| View previous topic :: View next topic |
| Author |
Message |
lbr
Guru
Joined: 05 Apr 2004
Posts: 503
Location: Paris
|
 Posted: Tue Nov 15, 2005 4:20 pm Post subject: [reseau] Vlan, bridge ...[résolu] |
 |
|
Bonjour à tous,
J'ai une boiboite Gentoo connectée à un switch CISCO 3524, ce dernier étant découpé en VLANs avec un port qui écoute tous les VLANs. Ce dernier est connecté à ma boiboite.
mon problème : ping une-machine depuis ma boiboite ne retourne rien ...
tcpdump sur l'interface connectée aux VLANs : | Code: |
17:17:13.041057 802.1d config 8000.00:01:96:6f:fd:02.8021 root 8000.00:01:96:6f:fd:02 pathcost 0 age 0 max 20 hello 2 fdelay 15
17:17:15.041324 802.1d config 8000.00:01:96:6f:fd:02.8021 root 8000.00:01:96:6f:fd:02 pathcost 0 age 0 max 20 hello 2 fdelay 15
17:17:17.042588 802.1d config 8000.00:01:96:6f:fd:02.8021 root 8000.00:01:96:6f:fd:02 pathcost 0 age 0 max 20 hello 2 fdelay 15
...
|
Y'a un truc, là ? J'avoue que je ne maitrise pas tout ... dois-je déclarer mon interface qui écoute les VLANs comme faisant parti d'un VLAN (vconfig et tout le tralala) ?
Tout éclairage est le bienvenu ...
Merci.
Last edited by lbr on Mon Nov 21, 2005 10:51 am; edited 1 time in total |
|
| Back to top |
|
 |
anigel
Bodhisattva
Joined: 14 Apr 2003
Posts: 1894
Location: Un petit bled pas loin de Limoges ;-)
|
| Posted: Tue Nov 15, 2005 4:32 pm Post subject: |
|
|
Bonsoir,
J'avoue que ta config me laisse perplexe : dans la mesure où les VLAN sont conçus précisémment pour segmenter un réseau de manière "artificielle", le fait de faire appartenir un même port de ton 3523 à plusieurs VLANs risque de poser des problèmes, nottament en matière de tagging : comment vas-tu propager tes VLAN jusque sur ta boiboite ? Ce style de config est normalement réservé à des matériels de backbone, sur lesquels on connecte d'autres actifs, plus "user-friendly"  .
 sans configurer ton noyau pour qu'il soit capable de prendre en charge les fonctions de routage avancé nécessaires à l'utilisation du 802.1Q, jamais il ne saura quel paquet est destiné à quoi : il recevra les paquets au format 802.1Q (donc encore taggés), sans savoir comment les interpréter : il va les dropper, tout simplement.
Ou alors j'ai mal compris ton problème ? Fort possible, car j'avoue ne pas saisir la finalité de la manip !
PS : Histoire de ne pas partir sur un malentendu, je précise tout de suite que je maîtrise très très mal la manipulation des VLANs au niveau du noyo... N'attends donc pas d'aide de ma part sur ce sujet 
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
| Back to top |
|
|
lbr
Guru
Joined: 05 Apr 2004
Posts: 503
Location: Paris
|
| Posted: Tue Nov 15, 2005 4:51 pm Post subject: |
|
|
Le but de la manip est simple : sur un même switch je rassemble toutes les DMZ partenaires. Chacune peut n'être constitué que d'une ou 2 machines. C'est embetant d'avoir un Hub/switch à 8/16 ou meme 24ports pour 2 machines. En plus je n'aurai pas assez de papatte sur ma boiboite ni de place dans ma baie. Donc on virtualise les switchs.
Il n'empéche : avec une patte je dois adresser n réseaux.
... |
|
| Back to top |
|
|
widan
Veteran
Joined: 07 Jun 2005
Posts: 1512
Location: Paris, France
|
| Posted: Tue Nov 15, 2005 5:42 pm Post subject: Re: [reseau] Vlan, bridge ... |
|
|
| lbr wrote: | | Y'a un truc, là ? J'avoue que je ne maitrise pas tout ... dois-je déclarer mon interface qui écoute les VLANs comme faisant parti d'un VLAN (vconfig et tout le tralala) ? |
Oui, il faut créer une interface virtuelle par VLAN avec vconfig (voir ici pour comment l'intégrer dans la conf réseau Gentoo) puis utiliser les interfaces virtuelles comme si tu avais une interface sur chaque VLAN. C'est normal que tu ne puisse rien pinger en utilisant l'interface directe, puisque le switch refusera probablement des paquets non taggés sur un port en trunk 802.1q.
| anigel wrote: | | comment vas-tu propager tes VLAN jusque sur ta boiboite ? |
C'est à ça que servent les tags 802.1q: passer plusieurs VLANs sur une même interface physique (que ça soit entre deux switchs, ou vers un routeur, ...). Linux gère ça très bien et on peut créer des interfaces virtuelles avec vconfig (ça donne quelque chose comme eth0.7 pour le VLAN 7 sur l'interface physique eth0).
