|
2004 г
Проект Русской Документации FreeBSD
содержание
Текст создал Steve Peterson.
Иногда полезно разделить одну физическую сеть (такую, как сегмент Ethernet) на два
отдельных сегмента сети без необходимости создания подсетей IP и использования
маршрутизатора для соединения сегментов. Устройство, которое соединяет две сети на такой
манер, называется ``сетевым мостом'' (``bridge''). Система FreeBSD с двумя сетевыми
адаптерами может выступать в роли моста.
Мост работает на основе изучения адресов уровня MAC (адресов Ethernet) устройств на
каждом из своих сетевых интерфейсах. Он перенаправляет трафик между двумя сетями, только
когда адреса отправителя и получателя находятся в разных сетях.
По многим параметрам мост работает также, как коммутатор Ethernet с малым количеством
портов.
На сегодняшний день есть две ситуации, когда можно использовать мост.
Первая ситуация возникает, когда ваша физическая сеть перегружена трафиком, но по
каким-то соображениям вы не хотите разделять сеть на подсети и соединять их с помощью
маршрутизатора.
Давайте рассмотрим в качестве примера газету, в которой редакторский и
производственный отделы находятся в одной и той же подсети. Пользователи в редакторском
отделе все используют сервер A для служб доступа к файлам, а
пользователи производственного отдела используют сервер B. Для
объединения всех пользователей используется сеть Ethernet, а высокая нагрузка на сеть
замедляет работу.
Если пользователи редакторского отдела могут быть собраны в одном сегменте сети, а
пользователи производственного отдела в другом, то два сетевых сегмента можно объединить
мостом. Только сетевой трафик, предназначенный для интерфейсов с ``другой'' стороны
моста, будет посылаться в другую сеть, тем самым снижая уровень нагрузки на каждый
сегмент сети.
Второй распространенной ситуацией является необходимость в обеспечении функций
межсетевого экрана без трансляции сетевых адресов (NAT).
Для примера можно взять маленькую компанию, которая подключена к своему провайдеру по
каналу DSL или ISDN. Для неё провайдер выделил 13 глобально доступных IP-адресов для
имеющихся в сети 10 персональных компьютеров. В такой ситуации использование межсетевого
экрана на основе маршрутизатора затруднено из-за проблем с разделением на подсети.
Межсетевой экран на основе моста может быть настроен и включен между маршрутизаторами
DSL/ISDN без каких-либо проблем с IP-адресацией.
Для работы моста требуются по крайней мере два сетевых адаптера. К сожалению, не все
сетевые адаптеры во FreeBSD 4.0 поддерживают функции моста. Прочтите страницу
Справочника по bridge(4) для
выяснения подробностей о поддерживаемых адаптерах.
Перед тем, как продолжить, сначала установите и протестируйте два сетевых
адаптера.
Для включения поддержки функций моста в ядре, добавьте строчку
options BRIDGE
в файл конфигурации вашего ядра, и перестройте ядро.
Если вы планируете использовать мост в качестве межсетевого экрана, вам нужно также
добавить опцию IPFIREWALL. Прочтите Разд. 14.8, содержащий общую информацию о настройке моста в
качестве межсетевого экрана.
Если вам необходимо обеспечить прохождение не-IP пакетов (таких, как ARP) через мост,
то имеется опция межсетевого экрана, которую можно задать. Это опция IPFIREWALL_DEFAULT_TO_ACCEPT. Заметьте, что при этом правило,
используемое межсетевым экраном по умолчанию, меняется на разрешительное для всех
пакетов. Перед тем, как задавать эту опцию, убедитесь, что вы понимаете работу вашего
набора правил.
Если вы хотите использовать мост в качестве машины, ограничивающей пропускную
способность, то добавьте в файл конфигурации ядра опцию DUMMYNET. Дополнительную информацию можно почерпнуть из страницы
Справочника по dummynet(4).
Добавьте строку
net.link.ether.bridge=1
в файл /etc/sysctl.conf для включения функций моста во время
работы системы, и строку:
net.link.ether.bridge_cfg=if1,if2
для включения функций моста для указанных интерфейсов (замените if1 и if2 на имена двух ваших
сетевых интерфейсов). Если вы хотите, чтобы проходящие через мост пакеты фильтровались
посредством ipfw(8), вы должны
добавить строчку:
net.link.ether.bridge_ipfw=1
Во FreeBSD 5.2-RELEASE и последующих версиях нужно использовать вместо указанных
следующие строки:
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=if1,if2
net.link.ether.bridge.ipfw=1
Если вы хотите осуществлять удалённый доступ на мост через ssh(1) из сети, то
корректно назначить одному из сетевых адаптеров IP-адрес. Общепринято, что назначение
адреса обоим сетевым адаптерам является не самой хорошей идеей.
Если в вашей сети присутствует несколько мостов, не должно быть более одного маршрута
между любыми двумя рабочими станциями. С технической точки зрения это означает отсутствие
поддержки протокола spanning tree.
Сетевой мост может увеличить задержки в замерах командой ping(8), особенно для
трафика между двумя разными сегментами.
|
 |
|
|
Новости мира IT:
- 02.02 - Apple задумала выпустить iPhone в формате «раскладушки»
- 02.02 - Соцсети вскоре столкнутся с массовыми набегами ИИ-агентов, предупредили учёные
- 02.02 - Обещанная Павлом Дуровым интеграция Grok c Telegram до сих пор не случилась и, похоже, уже никогда не случится
- 02.02 - Запустилась соцсеть Moltbook, где общаются только ИИ-агенты — людям разрешили только наблюдать
- 29.01 - Линус Торвальдс принял план передачи управления репозиторием ядра Linux в непредвиденных ситуациях
- 29.01 - ИИ-стартап Илона Маска xAI получит $2 млрд от Tesla до конца марта
- 29.01 - Бигтехи снова забрасывают OpenAI деньгами — Nvidia, Microsoft и Amazon обсуждают инвестиции на $60 млрд
- 29.01 - Samsung утроила квартальную прибыль до рекордных $14 млрд, но по итогам года впервые уступила SK hynix
- 29.01 - Google заплатит $135 млн за тайный сбор данных пользователей Android и больше не будет «шпионить» без спроса
- 26.01 - Представлен смартфон NexPhone, совмещающий Android, Debian и Windows
- 26.01 - Российская команда Parivision сенсационно выиграла первый крупный турнир года по Counter-Strike 2
- 26.01 - Стоимость акций Sandisk неожиданно взлетела на 1000 % всего за несколько месяцев
- 26.01 - Россияне столкнулись с массовым сбоем сервисов, позволявших обходить ограничения мобильного интернета
- 20.01 - Организация Open Quantum Design работает над проектом по созданию открытого квантового компьютера
- 20.01 - Роскомнадзор заявил об удвоении количества DDoS-атак в 2025 году
- 20.01 - В Яндекс Картах теперь можно делиться геопозицией с близкими
- 20.01 - OpenAI пообещала практический ИИ уже в этом году — и похвалилась выручкой в $20 млрд за прошлый
- 20.01 - Роскомнадзор разогнал блокировки на 59 % в прошлом году — под запрет попали 1,3 млн материалов
- 14.01 - Компания Anthropic выделила 1.5 млн долларов проекту Python
- 14.01 - Состоялся релиз Firefox 147
Архив новостей
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
