Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Interfaces réseau et virtualisation réseau Oracle Solaris 11 Information Library (Français) |
1. Présentation de la pile réseau
Configuration réseau dans cette version d'Oracle Solaris
Pile réseau dans Oracle Solaris
Noms des périphériques réseau et des liaisons de données
Administration d'autres types de liens
Partie I Configuration automatique de réseau
3. Configuration et administration NWAM (présentation)
4. Configuration de profil NWAM (tâches)
5. Administration des profils NWAM (tâches)
6. A propos de l'interface graphique NWAM
Partie II Configuration de liaisons de données et d'interfaces
8. Configuration et administration des liaisons de données
9. Configuration d'une interface IP
10. Configuration des communications via une interface sans fil sur Oracle Solaris
12. Administration de groupements de liens
13. Administration des réseaux locaux virtuels
Administration de réseaux locaux virtuels
Présentation de la topologie du VLAN
Consolidation du réseau à l'aide de VLAN
Noms significatifs pour les VLAN
Administration de VLAN (liste des tâches)
Planification de plusieurs VLAN sur un réseau
Procédure de planification de la configuration de VLAN
Procédure de configuration d'un VLAN
Configuration de réseaux VLAN via un groupement de liens
VLAN sur les périphériques hérités
Autres tâches d'administration sur les VLAN
Procédure d'affichage des informations du VLAN
Procédure de suppression d'un VLAN
Association de tâches de configuration réseau et utilisation de noms personnalisés
16. Echange d'informations sur la connectivité réseau à l'aide du protocole LLDP
Partie III Virtualisation du réseau et gestion des ressources
17. Introduction à la virtualisation du réseau et au contrôle des ressources (présentation)
18. Planification de la virtualisation du réseau et du contrôle des ressources
19. Configuration des réseaux virtuels (tâches)
20. Utilisation de la protection des liens dans les environnements virtualisés
21. Gestion des ressources réseau
22. Contrôle du trafic réseau et de l'utilisation des ressources
Un réseau local virtuel (Virtual Local Network, VLAN) est une sous-division d'un réseau local située sur la couche de liaison de données de la pile du protocole TCP/IP. Vous pouvez créer des VLAN pour tout réseau local utilisant la technologie de commutation. L'assignation de groupes d'utilisateurs à des VLAN permet d'améliorer l'administration et la sécurité du réseau local entier. Vous pouvez également assigner les interfaces d'un même système à des VLAN différents.
La création de VLAN est utile dans les cas suivants :
Création de divisions logiques de groupes de travail
Supposons par exemple que tous les hôtes d'un étage d'un immeuble sont connectés à un réseau local commuté. Vous pouvez dans ce cas créer un VLAN distinct pour chaque groupe de travail de cet étage.
Application de stratégies de sécurité différentes selon les groupes de travail
Par exemple, les besoins en matière de sécurité varient considérablement entre un service financier et un service informatique. Si les systèmes de ces deux services partagent le même réseau local, vous pouvez alors créer un VLAN distinct pour chaque service et appliquer la stratégie de sécurité qui convient à chaque VLAN.
Division de groupes de travail en domaines de diffusion gérables
Les VLAN réduisent la taille des domaines de diffusion et améliorent ainsi l'efficacité du réseau.
La technologie de commutation du réseau local permet d'organiser les systèmes d'un réseau local en plusieurs VLAN. Pour diviser un réseau local en VLAN, vous devez obtenir des commutateurs qui prennent en charge la technologie de réseau local virtuel. Vous pouvez configurer tous les ports d'un commutateur de manière à ce qu'ils servent un VLAN unique ou plusieurs VLAN (selon la topologie du réseau). La configuration des ports d'un commutateur varie en fonction du fabricant de ce dernier.
La figure suivante illustre un réseau local dont l'adresse de sous-réseau est 192.168.84.0. Ce réseau local est divisé en trois VLAN (rouge, jaune et bleu).
Figure 13-1 Réseau local avec trois VLAN
La connectivité sur le LAN 192.168.84.0 est gérée par les commutateurs 1 et 2. Le VLAN rouge contient des systèmes dans le groupe de travail de la comptabilité. ceux des ressources humaines au VLAN jaune. Les systèmes du groupe de travail des technologies de l'information sont assignés au VLAN bleu.
Les VLAN sur les zones permettent également de configurer plusieurs réseaux virtuels au sein d'une seule unité de réseau comme un commutateur. Prenons l'illustration suivante d'un système avec trois NIC physiques :
Figure 13-2 Système comportant plusieurs VLAN
Sans VLAN, vous devez configurer différents systèmes pour qu'ils exécutent des fonctions spécifiques et connectez ces systèmes à des réseaux distincts. Par exemple, les serveurs web seraient connectés à un réseau local, les serveurs d'authentification à un autre et les serveurs d'application à un troisième réseau. Avec les VLAN et les zones, vous pouvez réduire les huit systèmes et les configurer en tant que zones dans un système unique. Ensuite, utilisez des balises VLAN ou des ID de VLAN (VID) pour affecter un VLAN à chaque ensemble de zones qui effectue les mêmes fonctions. Les informations fournies dans la figure peuvent être classées comme suit :
|
Pour créer la configuration illustrée dans la figure, reportez-vous à l'Exemple 13-1.
