Network Admin

Проверка VLAN-тегов в сети

Когда трафик не проходит через свичи или маршрутизаторы, одна из частых причин — ошибка в настройке VLAN. Пакеты могут теряться, если:

⏺порт настроен как access, а мы отправляем трафик с тегами;
⏺тег VLAN не совпадает с конфигурацией на другом конце;
⏺свич отбрасывает кадры из «неразрешённого» VLAN.

Смотрим теги через tcpdump

sudo tcpdump -i eth0 -nn -e vlan

• -e — выводит Ethernet-заголовок;
• vlan — фильтрует кадры с тегами 802.1Q.

Пример:

12:30:45.123456 ethertype 802.1Q (0x8100), VLAN 100, IP 192.168.10.2 > 192.168.10.1: ICMP echo request

Здесь видно, что кадр принадлежит VLAN 100.

Проверка конкретного VLAN

sudo tcpdump -i eth0 vlan 200

Покажет только кадры из VLAN 200. Полезно, чтобы убедиться, что нужный VLAN действительно идёт по линку.

Тест с arping

Можно проверить связность внутри VLAN:

sudo arping -I eth0.100 192.168.100.1

Здесь eth0.100 — подинтерфейс, созданный для VLAN 100. Если ответ есть, значит VLAN на этом пути работает.

Создание VLAN-интерфейса в Linux

sudo ip link add link eth0 name eth0.100 type vlan id 100
sudo ip addr add 192.168.100.10/24 dev eth0.100
sudo ip link set eth0.100 up

Теперь можно тестировать трафик напрямую по этому VLAN.

N.A. ℹ️ Help

Все надоело и пропал интерес, чувствуешь себя амебой и хочется только залипать в телефоне. Бывает?

Homo Manifestans — канал для айтишников, у которых периодически опускаются руки и отключается мозг, ибо переработки и постоянная тревожность не приводят к другим исходам 🤗

✓ Как научиться отвлекаться от работы и отдыхать?
✓ Как совместить кучу рабочих задач и время с семьей?
✓ Как справиться с прокрастинацией?
✓ Как не растерять запал, даже если начальник и коллеги 💩 и кажется, что ничего не выходит?

Подписывайтесь на канал @vadimpetrovpsi и научитесь работать без упахивания, выгорания и ущерба для личной жизни!

Псс. Заходите в закреп — там много полезного, и даже бесплатный мини-курс по выходу из апатии:
👉 https://t.me/+kAvguZoxBUM2ZGYy

Классическая виртуализация и контейнеры под управлением Kubernetes

Команда Deckhouse выпустила релиз платформы виртуализации (Deckhouse Virtualization Platform) версии 1.0, готовой к самым требовательным продакшен-нагрузкам. В основе платформы лежит KubeVirt. Был переработан сетевой стек и повышена производительность, добавлена полноценная система мониторинга, а вся сложность скрыта «под капотом».

DVP закрывает ключевые требования для реального продакшена:
— поддержка VLAN, сетевая мультитенантность и несколько интерфейсов для одной ВМ;
— высокая доступность. Живая миграция между узлами кластера без остановки;
— бэкапы и экспорт дисков без агентов внутри гостевой ОС;
— управление через API или интуитивный веб-интерфейс.

Протестировать DVP можно бесплатно в Open Source-платформе DKP CE. Она позволяет управлять через веб-интерфейс до 1000 серверов и 50 000 виртуальных машин, поддерживая основные типы хранилищ (NFS, Ceph и др.).

Для решения enterprise-задач рекомендуем получить консультацию на сайте.

Простой rate-limit на Linux с помощью tc

Иногда нужно ограничить скорость — например, чтобы протестировать приложение при «медленном интернете» или эмулировать канал клиента.

Делается это очень просто через встроенный в Linux traffic control (tc).

Настройка TBF (Token Bucket Filter)

Допустим, у нас есть интерфейс eth0, и мы хотим ограничить его до 10 Мбит/с:

# Очистим старые правила
sudo tc qdisc del dev eth0 root 2>/dev/null

# Задаем ограничение
sudo tc qdisc add dev eth0 root tbf rate 10mbit burst 32kbit latency 400ms

➖rate — скорость канала (10mbit).
➖burst — размер «пакета» токенов (32kbit, чем больше — тем плавнее).
➖latency — максимальная задержка в буфере.

Проверка

Посмотреть текущее состояние очереди:

tc -s qdisc show dev eth0

Тестируем скорость любым способом, например через iperf3 или wget.

Удаление лимита

sudo tc qdisc del dev eth0 root

N.A. ℹ️ Help

Где «зависает» TCP-коннект?

Иногда приложение жалуется «не подключается», а понять, на каком этапе застрял TCP, сложно.

В Linux помогает ss — современная замена netstat.

Проверка стадий соединений:

# Пакет SYN ушёл, но ответа нет
ss -o state syn-sent  

# Сервер получил SYN, ответил SYN-ACK, ждёт подтверждения
ss -o state syn-recv  

# Соединение установлено
ss -o state established  

Флаг -o выводит таймеры (например, сколько осталось до повторной передачи).

⚡️Например: если соединение висит в SYN-SENT — проблема где-то по пути (фильтры, маршрутизация, firewall).

Если SYN-RECV — клиент не отвечает (чаще всего NAT или блокировка обратно).

N.A. ℹ️ Help

VLAN и Bridge поверх MACsec: сегментация защищённого трафика

После того как MACsec поднят и трафик шифруется, часто возникает задача разделить сеть на несколько VLAN или подключить несколько хостов через L2-бридж.

Linux позволяет сделать это без лишнего оборудования.

1️⃣Создание VLAN на MACsec-интерфейсе

Допустим, нам нужно два сегмента — 10 и 20. На сервере:

ip link add link macsec0 name macsec0.10 type vlan id 10
ip addr add 192.168.10.1/24 dev macsec0.10
ip link set macsec0.10 up

ip link add link macsec0 name macsec0.20 type vlan id 20
ip addr add 192.168.20.1/24 dev macsec0.20
ip link set macsec0.20 up

Теперь два VLAN работают поверх одного шифрованного канала MACsec.

2️⃣ L2 Bridge с MACsec

Если нужно объединить несколько хостов в один защищённый сегмент:

ip link add name br-macsec type bridge
ip link set macsec0 master br-macsec
ip link set eth1 master br-macsec
ip link set eth2 master br-macsec
ip link set br-macsec up

Все интерфейсы, подключённые к bridge, обмениваются трафиком через шифрованный MACsec-канал.

3️⃣ Проверка связности

ping 192.168.10.2 -I macsec0.10
ping 192.168.20.2 -I macsec0.20

Для bridge:

ping 192.168.10.3 -I br-macsec

Все пакеты шифруются, VLAN изолированы, а L2-трафик объединён.

N.A. ℹ️ Help