Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[reseau] Vlan, bridge ...[résolu]
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
lbr
Guru
Guru


Joined: 05 Apr 2004
Posts: 503
Location: Paris

PostPosted: Tue Nov 15, 2005 4:20 pm    Post subject: [reseau] Vlan, bridge ...[résolu] Reply with quote

Bonjour à tous,
J'ai une boiboite Gentoo connectée à un switch CISCO 3524, ce dernier étant découpé en VLANs avec un port qui écoute tous les VLANs. Ce dernier est connecté à ma boiboite.
mon problème : ping une-machine depuis ma boiboite ne retourne rien ...
tcpdump sur l'interface connectée aux VLANs :
Code:

17:17:13.041057 802.1d config 8000.00:01:96:6f:fd:02.8021 root 8000.00:01:96:6f:fd:02 pathcost 0 age 0 max 20 hello 2 fdelay 15
17:17:15.041324 802.1d config 8000.00:01:96:6f:fd:02.8021 root 8000.00:01:96:6f:fd:02 pathcost 0 age 0 max 20 hello 2 fdelay 15
17:17:17.042588 802.1d config 8000.00:01:96:6f:fd:02.8021 root 8000.00:01:96:6f:fd:02 pathcost 0 age 0 max 20 hello 2 fdelay 15
...

Y'a un truc, là ? J'avoue que je ne maitrise pas tout ... dois-je déclarer mon interface qui écoute les VLANs comme faisant parti d'un VLAN (vconfig et tout le tralala) ?

Tout éclairage est le bienvenu ...

Merci.


Last edited by lbr on Mon Nov 21, 2005 10:51 am; edited 1 time in total
Back to top
View user's profile Send private message
anigel
Bodhisattva
Bodhisattva


Joined: 14 Apr 2003
Posts: 1888
Location: Un petit bled pas loin de Limoges ;-)

PostPosted: Tue Nov 15, 2005 4:32 pm    Post subject: Reply with quote

Bonsoir,

J'avoue que ta config me laisse perplexe : dans la mesure où les VLAN sont conçus précisémment pour segmenter un réseau de manière "artificielle", le fait de faire appartenir un même port de ton 3523 à plusieurs VLANs risque de poser des problèmes, nottament en matière de tagging : comment vas-tu propager tes VLAN jusque sur ta boiboite ? Ce style de config est normalement réservé à des matériels de backbone, sur lesquels on connecte d'autres actifs, plus "user-friendly" ;-).

:arrow: sans configurer ton noyau pour qu'il soit capable de prendre en charge les fonctions de routage avancé nécessaires à l'utilisation du 802.1Q, jamais il ne saura quel paquet est destiné à quoi : il recevra les paquets au format 802.1Q (donc encore taggés), sans savoir comment les interpréter : il va les dropper, tout simplement.

Ou alors j'ai mal compris ton problème ? Fort possible, car j'avoue ne pas saisir la finalité de la manip ;-) !

PS : Histoire de ne pas partir sur un malentendu, je précise tout de suite que je maîtrise très très mal la manipulation des VLANs au niveau du noyo... N'attends donc pas d'aide de ma part sur ce sujet :?
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres.
Back to top
View user's profile Send private message
lbr
Guru
Guru


Joined: 05 Apr 2004
Posts: 503
Location: Paris

PostPosted: Tue Nov 15, 2005 4:51 pm    Post subject: Reply with quote

Le but de la manip est simple : sur un même switch je rassemble toutes les DMZ partenaires. Chacune peut n'être constitué que d'une ou 2 machines. C'est embetant d'avoir un Hub/switch à 8/16 ou meme 24ports pour 2 machines. En plus je n'aurai pas assez de papatte sur ma boiboite ni de place dans ma baie. Donc on virtualise les switchs.

Il n'empéche : avec une patte je dois adresser n réseaux.

