Administration de réseaux locaux virtuels

Un réseau local virtuel (Virtual Local Network, VLAN) est une sous-division d'un réseau local située sur la couche de liaison de données de la pile du protocole TCP/IP. Vous pouvez créer des VLAN pour tout réseau local utilisant la technologie de commutation. L'assignation de groupes d'utilisateurs à des VLAN permet d'améliorer l'administration et la sécurité du réseau local entier. Vous pouvez également assigner les interfaces d'un même système à des VLAN différents.

La création de VLAN est utile dans les cas suivants :

Création de divisions logiques de groupes de travail

Supposons par exemple que tous les hôtes d'un étage d'un immeuble sont connectés à un réseau local commuté. Vous pouvez dans ce cas créer un VLAN distinct pour chaque groupe de travail de cet étage.
Application de stratégies de sécurité différentes selon les groupes de travail

Par exemple, les besoins en matière de sécurité varient considérablement entre un service financier et un service informatique. Si les systèmes de ces deux services partagent le même réseau local, vous pouvez alors créer un VLAN distinct pour chaque service et appliquer la stratégie de sécurité qui convient à chaque VLAN.
Division de groupes de travail en domaines de diffusion gérables

Les VLAN réduisent la taille des domaines de diffusion et améliorent ainsi l'efficacité du réseau.

Présentation de la topologie du VLAN

La technologie de commutation du réseau local permet d'organiser les systèmes d'un réseau local en plusieurs VLAN. Pour diviser un réseau local en VLAN, vous devez obtenir des commutateurs qui prennent en charge la technologie de réseau local virtuel. Vous pouvez configurer tous les ports d'un commutateur de manière à ce qu'ils servent un VLAN unique ou plusieurs VLAN (selon la topologie du réseau). La configuration des ports d'un commutateur varie en fonction du fabricant de ce dernier.

La figure suivante illustre un réseau local dont l'adresse de sous-réseau est 192.168.84.0. Ce réseau local est divisé en trois VLAN (rouge, jaune et bleu).

Figure 6-1 Réseau local avec trois VLAN

image:Le contexte décrit le contenu de la figure.

La connectivité sur le LAN 192.168.84.0 est gérée par les commutateurs 1 et 2. Le VLAN rouge contient des systèmes dans le groupe de travail de la comptabilité. ceux des ressources humaines au VLAN jaune. Les systèmes du groupe de travail des technologies de l'information sont assignés au VLAN bleu.

Points de connexions physiques et repères des VLAN

Chaque VLAN inclus dans un réseau local est identifié par un repère de VLAN, ou ID de VLAN (VID). Le VID est assigné pendant la configuration du VLAN. Il s'agit d'un identificateur à 12 bits, compris entre 1 et 4094, qui fournit une identité unique à chaque VLAN. Sur la Figure 6-1, les VLAN possèdent les VID suivants : 123 (bleu), 456 (jaune) et 789 (rouge).

Pour que les commutateurs prennent en charge ces VLAN, vous devez leur assigner un VID à chaque port lors de la configuration. Le VID du port doit être identique à celui assigné à l'interface de connexion du port (voir figure suivante).

Figure 6-2 Configuration des commutateurs pour un réseau avec des VLAN

La Figure 6-2 présente plusieurs hôtes qui sont connectés à des VLAN. Deux hôtes appartiennent au même VLAN. Sur cette figure, les interfaces réseau principales des trois hôtes se connectent au commutateur 1. L'hôte A est membre du VLAN bleu. L'interface de l'hôte A est de ce fait configurée à l'aide du VID 123. Cette interface se connecte au port 1 du commutateur 1, qui est ensuite configuré à l'aide du VID 123. L'hôte B est membre du VLAN jaune dont le VID est 456. L'interface de l'hôte B se connecte au port 5 du commutateur 1, qui est configuré à l'aide du VID 456. Enfin, l'interface de l'hôte C se connecte au port 9 du commutateur 1. Le VLAN bleu est configuré à l'aide du VID 123.

Cette figure montre également qu'un seul hôte peut appartenir à plusieurs VLAN. Par exemple, l'hôte A comporte deux VLAN configurés sur l'interface. Le deuxième VLAN est configuré avec le numéro VID 456 et est connecté au port 3 qui est également configuré avec le numéro VID 456. Par conséquent, l'hôte A est membre des VLAN bleu et jaune.

Lors de la configuration d'un VLAN, vous devez spécifier le point de connexion physique du VLAN. La valeur du point de connexion physique s'obtient par la formule suivante :

driver-name + VID * 1000 + device-instance

Remarque : le numéro de instance périphérique doit être inférieur à 1 000.