Last edited by widan on Tue Nov 15, 2005 10:29 pm; edited 1 time in total |
|
| Back to top |
|
|
anigel
Bodhisattva
Joined: 14 Apr 2003
Posts: 1894
Location: Un petit bled pas loin de Limoges ;-)
|
| Posted: Tue Nov 15, 2005 6:21 pm Post subject: Re: [reseau] Vlan, bridge ... |
|
|
| widan wrote: | | anigel wrote: | | comment vas-tu propager tes VLAN jusque sur ta boiboite ? |
C'est à ça que servent les tags 802.1q: passer plusieurs VLANs sur une même interface physique (que ça soit entre deux switchs, ou vers un routeur, ...). Linux gère ça très bien et on peut créer des interfaces virtuelles avec vconfig (ça donne quelque chose comme eth0.7 pour le VLAN 7 sur l'interface physique eth0). |
OK, c'est donc bien au niveau du noyau que ça se joue : il faut donc qu'il prenne en charge directement le "format des paquets" des VLAN pour pouvoir les interpréter ?
Ce que je ne pigeais pas, c'était l'intérêt de tagger le même port avec plusieurs IDs (je voyais ça du côté "end-user", alors que visiblement la config recherchée est plus du type "backbone").
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
| Back to top |
|
|
Ey
l33t
Joined: 07 Apr 2005
Posts: 863
Location: Paris
|
| Posted: Tue Nov 15, 2005 10:22 pm Post subject: Re: [reseau] Vlan, bridge ... |
|
|
| anigel wrote: | OK, c'est donc bien au niveau du noyau que ça se joue : il faut donc qu'il prenne en charge directement le "format des paquets" des VLAN pour pouvoir les interpréter ?
Ce que je ne pigeais pas, c'était l'intérêt de tagger le même port avec plusieurs IDs (je voyais ça du côté "end-user", alors que visiblement la config recherchée est plus du type "backbone"). |
A vu de nez je dirais plutot firewall pour la config recherchée mais bon... Genre le firewall d'accès des partenaires ou le firewall donnant accès aux zones applis des partenaires...
EDIT : tiens d'ailleurs il l'avait dit : dans son post, il parle de DMZs. |
|
| Back to top |
|
|
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
| Posted: Wed Nov 16, 2005 7:20 am Post subject: |
|
|
Ce topic m'interesse beaucoup.
Ca peut aussi m'etre utile pour le boulot vu le nombre de vlans qu'on utilise.
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
| Back to top |
|
|
voltairien
Tux's lil' helper
Joined: 24 Apr 2004
Posts: 123
|
| Posted: Wed Nov 16, 2005 8:33 am Post subject: |
|
|
J'ai un serveur DHCP qui gère plusieurs LAN (dans le cadre d'une infra WiFi). Donc afin de ne pas avoir a installer un serveur DHCP par LAN ou encore avoir a faire du dhcpd-relay, j'avais mis en oeuvre le support des vlans sur la machine linux. C'est très simple, il suffit d'activer le support dans le noyau (C'est une vielle redhat 7.2, et par défaut c'est la cas).
la première étape consiste à déclarer les différents vlan supportés :
| Code: |
##################################################
# Déclaration des VLAN
##################################################
# vlan 522
/sbin/vconfig add eth0 522
# vlan 523
/sbin/vconfig add eth0 523 |
Le second script gère les affectations des adresses IP pour le serveur DHCP dans chaque vlan :
| Code: | ##################################################
# Affectations des adresses IP
##################################################
ifconfig eth0.522 192.168.29.253 broadcast 192.168.29.0 netmask 255.255.255.0 up
ifconfig eth0.523 192.168.30.253 broadcast 192.168.30.0 netmask 255.255.255.0 up
|
Pour mon cas, le serveur DHCP sait très bien prendre en compte les différents vlan, donc tout roule ...
Juste une remarque, le vlan d'admin est obligatoirement le "1" avec le support du 802.1q sous linux et c'est plus forcément le cas avec les équipements réseaux, donc ca peut poser quelques soucis ... a moins que ca a évolué depuis.
V.
_________________
[Les Mechants] Voltairien |
|
| Back to top |
|
|
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
|
| Back to top |
|
|
lbr
Guru
Joined: 05 Apr 2004
Posts: 503
Location: Paris
|
| Posted: Mon Nov 21, 2005 10:49 am Post subject: |
|
|
Voila : ca marche.
Mon fichier conf.d/net ressemble à ceci : | net wrote: |
#DMZ Partenaire
config_eth6=("null")
vlans_eth6="1 2 3 4 1000"
vconfig_eth6=( "set_name_type VLAN_PLUS_VID_NO_PAD" )
#vconfig_vlan1=( "set_egress_map 2 6" )
config_vlan1=( "10.x.x.x/24 broadcast 10.x.x.255" )
config_vlan2=( "10.y.y.y/24 broadcast 10.y.y.255" )
config_vlan3=( "192.168.z.z/24 broadcast 192.z.z.255" )
config_vlan4=( "10.k.k.k/24 broadcast 10.k.k.255" )
config_vlan1000=( "10.u.u.u/24 broadcast 10.u.u.255" )
routes_vlan3=(
"c.c.c.c/24 via 192.168.z.253"
)
|
Après un p'tit /etc/init.d/net.eth6 restart
et roulez !