...
Back to top
View user's profile Send private message
widan
Veteran
Veteran


Joined: 07 Jun 2005
Posts: 1512
Location: Paris, France

PostPosted: Tue Nov 15, 2005 5:42 pm    Post subject: Re: [reseau] Vlan, bridge ... Reply with quote

lbr wrote:
Y'a un truc, là ? J'avoue que je ne maitrise pas tout ... dois-je déclarer mon interface qui écoute les VLANs comme faisant parti d'un VLAN (vconfig et tout le tralala) ?

Oui, il faut créer une interface virtuelle par VLAN avec vconfig (voir ici pour comment l'intégrer dans la conf réseau Gentoo) puis utiliser les interfaces virtuelles comme si tu avais une interface sur chaque VLAN. C'est normal que tu ne puisse rien pinger en utilisant l'interface directe, puisque le switch refusera probablement des paquets non taggés sur un port en trunk 802.1q.
anigel wrote:
comment vas-tu propager tes VLAN jusque sur ta boiboite ?

C'est à ça que servent les tags 802.1q: passer plusieurs VLANs sur une même interface physique (que ça soit entre deux switchs, ou vers un routeur, ...). Linux gère ça très bien et on peut créer des interfaces virtuelles avec vconfig (ça donne quelque chose comme eth0.7 pour le VLAN 7 sur l'interface physique eth0).


Last edited by widan on Tue Nov 15, 2005 10:29 pm; edited 1 time in total
Back to top
View user's profile Send private message
anigel
Bodhisattva
Bodhisattva


Joined: 14 Apr 2003
Posts: 1888
Location: Un petit bled pas loin de Limoges ;-)

PostPosted: Tue Nov 15, 2005 6:21 pm    Post subject: Re: [reseau] Vlan, bridge ... Reply with quote

widan wrote:
anigel wrote:
comment vas-tu propager tes VLAN jusque sur ta boiboite ?

C'est à ça que servent les tags 802.1q: passer plusieurs VLANs sur une même interface physique (que ça soit entre deux switchs, ou vers un routeur, ...). Linux gère ça très bien et on peut créer des interfaces virtuelles avec vconfig (ça donne quelque chose comme eth0.7 pour le VLAN 7 sur l'interface physique eth0).


OK, c'est donc bien au niveau du noyau que ça se joue : il faut donc qu'il prenne en charge directement le "format des paquets" des VLAN pour pouvoir les interpréter ?
Ce que je ne pigeais pas, c'était l'intérêt de tagger le même port avec plusieurs IDs (je voyais ça du côté "end-user", alors que visiblement la config recherchée est plus du type "backbone").
_________________
Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres.
Back to top
View user's profile Send private message
Ey
l33t
l33t


Joined: 07 Apr 2005
Posts: 863
Location: Paris

PostPosted: Tue Nov 15, 2005 10:22 pm    Post subject: Re: [reseau] Vlan, bridge ... Reply with quote

anigel wrote:
OK, c'est donc bien au niveau du noyau que ça se joue : il faut donc qu'il prenne en charge directement le "format des paquets" des VLAN pour pouvoir les interpréter ?
Ce que je ne pigeais pas, c'était l'intérêt de tagger le même port avec plusieurs IDs (je voyais ça du côté "end-user", alors que visiblement la config recherchée est plus du type "backbone").

A vu de nez je dirais plutot firewall pour la config recherchée mais bon... Genre le firewall d'accès des partenaires ou le firewall donnant accès aux zones applis des partenaires...
EDIT : tiens d'ailleurs il l'avait dit : dans son post, il parle de DMZs.
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Wed Nov 16, 2005 7:20 am    Post subject: Reply with quote

Ce topic m'interesse beaucoup.
Ca peut aussi m'etre utile pour le boulot vu le nombre de vlans qu'on utilise. :wink:
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
voltairien
Tux's lil' helper
Tux's lil' helper