Exemple : la formule suivante permet de créer le point de connexion physique d'une interface ce1 configurée sur le VLAN 456 :

ce + 456 * 1000 + 1= ce456001

Planification de plusieurs VLAN sur un réseau

Pour planifier la configuration des VLAN de votre réseau, suivez la procédure ci-dessous :

Procédure de planification de la configuration de VLAN

Observez la topologie du réseau local et déterminez les emplacements appropriés pour créer des VLAN.
La Figure 6-1 illustre un exemple simple de topologie de réseau.
Créez un schéma de numérotation pour les VID et assignez un VID à chaque VLAN.
Remarque - Votre réseau dispose peut-être déjà d'un tel schéma de numérotation. Dans ce cas, créez des VID compris dans le schéma de numérotation existant.
Sur chaque système, déterminez quelles interfaces seront membres de quel VLAN.
1. Déterminez les interfaces configurées sur un système.
```
# dladm show-link
```
2. Déterminez les VID associés aux liaisons de données du système.
3. Créez des points de connexion physiques pour chaque interface devant être configurée avec un VLAN.
Vous pouvez configurer les interfaces d'un même système sur des VLAN différents.
Vérifiez les connexions des interfaces sur les commutateurs du réseau.
Notez le VID de chaque interface ainsi que le port du commutateur auquel elle est connectée.
Configurez chaque port du commutateur avec le même VID que celui de l'interface à laquelle il est connecté.
Reportez-vous aux instructions fournies par le fabricant du commutateur pour de plus amples informations sur la configuration.

Configuration des VLAN

Oracle Solaris prend désormais en charge les VLAN sur les types d'interface suivants :

ce
bge
xge
e1000g

Sur les interfaces héritées, seule l'interface ce peut devenir membre d'un VLAN. Vous pouvez configurer des interfaces de types différents sur le même VLAN.

Remarque - Vous pouvez configurer plusieurs VLAN dans un groupe IPMP. Pour plus d'informations sur les groupes IPMP, reportez-vous à la section Configurations d'interfaces IPMP.

Procédure de configuration d'un VLAN

Connectez-vous en tant qu'administrateur principal ou superutilisateur.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

Déterminez les types d'interface utilisés sur votre système.

# dladm show-link

La sortie suivante énumère les types d'interface disponibles :

ce0             type: legacy    mtu: 1500       device: ce0
 ce1             type: legacy    mtu: 1500       device: ce1
 bge0            type: non-vlan  mtu: 1500       device: bge0
 bge1            type: non-vlan  mtu: 1500       device: bge1
 bge2            type: non-vlan  mtu: 1500       device: bge2

Configurez une interface en tant que membre d'un VLAN.
```
# ifconfig interface-PPA plumb IP-address up
```
Exemple : la commande suivante permet de configurer l'interface ce1 avec l'adresse IP 10.0.0.2 sur un VLAN portant le VID 123 :
```
# ifconfig ce123001 plumb 10.0.0.2 up
```
Remarque - Vous pouvez assigner des adresses IPv4 et IPv6 à des VLAN tout comme pour les autres interfaces.
(Facultatif) Pour conserver les paramètres du VLAN à chaque réinitialisation, créez un fichier nommé nom d'hôte.point de connexion physique pour chaque interface membre du VLAN.
```
# cat hostname.interface-PPA
IPv4-address
```
Sur le commutateur, définissez les repères des VLAN ainsi que leurs ports afin qu'ils correspondent avec les VLAN configurés sur le système.

Exemple 6-3 Configuration d'un VLAN

L'exemple suivant illustre la commande de configuration des périphériques bge1 et bge2 sur un VLAN portant le VID 123.

# dladm show-link
ce0            type: legacy    mtu: 1500       device: ce0
ce1            type: legacy    mtu: 1500       device: ce1
bge0           type: non-vlan  mtu: 1500       device: bge0 
bge1           type: non-vlan  mtu: 1500       device: bge1 
bge2           type: non-vlan  mtu: 1500       device: bge2
# ifconfig bge123001 plumb 10.0.0.1 up
# ifconfig bge123002 plumb 10.0.0.2 up  
# cat hostname.bge123001 10.0.0.1
# cat hostname.bge123002 10.0.0.2
# ifconfig -a
 lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000  
 bge123001: flags=201000803<UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 2
         inet 10.0.0.1 netmask ff000000 broadcast 10.255.255.255
         ether 0:3:ba:7:84:5e  
bge123002:flags=201000803 <UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 3
         inet 10.0.0.2 netmask ff000000 broadcast 10.255.255.255
         ether 0:3:ba:7:84:5e  
ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 4
         inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255
         ether 0:3:ba:7:84:5e
# dladm show-link
ce0             type: legacy    mtu: 1500       device: ce0
ce1             type: legacy    mtu: 1500       device: ce1
bge0            type: non-vlan  mtu: 1500       device: bge0 
bge1            type: non-vlan  mtu: 1500       device: bge1 
bge2            type: non-vlan  mtu: 1500       device: bge2
bge123001       type: vlan 123  mtu: 1500       device: bge1 
bge123002       type: vlan 123  mtu: 1500       device: bge2

Ignorer les liens de navigation
Quitter l'aperu
	Guide d'administration système : services IP