Je ping les différentes machines sur les DMZ.
Petite subtilitée liée aux CISCO (j'utilise un 3524) :
voir ça :
| Code: | Cisco-specific configuration
Cisco Conf
configure the port you want to use as the trunk:
telnet switch or use the console port
ena
(will prompt for password, so have it ready)
conf t
interface FastEthernet0/24 (it doesnt have to be 0/24)
duplex full
speed 100
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2
switchport mode trunk
This conf will do the following:
Set the port to full duplex mode; force the port to 100Mb mode; set the port
vlan encapsulation to support 802.1Q; tell the
switch that the port is allowed to run vlans through (even if you set just
VLAN 2, cisco will automatically add VLAN 1 and VLAN 1002-1005) to the port
and set the port to trunk mode aswell. Trunk mode tells the switch that
a number of VLANS can go through it.
Last line is usually the mother of all screw-ups. If you forget that, you
won't get your VLAN working. Simple as that.
Now configure some other port to be used as the destination for the vlan:
conf t
interface FastEthernet0/1
duplex half
speed 10
switchport access vlan 2
end
Here we tell the switch to force the port 1 to half duplex 10Mb mode (normal
10 Mb NIC) and only traffic from interface VLAN 2 can go through this port.
also you can use a number of ports with VLAN 2, like a HUB ;)
You should now connect some other device to port 1.
Let it have an ip of eg. 10.0.231.2 mask 255.255.255.0
Ping linux from it
ping 10.0.231.1
If it replies scream: "YESS!!" This means, that VLAN is working. |
Pour finir, mes sources :
http://www.candelatech.com/~greear/vlan/howto.html
http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=4&chap=3
http://linux-ip.net/html/ether-vlan.html
http://www.cisco.com/univercd/cc/td/doc/product/access/mar_3200/mar_conf/m020lay2.htm
si vous avez des questions : je me ferai un plaisir de répondre !
A+ |
|
| Back to top |
|
|
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
| Posted: Tue Nov 22, 2005 7:46 am Post subject: |
|
|
A noter que les 2950 sont déjà dot1q par défaut.
Je vais bientot devoir utiliser les interfaces virtuelles moi aussi. Merci pour ton explication.
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
| Back to top |
|
|
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
| Posted: Tue Nov 22, 2005 1:35 pm Post subject: |
|
|
J'ai du oublier une etape.
Je configure bien les différents vlan puisque ceux qui sont en dhcp se voient attribuer une addresse IP.
Sur mon gkrellm, j'ai bien le traffic des différents vlan qui apparait.
Sur mon cisco, je met en mode trunk, j'autorise l'accès aux vlans dont j'ai besoin.
Pourtant je n'ai plus accès au réseau, je ne peux "qu'écouter" sur les vlans que j'ai spécifié dans mes confs.
Voici ma conf de mon /etc/init.d/net
| Quote: |
# /etc/conf.d/net:
vlans_eth0="3 4 5 6 7 8 9 10 11"
vconfig_eth0=( "set_name_type VLAN_PLUS_VID_NO_PAD" )
config_vlan4= ("10.0.0.2 netmask 255.255.0.0")
config_vlan4=( "dhcp")
config_vlan5=( "dhcp")
config_vlan6=( "dhcp")
config_vlan7=( "dhcp")
config_vlan8=( "dhcp")
config_vlan9=( "dhcp")
config_vlan10=( "dhcp")
config_vlan11=( "dhcp")
iface_eth0="10.0.0.2 netmask 255.0.0.0"
gateway="eth0/10.0.0.1"
|
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
| Back to top |
|
|
widan
Veteran
Joined: 07 Jun 2005
Posts: 1512
Location: Paris, France
|
| Posted: Tue Nov 22, 2005 2:36 pm Post subject: |
|
|
| nico_calais wrote: | Pourtant je n'ai plus accès au réseau, je ne peux "qu'écouter" sur les vlans que j'ai spécifié dans mes confs.
| Code: | config_vlan4= ("10.0.0.2 netmask 255.255.0.0")
config_vlan4=( "dhcp")
iface_eth0="10.0.0.2 netmask 255.0.0.0"
gateway="eth0/10.0.0.1" |
|
Tu as l'IP 10.0.0.2 sur deux interfaces: eth0 et vlan4... Et puis tu as deux configs pour le vlan4 (IP fixe et dhcp). Donc essaye déjà de corriger ça. Et si l'IP 10.0.0.2 est en fait sur le vlan4, alors la gate doit également indiquer la bonne interface ("vlan4/10.0.0.1"). |
|
| Back to top |
|
|
nico_calais
l33t
Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois
|
| Posted: Tue Nov 22, 2005 4:22 pm Post subject: |
|
|
C'est bon ca marche.
J'ai fait quelques modifs
Ca a l'air de fonctionner maintenant.
_________________
"Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
| Back to top |
|
|
|
French