Joined: 24 Apr 2004
Posts: 123

PostPosted: Wed Nov 16, 2005 8:33 am    Post subject: Reply with quote

J'ai un serveur DHCP qui gère plusieurs LAN (dans le cadre d'une infra WiFi). Donc afin de ne pas avoir a installer un serveur DHCP par LAN ou encore avoir a faire du dhcpd-relay, j'avais mis en oeuvre le support des vlans sur la machine linux. C'est très simple, il suffit d'activer le support dans le noyau (C'est une vielle redhat 7.2, et par défaut c'est la cas).

la première étape consiste à déclarer les différents vlan supportés :

Code:

##################################################
# Déclaration des VLAN
##################################################

# vlan 522
/sbin/vconfig add eth0 522
# vlan 523
/sbin/vconfig add eth0 523



Le second script gère les affectations des adresses IP pour le serveur DHCP dans chaque vlan :

Code:
##################################################
# Affectations des adresses IP
##################################################

ifconfig eth0.522 192.168.29.253 broadcast 192.168.29.0 netmask 255.255.255.0 up
ifconfig eth0.523 192.168.30.253 broadcast 192.168.30.0 netmask 255.255.255.0 up


Pour mon cas, le serveur DHCP sait très bien prendre en compte les différents vlan, donc tout roule ...

Juste une remarque, le vlan d'admin est obligatoirement le "1" avec le support du 802.1q sous linux et c'est plus forcément le cas avec les équipements réseaux, donc ca peut poser quelques soucis ... a moins que ca a évolué depuis.
V.
_________________
[Les Mechants] Voltairien
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Wed Nov 16, 2005 10:41 am    Post subject: Reply with quote

Cela peut peut etre vous intéresser.
J'ai trouvé un how-to sur le forum (english version)

http://forums.gentoo.org/viewtopic-t-237224-highlight-vconfig.html
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
lbr
Guru
Guru


Joined: 05 Apr 2004
Posts: 503
Location: Paris

PostPosted: Mon Nov 21, 2005 10:49 am    Post subject: Reply with quote

Voila : ca marche.
Mon fichier conf.d/net ressemble à ceci :
net wrote:

#DMZ Partenaire
config_eth6=("null")
vlans_eth6="1 2 3 4 1000"
vconfig_eth6=( "set_name_type VLAN_PLUS_VID_NO_PAD" )

#vconfig_vlan1=( "set_egress_map 2 6" )

config_vlan1=( "10.x.x.x/24 broadcast 10.x.x.255" )
config_vlan2=( "10.y.y.y/24 broadcast 10.y.y.255" )
config_vlan3=( "192.168.z.z/24 broadcast 192.z.z.255" )
config_vlan4=( "10.k.k.k/24 broadcast 10.k.k.255" )
config_vlan1000=( "10.u.u.u/24 broadcast 10.u.u.255" )

routes_vlan3=(
"c.c.c.c/24 via 192.168.z.253"
)

Après un p'tit /etc/init.d/net.eth6 restart
et roulez !
Je ping les différentes machines sur les DMZ.
Petite subtilitée liée aux CISCO (j'utilise un 3524) :
voir ça :
Code:
 Cisco-specific configuration

Cisco Conf
configure the port you want to use as the trunk:

telnet switch or use the console port

ena
(will prompt for password, so have it ready)

conf t
interface FastEthernet0/24 (it doesnt have to be 0/24)
 duplex full
 speed 100
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 2
 switchport mode trunk


This conf will do the following:

Set the port to full duplex mode; force the port to 100Mb mode; set the port
vlan encapsulation to support 802.1Q; tell the
switch that the port is allowed to run vlans through (even if you set just
VLAN 2, cisco will automatically add VLAN 1 and VLAN 1002-1005) to the port
and set the port to trunk mode aswell. Trunk mode tells the switch that
a number of VLANS can go through it.

Last line is usually the mother of all screw-ups. If you forget that, you
won't get your VLAN working. Simple as that.

