worden + pakketten met een onbekend bronadres gedropt totdat een + bestaande ingang in de host-cache vervalt of wordt verwijderd. + + + Het volgende voorbeeld stelt het maximum aantal + Ethernet-apparaten voor KlantA op + vlan100 in op 10. - Indien het gewenst is om de bridge als beheerder voor de - bandbreedte te gebruikken, dient de optie - DUMMYNET aan de kernelinstellingen te - worden toegevoegd. Raadpleeg &man.dummynet.4; voor meer - informatie. + &prompt.root; ifconfig bridge0 ifmaxaddr vlan100 10 - - - De bridge inschakelen + + SNMP-monitoring - Voeg de volgende regel aan /etc/sysctl.conf - toe om de bridge op runtime aan te zetten: + De bridge-interface en STP-parameters kunnen gemonitord + worden via het SNMP-daemon dat met het basis &os;-systeem + wordt meegeleverd. De geëxporteerde bridge-MIBs houden + zich an de standaarden van de IETF zodat elke SNMP-cliënt + of monitorpakket kan worden gebruikt om de gegevens te + verzamelen. - net.link.ether.bridge.enable=1 + Op de bridge-machine dient de regel + begemotSnmpdModulePath."bridge" = + "/usr/lib/snmp_bridge.so" van + /etc/snmp.config geactiveerd te worden en + het daemon bsnmpd gestart te worden + . Andere instellingen zoals gemeenschapsnamen en + toegangslijsten dienen eventueel aangepast te worden. Zie + &man.bsnmpd.1; en &man.snmp.bridge.3; voor meer informatie. + - en de volgende regel om bridging op de gespecificeerde - interfaces aan te zetten (vervang if1 - en if2 met de namen van de twee - netwerkkaarten): + Het volgende voorbeeld gebruikt de software + Net-SNMP (net-mgmt/net-snmp om een bridge te + ondervragen, de port net-mgmt/bsnmptools kan ook worden + gebruikt. Voeg de volgende regels toe aan + $HOME/.snmp/snmp.conf op de + SNMP-cliënt-host om de MIB-definities van de bridge in + Net-SNMP te importeren: - net.link.ether.bridge.config=if1,if2 + mibdirs +/usr/share/snmp/mibs +mibs +BRIDGE-MIB:RSTP-MIB:BEGEMOT-MIB:BEGEMOT-BRIDGE-MIB - Indien het gewenst is om de gebridgede pakketten te filteren - met &man.ipfw.8;, dient het volgende toegevoegd te worden: + Om een enkele bridge via de IETF BRIDGE-MIB (RFC4188) te + monitoren: - net.link.ether.bridge.ipfw=1 + &prompt.user; snmpwalk -v 2c -c public bridge1.example.com mib-2.dot1dBridge +BRIDGE-MIB::dot1dBaseBridgeAddress.0 = STRING: 66:fb:9b:6e:5c:44 +BRIDGE-MIB::dot1dBaseNumPorts.0 = INTEGER: 1 ports +BRIDGE-MIB::dot1dStpTimeSinceTopologyChange.0 = Timeticks: (189959) 0:31:39.59 centi-seconds +BRIDGE-MIB::dot1dStpTopChanges.0 = Counter32: 2 +BRIDGE-MIB::dot1dStpDesignatedRoot.0 = Hex-STRING: 80 00 00 01 02 4B D4 50 +... +BRIDGE-MIB::dot1dStpPortState.3 = INTEGER: forwarding(5) +BRIDGE-MIB::dot1dStpPortEnable.3 = INTEGER: enabled(1) +BRIDGE-MIB::dot1dStpPortPathCost.3 = INTEGER: 200000 +BRIDGE-MIB::dot1dStpPortDesignatedRoot.3 = Hex-STRING: 80 00 00 01 02 4B D4 50 +BRIDGE-MIB::dot1dStpPortDesignatedCost.3 = INTEGER: 0 +BRIDGE-MIB::dot1dStpPortDesignatedBridge.3 = Hex-STRING: 80 00 00 01 02 4B D4 50 +BRIDGE-MIB::dot1dStpPortDesignatedPort.3 = Hex-STRING: 03 80 +BRIDGE-MIB::dot1dStpPortForwardTransitions.3 = Counter32: 1 +RSTP-MIB::dot1dStpVersion.0 = INTEGER: rstp(2) - Voor versies lager dan &os; 5.2-RELEASE dienen echter - de volgende regels gebruikt te worden: + De waarde dot1dStpTopChanges.0 is twee + wat betekent dat de topologie van de STP-bridge twee maal + veranderd is, een topologieverandering houdt in dat + één of meerdere links in het netwerk zijn + veranderd of hebben gefaald en dat er een nieuwe boom is + berekend. De waarde + dot1dStpTimeSinceTopologyChange.0 laat zien + wanneer dit gebeurde. - net.link.ether.bridge=1 -net.link.ether.bridge_cfg=if1,if2 -net.link.ether.bridge_ipfw=1 - + Om meerdere bridge-interfaces te monitoren kan men het + privé BEGEMOT-BRIDGE-MIB gebruiken: - - Overige informatie + &prompt.user; snmpwalk -v 2c -c public bridge1.example.com +enterprises.fokus.begemot.begemotBridge +BEGEMOT-BRIDGE-MIB::begemotBridgeBaseName."bridge0" = STRING: bridge0 +BEGEMOT-BRIDGE-MIB::begemotBridgeBaseName."bridge2" = STRING: bridge2 +BEGEMOT-BRIDGE-MIB::begemotBridgeBaseAddress."bridge0" = STRING: e:ce:3b:5a:9e:13 +BEGEMOT-BRIDGE-MIB::begemotBridgeBaseAddress."bridge2" = STRING: 12:5e:4d:74:d:fc +BEGEMOT-BRIDGE-MIB::begemotBridgeBaseNumPorts."bridge0" = INTEGER: 1 +BEGEMOT-BRIDGE-MIB::begemotBridgeBaseNumPorts."bridge2" = INTEGER: 1 +... +BEGEMOT-BRIDGE-MIB::begemotBridgeStpTimeSinceTopologyChange."bridge0" = Timeticks: (116927) 0:19:29.27 centi-seconds +BEGEMOT-BRIDGE-MIB::begemotBridgeStpTimeSinceTopologyChange."bridge2" = Timeticks: (82773) 0:13:47.73 centi-seconds +BEGEMOT-BRIDGE-MIB::begemotBridgeStpTopChanges."bridge0" = Counter32: 1 +BEGEMOT-BRIDGE-MIB::begemotBridgeStpTopChanges."bridge2" = Counter32: 1 +BEGEMOT-BRIDGE-MIB::begemotBridgeStpDesignatedRoot."bridge0" = Hex-STRING: 80 00 00 40 95 30 5E 31 +BEGEMOT-BRIDGE-MIB::begemotBridgeStpDesignatedRoot."bridge2" = Hex-STRING: 80 00 00 50 8B B8 C6 A9 - Indien het gewenst is om de bridge met &man.ssh.1; over het - netwerk te benaderen, is het juist om aan één van - de netwerkkaarten een IP-adres toe te kennen. De algemene - gedachte is dat het toekennen van een IP-adres aan beide kaarten - een slecht idee is. + Om de bridge-interface die via de subboom + mib-2.dot1dBridge wordt gemonitord te + veranderen: - Indien er meerdere bridges in het netwerk aanwezig zijn, kan - er niet meer dan één pad zijn tussen twee - willekeurige werkstations. Technisch gezien betekent dit dat er - geen ondersteuning is voor het koppelen van opspannende bomen. - - Een bridge kan latency toevoegen aan de tijden van - &man.ping.8;, in het bijzonder voor verkeer dat van het ene naar - het andere segment gaat. + &prompt.user; snmpset -v 2c -c private bridge1.example.com +BEGEMOT-BRIDGE-MIB::begemotBridgeDefaultBridgeIf.0 s bridge2 + @@ -3150,8 +3474,8 @@ - De poort Etherboot ( - net/etherboot) maakt + De poort Etherboot + (net/etherboot) maakt code aan dat naar een ROM geschreven kan worden en dat kernels over het netwerk opstart. De code kan òfwel naar een opstart-PROM op een netwerkkaart @@ -3164,8 +3488,8 @@ - Een voorbeeldscript ( - /usr/share/examples/diskless/cone_root) + Een voorbeeldscript + (/usr/share/examples/diskless/cone_root) vergemakkelijkt het aanmaken en beheren van het root bestandssysteem van het werkstation op de server. Het kan nodig zijn dat het script wat aangepast moet worden, maar het @@ -3273,8 +3597,8 @@ DHCP biedt echter een aantal voordelen boven BOOTP (fijnere instellingsbestanden, mogelijkheid om PXE te gebruiken, en vele - anderen die niet direct verband houden met schijfloos werken - ), er zal hoofdzakelijk een opstelling met + anderen die niet direct verband houden met schijfloos + werken), er zal hoofdzakelijk een opstelling met DHCP worden beschreven, met analoge voorbeelden voor &man.bootpd.8; indien mogelijk. De voorbeeldopstelling zal het softwarepakket van @@ -3439,8 +3763,8 @@ pxeboot en niet de kernel laadt. Er zijn andere interessante mogelijkheden, zoals het laden van pxeboot vanuit de map /boot van een &os; CD-ROM ( - aangezien &man.pxeboot.8; een GENERIC + class="directory">/boot van een &os; CD-ROM + (aangezien &man.pxeboot.8; de GENERIC kernel kan laden, bestaat de mogelijkheid om PXE te gebruiken om van een CDROM op afstand op te starten. @@ -3515,8 +3839,8 @@ role="package">net/etherboot geïnstalleerd te worden. - De instellingen van Etherboot ( - i.e. om TFTP in plaats van + De instellingen van Etherboot + (i.e. om TFTP in plaats van NFS te gebruiken) kunnen gewijzigd worden door het bestand Config in de bronmap van Etherboot te bewerken.