| Les deux révisions précédentesRévision précédente | |
| doc:vlan [2015/06/27 19:15] – chirac | doc:vlan [2020/07/18 13:32] (Version actuelle) – typo fix chiahetcho |
|---|
| | ====== L'essentiel sur les VLANs ====== |
| Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau (switch). | Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau (switch). |
| |
| ==== Un VLAN, pour quoi faire ? ==== | ===== Un VLAN, pour quoi faire ? ===== |
| |
| Il est parfois nécessaire d'isoler certains réseaux les uns des autres, par exemple pour isoler les ordinateurs des adhérents, des ordinateurs des non-adhérents (qui ne doivent pas accéder aux services internes). Il peut aussi être nécessaire d'isoler les serveurs, qui peuvent avoir besoin de communiquer entre eux sur un lien de communication dédié (c'est le réseau ADM). | Il est parfois nécessaire d'isoler certains réseaux les uns des autres, par exemple pour isoler les ordinateurs des adhérents, des ordinateurs des non-adhérents (qui ne doivent pas accéder aux services internes). Il peut aussi être nécessaire d'isoler les serveurs, qui peuvent avoir besoin de communiquer entre eux sur un lien de communication dédié (c'est le réseau ADM). |
| Pour cela, on peut imaginer avoir trois réseaux physiques distincts, c'est-à-dire gérer trois types de switchs différents, de sorte qu'un switch d'un type n'est interconnecté qu'à des switchs du même type. Ainsi, pour isoler une machine non-adhérente, il suffirait de brancher son câble réseau sur le switch du réseau des non-adhérents, et les serveurs sur le switch des serveurs. | Pour cela, on peut imaginer avoir trois réseaux physiques distincts, c'est-à-dire gérer trois types de switchs différents, de sorte qu'un switch d'un type n'est interconnecté qu'à des switchs du même type. Ainsi, pour isoler une machine non-adhérente, il suffirait de brancher son câble réseau sur le switch du réseau des non-adhérents, et les serveurs sur le switch des serveurs. |
| |
| Cette solution est souvent trop chère (acheter trois fois plus de matériel) et peu flexible: quand on veut déplacer une machine, il faut aller physiquement modifier les branchements: ceci impose qu'il y ait des prises innocupées avant et après le rebranchement. On préfère donc marquer les paquets réseaux (trames ethernet) d'un numéro supplémentaire : | Cette solution est souvent trop chère (acheter trois fois plus de matériel) et peu flexible: quand on veut déplacer une machine, il faut aller physiquement modifier les branchements: ceci impose qu'il y ait des prises innocupées avant et après le rebranchement. On préfère donc marquer les paquets réseaux (trames ethernet) d'un numéro supplémentaire. |
| sur le réseau interne, les switchs s'échangent toutes les trames ethernet sans regarder le marquage (tagging) associé. | |
| | Sur le réseau interne, les switchs s'échangent toutes les trames ethernet sans regarder le marquage (tagging) associé. |
| |
| En périphérie du réseau, les switchs sont configurés pour ne laisser passer, sur la prise d'un ordinateur terminal, qu'une liste déterminée de tags (numéros). Ils peuvent également retirer le tag d'une trame avant de la transmettre au PC et rajouter automatiquement un tag aux trames envoyées par l'ordinateur. Ainsi, l'ordinateur n'a pas besoin de rajouter lui-même le marquage (pas de configuration côté client). | En périphérie du réseau, les switchs sont configurés pour ne laisser passer, sur la prise d'un ordinateur terminal, qu'une liste déterminée de tags (numéros). Ils peuvent également retirer le tag d'une trame avant de la transmettre au PC et rajouter automatiquement un tag aux trames envoyées par l'ordinateur. Ainsi, l'ordinateur n'a pas besoin de rajouter lui-même le marquage (pas de configuration côté client). |
| Le comportement d'une prise de switch peut être soit configuré statiquement, soit déterminée dynamiquement à l'authentification, par exemple à l'aide du protocole radius filaire, utilisé au Cr@ns par exemple. | Le comportement d'une prise de switch peut être soit configuré statiquement, soit déterminée dynamiquement à l'authentification, par exemple à l'aide du protocole radius filaire, utilisé au Cr@ns par exemple. |
| |
| == Rajout d'un tag: principe == | ===== Principe de l'ajout d'un tag ===== |