Now configure some other port to be used as the destination for the vlan:

conf t
interface FastEthernet0/1
 duplex half
 speed 10
 switchport access vlan 2
end

Here we tell the switch to force the port 1 to half duplex 10Mb mode (normal
10 Mb NIC) and only traffic from interface VLAN 2 can go through this port.
also you can use a number of ports with VLAN 2, like a HUB ;)

You should now connect some other device to port 1.

Let it have an ip of eg. 10.0.231.2 mask 255.255.255.0

Ping linux from it

ping 10.0.231.1

If it replies scream: "YESS!!" This means, that VLAN is working.



Pour finir, mes sources :
http://www.candelatech.com/~greear/vlan/howto.html
http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=4&chap=3
http://linux-ip.net/html/ether-vlan.html
http://www.cisco.com/univercd/cc/td/doc/product/access/mar_3200/mar_conf/m020lay2.htm

si vous avez des questions : je me ferai un plaisir de répondre !
A+
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Tue Nov 22, 2005 7:46 am    Post subject: Reply with quote

A noter que les 2950 sont déjà dot1q par défaut.

Je vais bientot devoir utiliser les interfaces virtuelles moi aussi. Merci pour ton explication.
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Tue Nov 22, 2005 1:35 pm    Post subject: Reply with quote

J'ai du oublier une etape.

Je configure bien les différents vlan puisque ceux qui sont en dhcp se voient attribuer une addresse IP.
Sur mon gkrellm, j'ai bien le traffic des différents vlan qui apparait.

Sur mon cisco, je met en mode trunk, j'autorise l'accès aux vlans dont j'ai besoin.


Pourtant je n'ai plus accès au réseau, je ne peux "qu'écouter" sur les vlans que j'ai spécifié dans mes confs.

Voici ma conf de mon /etc/init.d/net

Quote:

# /etc/conf.d/net:

vlans_eth0="3 4 5 6 7 8 9 10 11"

vconfig_eth0=( "set_name_type VLAN_PLUS_VID_NO_PAD" )

config_vlan4= ("10.0.0.2 netmask 255.255.0.0")
config_vlan4=( "dhcp")
config_vlan5=( "dhcp")
config_vlan6=( "dhcp")
config_vlan7=( "dhcp")
config_vlan8=( "dhcp")
config_vlan9=( "dhcp")
config_vlan10=( "dhcp")
config_vlan11=( "dhcp")

iface_eth0="10.0.0.2 netmask 255.0.0.0"

gateway="eth0/10.0.0.1"

_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
widan
Veteran
Veteran


Joined: 07 Jun 2005
Posts: 1512
Location: Paris, France

PostPosted: Tue Nov 22, 2005 2:36 pm    Post subject: Reply with quote

nico_calais wrote:
Pourtant je n'ai plus accès au réseau, je ne peux "qu'écouter" sur les vlans que j'ai spécifié dans mes confs.
Code:
config_vlan4= ("10.0.0.2 netmask 255.255.0.0")
config_vlan4=( "dhcp")
iface_eth0="10.0.0.2  netmask 255.0.0.0"
gateway="eth0/10.0.0.1"

Tu as l'IP 10.0.0.2 sur deux interfaces: eth0 et vlan4... Et puis tu as deux configs pour le vlan4 (IP fixe et dhcp). Donc essaye déjà de corriger ça. Et si l'IP 10.0.0.2 est en fait sur le vlan4, alors la gate doit également indiquer la bonne interface ("vlan4/10.0.0.1").
Back to top
View user's profile Send private message
nico_calais
l33t
l33t


Joined: 09 Jun 2005
Posts: 628
Location: Saint Julien en Genevois

PostPosted: Tue Nov 22, 2005 4:22 pm    Post subject: Reply with quote

C'est bon ca marche.
J'ai fait quelques modifs
Ca a l'air de fonctionner maintenant.
_________________
"Unix IS user friendly... It's just selective about who its friends are." — Tollef Fog Heen tollef@add.no
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum