ebtables 带VLAN标签重定向问题

funtasty

当数据包中含有vlan标签时，二层协议被重写为8100.。ebtables中的-p协议部分也被改为了 802_1Q.如何使用三层协议将数据包区分冲定向呢？
就是如何ebtables 配置中配置vlan 后面的协议名。
跪求高人指点了。

funtasty

ebtables -t broute -A BROUTING -p 802_1Q --vlan-encap IPv4 --logical-in br0 -j redirect
这个是我自己做的策略， 不过 arp不通。
拓扑100.1.1.100-100.1.1.1=1.1.1.1--1.1.1.2=100.1.1.2-100.1.1.200
06:00:24.448176 arp who-has 100.1.1.1 tell 100.1.1.10
100.100 ping 100.200 .  提示找不到100.1的arp。估计应该是被重定向上去了。

瀚海书香

回复 1# funtasty

当数据包中含有vlan标签时，二层协议被重写为8100.。ebtables中的-p协议部分也被改为了 802_1Q.如何使用三层协议将数据包区分冲定向呢？
就是如何ebtables 配置中配置vlan 后面的协议名。

Actually, you can use iptables for IP protocol.

   

funtasty

回复 3# 瀚海书香
回瀚海书香版主，具体情况是这样的。当数据通过网桥的时候（处理点需要在网桥上）需要将指定的数据包钩到三层去做IPSEC加密。
没有VLAN标签的时候 是将ipv4的数据包勾上去， 将arp 透过去，两条ebtables命令。
而有了VLAN标签之后 二层头后面的type已经设为VLAN ，8100. 此时如果想用ebtables redirect 重定向数据包的时候如何将 IPV4 和 ARP的数据包进行分类呢？
ebtables 中有提到过对vlan的处理

vlan
Specify 802.1Q Tag Control Information fields. The protocol must be specified as 802_1Q (0x8100).
--vlan-id [!] id
The VLAN identifier field (VID). Decimal number from 0 to 4095.
--vlan-prio [!] prio
The user priority field, a decimal number from 0 to 7. The VID should be set to 0 ("null VID") or unspecified (in the latter case the VID is deliberately set to 0).
--vlan-encap [!] type
The encapsulated Ethernet frame type/length. Specified as a hexadecimal number from 0x0000 to 0xFFFF or as a symbolic name from /etc/ethertypes.

而在我的网络中vlan没有优先级， arp和ip数据包的vlanid是相同的，
我启用了第三种情况--vlan-encap
ebtables -t broute -A BROUTING -p 802_1Q --logical-in br0 --vlan-encap IPv4 -j redirect
问题是 100.1 启用了这条命令。
100.100 却找不到他的arp了呢？ 这条命令应该不会对arp进行处理才对呀。
而对端PC的地址100.200 的arp 。 在本端 PC是可以学到的。

瀚海书香

回复 4# funtasty

我启用了第三种情况--vlan-encap
ebtables -t broute -A BROUTING -p 802_1Q --logical-in br0 --vlan-encap IPv4 -j redirect
问题是 100.1 启用了这条命令。
100.100 却找不到他的arp了呢？ 这条命令应该不会对arp进行处理才对呀。
而对端PC的地址100.200 的arp 。 在本端 PC是可以学到的。

This ebtables should not affect arp packets.
You can add a rule before this to check if arp packets drop by this rule or not.

ebtables -t broute -A BROUTING -p 802_1Q --logical-in br0 --vlan-encap arp -j ACCEPT

   

funtasty

回复 5# 瀚海书香
真大神！一语中的！
arp 不通的原因是 两台 设备放在了 两台交换机trunk 链路里， 响应端的设备接收到了数据想发往响应端里面的pc时，由于sw加上vlan标签，找不到了后面的pc。

有方法可以让arp通起来吗？
先谢了。
拓扑如下

pc-----(v)sw(t)--设备1===设备2----(t)sw(v)-----pc



   

瀚海书香

回复 6# funtasty

arp 不通的原因是 两台 设备放在了 两台交换机trunk 链路里， 响应端的设备接收到了数据想发往响应端里面的pc时，由于sw加上vlan标签，找不到了后面的pc。

有方法可以让arp通起来吗？
先谢了。
拓扑如下

pc-----(v)sw(t)--设备1===设备2----(t)sw(v)-----pc

ARP only broadcast on same VLAN. You need to confirm these two computers belong to same vlan.
   

funtasty

回复 7# 瀚海书香
回版主， 我把连接sw的网卡设置了vlan ID。
vconfig add eth0 10.
从网卡上发出的arp请求已经到达了pc

设备1-》（t）sw（v）-》pc
pc给出arp应答，在设备1网卡eth0（连接sw的网卡） 上已经抓到了带有vlan标记的arp应答信息，
但是在eth0.10（vlan子网卡）中缺没有arp应答信息。
我还需要对 网卡进行什么vlan设置吗？

谢谢。

   

funtasty

回复 8# funtasty

回版主， 我的设备网卡情况如下。
内eth0、外eth1 桥br0
桥包括内、外。

先将网桥去掉， arp应答正常接收了，不过原因还是没有找到，继续努力中。

splin85

你好，
"linux 网卡设置vlan后如何接受 带有标记的arp应答"
我也遇到相同的问题，请问你找到原因了吗？