Bom Dia, Paulinho, no caso eu estava pensando em fazer algo como uma switch trabalha, porém somente com uma eth.
No caso você configurou a vlan como tagged desta forma as estações que estiveram com a flag da vlan vai funcionar, porém em máquinas que eu não tenho acesso a SO (Impressora) eu não conseguiria, por isso da ideia de VLAN com o MAC. *--* Att Marcos Carraro about.me/marcoscarraro Em 27 de agosto de 2015 16:26, Paulino Kenji Sato <[email protected]> escreveu: > Ola, > > 2015-08-27 13:32 GMT-03:00 Marcos Carraro <[email protected]>: > >> Boa Tarde, >> >> Pessoal alguém sabe me informar se é possível criar no Linux uma placa >> virtual, e nesta placa virtual amarar a ela vários MACs das estações, e >> então deixar estas estações isoladas de outras estações, algo parecido com >> o que é feito em switchs gerenciáveis, porém sem o uso delas, apenas do >> linux e uma única placa de rede. >> >> Encontrei algumas coisas com o uso do iproute2 + macvlan mas nada claro, >> de como utilizar, ou como funciona... >> >> Na verdade seria o Linux se comportando como uma Switch Gerenciavel L2 >> >> Abraços >> >> *--* >> Att >> Marcos Carraro >> about.me/marcoscarraro >> > > > Para fazer isso teria que ter cada estação conectado em uma PHY > independente. Isso pode ser feito usando várias placas de rede. Existem > placas com múltiplos PHY (4). > E usar o ebtables para fazer o controle. > Uma alternativa e usar o 802.1x e cada estação ingressar/autenticar em uma > vlan (802.1q). > Da para fazer usando somente o 802.1q. > O problema e que nem todas as placas (driver) ou sistema operacional > suportam o 802.1q ou 802.1x. > Além do problema de endereçamento ip, já que cada vlan e uma rede > independente. Talvez de para contornar isso fazendo bridge para uma outra > interface, com a dummy ou tap. > O ebtables ou mesmo o iptables controla quais os mac podem se comunicar > com o linux. > Isso não impede de outra estação entrar na mesma vlan (autenticação > controla isso). > > Nunca implantei uma 802.1x. Mas 802.1q tenho usado sempre que preciso de > mais redes. Por exemplo isolar as redes WiFis. > Se compra um switch gerenciável a partir de R$850. > Alguns switchs baratos não gerenciáveis podem ser modificados para > suportar 802.1q. Mas, precisa saber catar bits para reprogramar a eeprom. > Um desses switch usa o chip RTL8309SB, de 8 portas. Reprogramei algumas > para ter vlans. Também da para criar port vlan (pvlan), isso isola as > portas ou grupo de portas de se comunicarem entre si. pvlan e vlan são > combinados para ter uma 802.1q. > > Se tiver dois ou mais linux: > Instale o pacote vlan > não configure a ethX (sem ip), ou a derrube (ifdown ethX) > crie uma vlan > vconfig add ethX 2 > configure um ip > ip addr add 192.168.2.1/24 dev ethX.2 (mude o final do ip para a outra > estação) > suba as interfaces > ip link set up dev ethX > ip link set up dev ethX.2 > > pode criar mais uma e configurar uma 3 estação > vconfig add ethX 3 > ip addr add 192.168.3.1/24 dev ethX.3 > ip link set up dev ethX.3 > > Na 3a estação (ethX.3), pode configurar o ip da rede ethX.2, que não vai > conseguir se comunicar com a estação que só tem a ethX.2 configurada. > > As vlan vão de 2 a 4095 (0 e 1 são reservados) > > Isso não impede que um sniffer ou mesmo o OS informe quais as vlans > disponíveis na rede. > > > > > > > > -- > Paulino Kenji Sato >
