【网络/内核】Linux内核参数group_fwd_mask-设置bridge过滤MAC地址范围

已于 2023-04-06 20:20:41 修改
阅读量2.1k 收藏 4
点赞数
分类专栏: 精选付费系列文章 文章标签: 网络 内核
于 2019-07-23 17:11:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37904728/article/details/96997746
版权

笔者在利用gns3模拟器搭建网络实验时,发现交换机设备和服务器之间无法成功协商LACP协议,CISCO NEXUS 9K互相之间却可以成功协商LACP, 在交换机和服务器上抓包发现,Nexus 9K发出的LACP报文中的目的MAC地址为00:01:02:03:04:05(而标准LACP协议中规定的是01:80:c2:00:00:02),服务器发出的LACP报文的目的MAC是01:80:c2:00:00:02。然而,进一步思考,为什么在gns3模拟器中, Nexus 9K的LACP的目标MAC跟标准协议不同呢?经过查阅,这是因为在gns3上的所有虚拟设备都是运行在同一个物理服务器上,互相之间通过网桥相连,默认情况下,linux的网桥会将01:80:c2:00:00:0x的目标MAC地址全部过滤,Nexus 9K为了避免该问题调整了LACP的目标MAC, 而服务器却没有调整。调整group_fwd_mask这个内核参数,可以控制linux网桥对MAC地址的过滤范围,这也是本文想要探讨的问题。

IEEE 802.1D协议中规定的网桥过滤MAC地址

下面一段话引用自IEEE Standard Group MAC Addresses tutorial,IEEE 802.1D协议规定,01-80-C2-00-00-00  -- 01-80-C2-00-00-0F是IEEE为标准协议留出的范围,使用这些地址的包将被网桥过滤,而不会被转发。

IEEE 802.1D MAC Bridge Filtered MAC Group Addresses: 01-80-C2-00-00-00 to 01-80-C2-00-00-0F; MAC frames that have a destination MAC address within this range are not relayed by MAC bridges conforming to IEEE 802.1D.

IEEE协议中规定的预留的MAC地址表如下:

MAC addressProtocol
01-80-C2-00-00-00Spanning Tree (STP/RSPT/MSTP)
01-80-C2-00-00-01Ethernet Flow Control (pause frames)
01-80-C2-00-00-02Link Aggregation Control Protocol (LACP)
01-80-C2-00-00-03802.1X Port-Based Network Access Control
01-80-C2-00-00-08Provider Bridge protocols (STP)
01-80-C2-00-00-0DProvider Bridge protocols (MVRP)
01-80-C2-00-00-0E802.1AB Link Layer Discovery Protocol (LLDP)

出现的问题

所有使用上述MAC地址的协议,都会被网桥过滤掉(因为网桥符合IEEE 802.1D协议的规定),如果使用的是物理网桥,这样的情况将无法改变,但是对于linux中的虚拟网桥呢,是不是也是一样呢?默认情况下,linux的虚拟网桥完全符合IEEE 802.1D的规定,跟物理网桥一样,完全过滤了目的MAC地址为01-80-C2-00-00-0x的协议,因此造成了本文开头所述的情况。

解决方法

那怎样才能在gns3上模拟这么多被过滤的协议呢?显然一定还有其他人遇到过相同的问题,只要google一下便不难找到解决方法了。从Linux Kernel 2.6开始,就可以通过调整内核参数/sys/class/net/bridge-iface/bridge/group_fwd_mask来控制虚拟网桥对802.1D中规定的地址范围中,哪些MAC地址不再过滤。/sys/class/net/bridge-iface/bridge/group_fwd_mask的默认值为0,意味着将对01-80-C2-00-00-0x的所有地址进行过滤。将/sys/class/net/bridge-iface/bridge/group_fwd_mask的值设为16384, 则可以让虚拟网桥转发LLDP报文(目的MAC:  01-80-C2-00-00-0E)

