Linux Debian : Configuration de VLAN IEEE 802.1q

Par Yoann, jeudi 7 février 2008 à 16:08 :: L1nuX and c0 :: #111 :: rss

Parce que j'ai une petite mémoire, et que je risque d'en avoir de nouveau un jour besoin, voici un petit how-to, sur comment configurer, utilisez des VLAN 802.1q sur une machine Linux Debian.

Le cas présenté ici, est assez simple.

Un switch Cisco 3548 avec 3 vlan
Un serveur sous Linux Debian qui doit faire du monitoring sur les 3 Vlan

Sans rentrer dans les details (et même en simplifiant bcp) le switch Cisco 3548 dispose de 3 VLAN :

Vlan 1 : Admin (Switch, Point d'accès Wifi, etc ...)
Vlan 10 : Data (Les postes utilisateurs et quelques serveurs)
Vlan 30 : Voice (Les telephones VOIP Cisco 7960)

Vu que ce switch ne fait pas de routage niveau 3, et que je n'ai pas envie d'utilisez 3 ports du switch, 3 cables, et 3 interfaces reseau physique sur le serveur qui fera le monitoring, j'ai decider d'utilisez le 802.1q de bout en bout.

Le Switch

Tout d'abort voici la configuration du port du switch sur lequel est connecté le serveur

interface FastEthernet 0/3
Description Monitoring
switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk native vlan 10
no cdp enable

La spécification du native vlan n'est pas indispensable, mais au cas où, cela defini le VLAN utilisé par default si la machine branché sur ce port ne support pas le 802.1q.

Le serveur

Celui-ci est donc branché sur le port 3 du switch avec un simple cable ethernet sur sont interface eth0.

Vérifier que vous disposez bien du module 8021q

# find /lib/modules/`uname -r` -name 8021q

Si le module 8021q n'est pas présent, vous êtes bon pour recompiler le kernel !

Charger le module 8021q

Cette opération est factulative si :

le module est compilé en dutr dans le kernel
vous utilisez un kernel rescent, il sera automatiquement chargé lors d'une opération de configuration de VLAN.

# modprobe 8021q

Installation du paquet vlan

Ce paquet contient tous les outils de configuration de VLAN

# aptitude install vlan

Ajout des interfaces Virtuel

Nous n'ajoutons que les interfaces pour les VLAN 1 & 30, puisque le VLAN 10 est le VLAN natif, et qu'il est déjà mappé sur l'interface eth0.

# vconfig add eth0 30
# vconfig add eth0 1

On vient ici d'ajouter 2 sous-interfaces à l'interface physique eth0

On peut visualiser le résultat avec la commande :

# ifconfig -a

Configuration des 2 nouvelles interfaces

Rien de plus classique :

# ifconfig eth0.30 10.1.30.250/24
# ifconfig eth0.1 10.1.1.250/24

Idem pour le fichier /etc/nertwork/interfaces :

auto eth0.1
iface eth0.1 inet static
    address 10.1.1.250
    netmask 255.255.255.0
    broadcast 10.1.1.255

auto eth0.30
iface eth0.30 inet static
    address 10.1.30.250
    netmask 255.255.255.0
    broadcast 10.1.30.255

Conclusion

La machine peut accèder aux différents vlan. et cela vous ouvre les portes pour faire tout plein de chose comme du routage inter-vlan ...

Ressources

Introduction au routage inter-VLAN

Commentaires

1. Le lundi 7 avril 2008 à 17:55, par Tibo

Salut,

Trés intéressant ton article, dommage que je soit pas tombé plus tôt dessus.

j'essaies actuellement de faire exactement la même chose c'est à dire de mettre un serveur web sous Fedora Core 8 sur un lien trunk d'un switch Cisco 3650.

J'ai configuré mes VLAN à la main en créant des interfaces vlan1 et vlan2 que j'ai associé à mon périph physique (eth0) au moyen de fichier ifcfg-vlanx.

Ces 2 vlans ont le même masque de sous-réseau mais une adresse IP différente.

Mon soucis c'est que le trunk marche, on peut pinger le serveur mais il ne fait parvenir aucune réponse (ping mais pas pong). C'est comme si le serveur ne savait plus sur quelle interface envoyé la requête.

Est-ce que tu aurais une idée d'où ça pourrait venir ?

2. Le lundi 7 avril 2008 à 18:00, par Yoann

@ Tibo

Que veux tu dire par, "2 vlans ont le même masque de sous-réseau mais une adresse IP différente"

Si c'est par exemple :
* 10.10.10.20 / 255.255.255.0
* 10.10.10.30 / 255.255.255.0

Effectivement ta machine ne va pas savoir par quel interface répondre.
Pour que cela fonctionne, il te faudra faire du source routing (avec iproute2).

Je ferais d'ailleur un billet très prochainement sur le source routing.

3. Le samedi 12 avril 2008 à 21:19, par Tibo

Pardon je pensais avoir répondu.

Finalement j'ai résolu le problème en mettant un sous réseau par VLAN car comme tu me l'as fait remarqué ce n'est pas possible autrement (sans se compliquer la vie).

Merci pour ton aide

4. Le lundi 11 août 2008 à 12:06, par ebson

comment faire la mise en oeuvre de VLAN à partir de switch intelligent cisco?

5. Le mercredi 12 novembre 2008 à 15:01, par greg

Salut

Je dois réaliser une architecture proche de celle qui est proposé. Je voudrai savoir qu'est que tu entend par routage inter vlans ?. C'est juste la mise en place d'une table de routage avec les adresses des diférents vlan que tu ajoute? ou alors c'est autre chose?
Si tu peu m'éclaircir sur ce point.

merci

6. Le mercredi 12 novembre 2008 à 15:58, par Yoann

Greg,

Sur les switch de niveau 3, tu peux (sur la plupart) effectivement faire du routage directement entre vlan en declarant une table de routage qui va bien, avec les acl qui vont bien egalement.

Si par exemples tes serveurs sont sur le vlan 40, et les postes utilisateurs sur le vlan 10, il est possible de faire dialiogue le vlan 10 avec le 40 à l'intérieur meme du(des) switch(s).
L'autre solution est de faire passer tout le trafic par une gateway externe, qui fera la meme chose (ou plus ou moins)

En espérant avoir répondu à ta question.

Yoann