| Voir la page wikipedia [[http://fr.wikipedia.org/wiki/802.1Q|la 802.1q]]. | Voir la page wikipedia [[http://fr.wikipedia.org/wiki/802.1Q|la 802.1q]]. |
| |
| Initialement, le champ "data" d'une trame ethernet possède une taille maximale de 1500 octets (hors jumbo paquets). En rajoutant le contenu du champ "Len/Etype", codé sur 4 octets, la quantité d'information utile effectivement transportée n'est alors plus que de 1496 octets. | Initialement, le champ "data" d'une trame ethernet possède une taille maximale de 1500 octets (hors jumbo paquets). En rajoutant le contenu du champ "Len/Etype", codé sur 4 octets, la quantité d'information utile effectivement transportée n'est alors plus que de 1496 octets. |
| |
| Cette information est importante à prendre en compte: lorsqu'un switch reçoit une trame contenant déjà 1500 octets de donnés et qu'il doit la tagguer, il ne peut que tronquer le champ data et ainsi perdre les 4 derniers octets d'informations. Ceci est problématique, car la plupart des protocoles de couches supérieurs ne sont pas tolérants à ces problèmes de transmission, et lorsqu'ils le sont, réessayent un envoi, toujours de taille 1500 octets, qui échoue de nouveau. Il est donc important d'indiquer à l'ordinateur qu'il ne doit pas envoyer de paquets de taille supérieure à 1496 octets, ceci se fait en général via le paramètre "mtu" ({{{message transfert unit}}}) d'un lien réseau. Ce paramètre peut-être configuré automatiquement à l'aide du dhcp ou des Router Advertisements en IPv6. | Cette information est importante à prendre en compte: lorsqu'un switch reçoit une trame contenant déjà 1500 octets de donnés et qu'il doit la tagguer, il ne peut que tronquer le champ data et ainsi perdre les 4 derniers octets d'informations. Ceci est problématique, car la plupart des protocoles de couches supérieurs ne sont pas tolérants à ces problèmes de transmission, et lorsqu'ils le sont, réessayent un envoi, toujours de taille 1500 octets, qui échoue de nouveau. Il est donc important d'indiquer à l'ordinateur qu'il ne doit pas envoyer de paquets de taille supérieure à 1496 octets, ceci se fait en général via le paramètre "mtu" ({{{message transfert unit}}}) d'un lien réseau. Ce paramètre peut-être configuré automatiquement à l'aide du DHCP ou des Router Advertisements en IPv6. |
| |
| == Se connecter à un vlan (taggué) sous linux == | ===== Se connecter à un vlan (taggué) sous linux ===== |
| Sous debian, il faut installer le paquet vlan et charger le module 8021q (optionnel, chargé à la première utilisation). La connexion à un vlan se fait par la création d'une interface virtuelle qui étend une interface physique. | Sous debian, il faut installer le paquet `vlan` et charger le module 8021q (optionnel, chargé à la première utilisation). La connexion à un vlan se fait par la création d'une interface virtuelle qui étend une interface physique. |
| |
| Par exemple, si l'interface physique est eth0, la connexion au vlan 3 se fera via l'interface eth0.3. Il est important de remarquer que l'interface physique (par ex. eth0) doit rester activée (même sans adresse ip) afin que l'interface virtuelle (par ex. eth0.3) fonctionne. | Par exemple, si l'interface physique est eth0, la connexion au vlan 3 se fera via l'interface eth0.3. Il est important de remarquer que l'interface physique (par ex. eth0) doit rester activée (même sans adresse ip) afin que l'interface virtuelle (par ex. eth0.3) fonctionne. |
| |
| === Création manuelle === | ==== Création manuelle ==== |
| On utilise l'utilitaire vconfig: | On utilise l'utilitaire vconfig: |
| <code>#! | <code>#! |
| Pour supprimer une interface: ''vconfig rem eth0.3'' | Pour supprimer une interface: ''vconfig rem eth0.3'' |
| |
| === Création via fichier interfaces === | ==== Création via fichier interfaces ==== |
| Avec un fichier interfaces (debian), il suffit de configurer l'interface (par exemple eth0.3) comme une interface physique. | Avec un fichier interfaces (debian), il suffit de configurer l'interface (par exemple eth0.3) comme une interface physique. |
| |
| </code> | </code> |
| |
| === Créer un vlan === | ==== Créer un vlan ==== |
| |
| Il faut le propager sur le backbone et les switchs si besoin est, pour ca, revoir la config des switchs. | Il faut le propager sur le backbone et les switchs si besoin est, pour ca, revoir la config des switchs. |