echo 16384 > /sys/class/net/br0/bridge/group_fwd_mask

 需要注意的是,在默认的发行版本中,对于该MAC地址范围中的前三个(-00,-01,-02)是不能通过以上方式控制的, 意味着在gns3的模拟环境中,我们仍然不能成功的测试STP,流控和LACP。要克服这个限制,必须要自己编译linux kernel才行,点击查看方法,也可以下载EVE编译好的版本,点击进入链接。这样就可以随意调整group_fwd_mask的值,支持不过滤01-80-C2-00-00-0x的所有地址了。

bitmasks和group_fwd_mask

前文中把group_fwd_mask设为16384,对应的MAC是01-80-C2-00-00-0E,对应的协议是LLDP, 那么group_fwd_mask是如何计算的呢?

例1: 如果要允许01-80-C2-00-00-0E,对应的表格如下,MAC地址的最后两位是0E, 则将下表中的0E的bit置为1。

MAC0F0E0D0C0B0A09080706050403020100
BIT0100000000000000

bitmasks是二进制数0100 0000 0000 0000, 转换成10进制则为16384。

例2: 如果要允许01-80-C2-00-00-0E,01-80-C2-00-00-03,01-80-C2-00-00-02, 则对应的表如下, 将表中的0E,03,02的bit置为1。

MAC0F0E0D0C0B0A09080706050403020100
BIT01000000000000

bitmasks是二进制数0100 0000 0000 1100, 转换成10进制则为16396。这样就可以允许LLDP,LACP,802.1x协议了。

按照这样的方法,要解除linux网桥对规定地址范围内所有地址的过滤,就把所有的bit都置为1 即可:

  1. 打过patch的kernel:  
    echo 65535 > /sys/class/net/br0/bridge/group_fwd_mask
  2. 官方kernel(最后3位不能为1): 
    echo 65528 > /sys/class/net/br0/bridge/group_fwd_mask

注意 

在生产环境中要慎用这个参数,否则可能造成bridge转发很多不必要的包造成网络风暴引起故障或性能下降。但在使用linux搭建虚拟网络实验环境时还是非常有用的,可以实现各种协议的模拟。

eponia
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
fwd:FWD-Web应用程序的便捷环境
05-11
烟花网 注意- fwd是死的,万岁 FWD项目已中止,转而使用我们的新解决方案 。 FWD为开发团队利用Docker容器进行本地开发提供了很多帮助。 kool现在以更大的功能和灵活性继续执行相同的任务,它的目标是使个人和团队可以轻松地,并拥有强大的维护团队来致力于使它的采用率和功能不断增长。 新的工具可用,并且应用于任何新项目。 另外,请查看并立即从fwd迁移到kool (即将发布的文章)。 以下是具有历史价值的原始fwd自述文件。 安装与要求 您需要安装PHP 7.2+才能运行fwd 。 curl -L " https://github.com/fireworkweb/fwd/raw/master/builds/fwd " -o /usr/local/bin/fwd chmod +x /usr/local/bin/fwd 是否没有,也不想在本地安装PHP? 检出并按照进行100
fwd.zip_NOISE_fwd
09-22
it is a function file 2 make noise in image processing
网桥转发LACP报文的方法(不用重新编译内核!)
echoecho的博客
05-18 1329
网桥转发LACP报文的方法 编译并替换内核中的bridge模块 测试LACP报文能否被网桥转发 参考资料 在《Linux 网桥支持LACP 报文透传的解决方法》一文中提到LACP协议使用的MAC地址01:80:c2:00:00:02是IEEE 802.1D中定义的“MAC桥接过滤MAC组地址”,也就是说这些地址(01:80:c2:00:00:xx)是不会被网桥转发的。 可以使用echo ${group_fwd_mask} > /sys/class/net/br0/bridge/group_fwd_
端口汇聚技术
weixin_53906196的博客
04-03 1747
本文介绍了端口汇聚工作原理与相关细节。缩略语:LACP:链路汇聚控制协议LACPDU:链路汇聚控制协议数据单元STP:生成树协议PVID:端口的虚拟局域网身份标识号关键词:端口汇聚,端口聚合,LACP,LACPDU1.概述1.1 产生背景 传统的传输链路存在如下缺点:①带宽瓶颈②单链路没有冗余备份 因此,为解决以上问题端口汇聚技术应运而生 1.2 技术优点①提高链路可用性 端口汇聚中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,汇聚组启用备份的过程对汇聚组之外是.
网桥本地链路组播控制group_fwd_mask
u014044624的博客
02-13 317
在创建网桥时,可指定组播转发掩码值group_fwd_mask,如下0xff00。掩码中的位表示的为链路本地地址(01:80:C2:00:00:0X)的最后一个4位的值,即X的值,其范围为0到15,所以,group_fwd_mask的值为16比特。 网桥下的子接口...
路由器重温——接口配置与管理1
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
09-04 3799
路由器的接口相对于交换机接口来说最大的特点就是接口类型和配置更为复杂,一般可以把路由器上的接口分为三大类:一类是用于局域网组网的LAN接口,另一类是用于广域网接入/互联的WAN接口,最后一类可以应用于LAN组网,或者WAN接入/互联网中的逻辑接口。各种WAN接口有:Serial接口、Async接口(Async:异步)、CE1/PRI接口、E1-F接口、CT1/PRI接口、T1-F接口、3G Cellular接口(Cellular:蜂窝状)、POS接口、CPOS接口、PON接口、ADSL接口、VDSL接口和G
Linux内核参数group_fwd_mask-设置bridge过滤MAC地址范围
u014044624的博客
02-13 867
笔者在利用gns3模拟器搭建网络实验时,发现交换机设备和服务器之间无法成功协商LACP协议,CISCO NEXUS 9K互相之间却可以成功协商LACP, 在交换机和服务器上抓包发现,Nexus 9K发出的LACP报文中的目的MAC地址为00:01:02:03:04:05(而标准LACP协议中规定的是01:80:c2:00:00:02),服务器发出的LACP报文的目的MAC是01:80:c2:00:...
【二层报文】组播MAC地址表及转发机制
最新发布
weixin_41500064的博客
12-26 1095
的报文作为数据报文做硬件转发)缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。缺省情况下,华为交换设备非。
LACP协议:链路聚合/华为交换机LACP
黑夜搬砖的网工
08-27 7053
链路聚合的3种模式 =====> ①手工聚合、②静态聚合 ③动态聚合 手工聚合: 手工汇聚概述: 手工负载分担模式是一种最基本的链路聚合方式,Eth-Trunk 接口的建立,成员接口的加入完全由手工来确定,没有链路聚合控制协议的参与。该模式下所有成员接口(selected)都参与数据的转发,分担负载流量,因此称为手工负载分担模式。 手工链路聚合存在的问题场景1: 如上图:CE1将3条物理链路都加入聚合链路Eth-Trunk1中,而CE2只将2条物理链路加入到聚合链路Eth-Trunk...
Fwd__Royal_Buisman-_caramelized_sugar_TCS_30F_dontdl_
10-01
dont dl. jsut need upload
FWD V101文件.zip_FWD UD_K60头文件
09-23
FN UD的一下重要组件,printf函数需要用到,没有它就调用不到printf函数
Scara_fwd:Scara 转发机制-matlab开发
06-01
Scara 转发机制
网络】叶脊(Spine-Leaf)网络拓扑下全三层网络设计与实践(一) - 叶脊网络架构简介
热门推荐
因吹斯汀
08-01 4万+
1. 叶脊网络架构简介 天地万物,应运而生。传统的三层网络架构,在发展了多年后,终于也命数将尽了,替代它的,将是叶脊网络架构。究其原因,是因为传统三层网络架构自身存在一些无法突破的限制与弊端,在当今云计算风起云涌,虚拟化如火如荼,数据中心越来越大,网络规模需要无限扩展的时代,叶脊网络架构应运而生。 1.1 传统三层网络的弊端 如上图是传统三成网络架构的典型拓扑结构: 接入层:接入交换...
网络】叶脊(Spine-Leaf)网络拓扑下全三层网络设计与实践(二) - 网络规划
因吹斯汀
08-22 1万+
2. 全三层架构设计思路 采用全三层网络架构设计的出发点是: 使用尽量少的交换机高级功能,可以尽可能减少由于功能bug故障造成的问题; 使用尽量少的网络协议,以兼容不通厂商的网络设备 实现简单,易于维护,绝对可靠的路由协议; 通过控制路由来调度流量,尽量减少设备或协议的故障域; 牺牲高级功能带来的便捷,得到更高的可用性和性能; 由上述原则,本文的设计选择只使用静态路由和BGP...
网络-高可用】Keepalived虚拟ip不漂移问题
因吹斯汀
04-21 1万+
Keepalived主要是通过虚拟路由冗余来实现高可用功能。本文将不对keepalived的基本原理进行阐述,可参考文章Keepalived详细介绍简介、keepalived vip漂移基本原理及选举算法。本文记录了在实践过程中使用keepalived时,在weight值变化的情况下vip不漂移的问题及解决方法。
网络】叶脊(Spine-Leaf)网络拓扑下全三层网络设计与实践(五) - 物理服务器路由方案及配置
因吹斯汀
08-26 8794
2.2 路由方案设计 2.2.1 物理设备路由方案 大道至简,本着这个原则,本文的设计只采用了静态路由和BGP两种路由协议。其中,静态路由配置在每个leaf上,调度目的地址为本leaf上所接服务器的业务IP的流量,每个leaf与其相连接的spine之间建立eBGP链接,将leaf上配置的静态路由同步到spine上,各leaf通过spine,也互相学习到了各自的静态路由,这样一来,每个leaf和...
网络】叶脊(Spine-Leaf)网络拓扑下全三层网络设计与实践(三) - 交换设备互联
因吹斯汀
03-12 7489
3. 交换机互联 3.1 本节目标 了解Spine Leaf网络基本拓扑结构; 网络设备互联接口配置; 网络设备bgp配置; 3.2 拓扑结构: 如下图所示, 本节使用的Spine Leaf网络拓扑,由2台Spine和4台Leaf组成,Spine和Leaf之间两两互联。为方便管理,加入一台linux主机用于管理各交换机设备,则拓扑如下: 3.3 测试环境 6台交换机(即Sp...
网络】叶脊(Spine-Leaf)网络拓扑下全三层网络设计与实践(六) - 虚拟机路由方案及配置
因吹斯汀
03-12 4710
6.虚拟机路由方案及配置 在虚拟化的数据中心中,虚拟机承载着关键业务,其相互之间的通信必不可少,虚拟机的网卡桥接在宿主机的网桥上,以宿主机的IP地址作为默认网关,同一物理机上的虚拟机之间的通信,直接通过宿主机网桥可二层互通,不同宿主机上的虚拟机通信经过三层转发互通。 6.1 本节目标 理解VM直接的通信过程; 学习在leaf交换机上配置VM的路由; 学习在VM及其宿主机上配置VM的路由...
error: 'IP_FWD_NO_SUPPORT_MPLS' undeclared (first use in this function) IP_ERR_CNT_INC(p->flow_type, IP_FWD_NO_SUPPORT_MPLS); 怎么修改
06-10
这个错误是因为在使用IP_FWD_NO_SUPPORT_MPLS时,它没有被定义。你可以尝试以下步骤来解决这个问题: 1. 确认是否包含了定义IP_FWD_NO_SUPPORT_MPLS的头文件。如果没有,请包含该头文件。 2. 如果已经包含了该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

eponia

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值