Dans Oracle Solaris, vous pouvez affecter des noms significatifs aux interfaces VLAN. Les noms de VLAN sont constitués d'un nom de lien et du numéro de VID, par exemple, sales0. Vous devez attribuer des noms personnalisés lorsque vous créez des VLAN. Pour plus d'informations sur les noms personnalisés, reportez-vous à la section Noms des périphériques réseau et des liaisons de données. Pour plus d'informations sur les noms personnalisés valides, reportez-vous à la section Règles applicables aux noms de lien valides.
Le tableau ci-dessous contient des liens vers les différentes tâches d'administration des VLAN.
|
Pour planifier la configuration des VLAN de votre réseau, suivez la procédure ci-dessous :
La Figure 13-1 illustre un exemple simple de topologie de réseau.
Remarque - Votre réseau dispose peut-être déjà d'un tel schéma de numérotation. Dans ce cas, créez des VID compris dans le schéma de numérotation existant.
# dladm show-link
Notez le VID de chaque interface ainsi que le port du commutateur auquel elle est connectée.
Reportez-vous aux instructions fournies par le fabricant du commutateur pour de plus amples informations sur la configuration.
La procédure suivante décrit comment créer et configurer un réseau VLAN. Dans Oracle Solaris, tous les périphériques Ethernet prennent en charge les VLAN. Cependant, certaines restrictions existent avec certains périphériques. Pour connaître ces exceptions, reportez-vous à la section VLAN sur les périphériques hérités.
Avant de commencer
Des liaisons de données doivent déjà être configurées dans votre système avant de pouvoir créer des VLAN. Reportez-vous à la section Configuration d'une interface IP.
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité.
# dladm show-link
# dladm create-vlan -l link -v VID vlan-link
Spécifie le lien sur lequel l'interface de VLAN est créée.
Indique le numéro d'ID d'un VLAN
Spécifie le nom du VLAN, qui peut également être un nom choisi par l'administrateur.
# dladm show-vlan
# ipadm create-ip interface
où interface utilise le nom du VLAN.
# ipadm create-addr -T static -a IP-address addrobj
où addrobj utilise la convention d'attribution de nom interface/user-defined-string.
Exemple 13-1 Configuration d'un VLAN
Cet exemple crée la configuration de VLAN illustrée dans la Figure 13-2. Cet exemple suppose que vous avez déjà configuré les différentes zones du système. Pour plus d'informations sur la configuration des zones, reportez-vous à la section Partie II, Oracle Solaris Zones du manuel Administration Oracle Solaris : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources.
global# dladm show-link LINK CLASS MTU STATE BRIDGE OVER e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- e1000g2 phys 1500 up -- -- global# dladm create-vlan -l e1000g0 -v 111 web1 global# dladm create-vlan -l e1000g0 -v 112 auth1 global# dladm create-vlan -l e1000g0 -v 113 app1 global# dladm create-vlan -l e1000g1 -v 111 web2 global# dladm create-vlan -l e1000g1 -v 112 auth2 global# dladm create-vlan -l e1000g1 -v 113 app2 global# dladm create-vlan -l e1000g2 -v 111 web3 global# dladm create-vlan -l e1000g2 -v 112 auth3 global# dladm show-vlan LINK VID OVER FLAGS web1 111 e1000g0 ---- auth1 112 e1000g0 ---- app1 113 e1000g0 ---- web2 111 e1000g1 ---- auth2 112 e1000g1 ---- app2 113 e1000g1 ---- web3 111 e1000g2 ---- auth3 113 e1000g2 ----
Lorsque les informations de lien s'affichent, les VLAN sont inclus dans la liste.
global# dladm show-link LINK CLASS MTU STATE BRIDGE OVER e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- e1000g2 phys 1500 up -- -- web1 vlan 1500 up -- e1000g0 auth1 vlan 1500 up -- e1000g0 app1 vlan 1500 up -- e1000g0 web2 vlan 1500 up -- e1000g1 auth2 vlan 1500 up -- e1000g1 app2 vlan 1500 up -- e1000g1 web3 vlan 1500 up -- e1000g2 auth3 vlan 1500 up -- e1000g2
Les VLAN sont assignés à leurs zones respectives. Par exemple, lorsque vous recherchez des informations de réseau pour des zones individuelles, des données similaires à ce qui suit s'affichent pour chaque zone :
global# zonecfg -z webzone1 info net net: address not specified physical: web1 global# zonecfg -z authzone1 info net net: address not specified physical: auth1 global# zonecfg -z appzone2 info net net: address not specified physical: app2
La valeur de la propriété physical indique le VLAN défini pour la zone donnée.
Connectez-vous à chaque zone non globale pour configurer le VLAN à l'aide d'une adresse IP.
Dans webzone1 :
webzone1# ipadm create-ip web1 webzone1# ipadm create-addr -T static -a 10.1.111.0/24 web1/v4
Dans webzone2 :
webzone2# ipadm create-ip web2 webzone2# ipadm create-addr -T static -a 10.1.111.0/24 web2/v4
Dans webzone3 :
webzone3# ipadm create-ip web3 webzone3# ipadm create-addr -T static -a 10.1.111.0/24 web3/v4
Dans authzone1 :
authzone1# ipadm create-ip auth1 authzone1# ipadm create-addr -T static -a 10.1.112.0/24 auth1/v4
Dans authzone2 :
authzone2# ipadm create-ip auth2 autzone2# ipadm create-addr -T static -a 10.1.112.0/24 auth2/v4
Dans authzone3 :
authzone3# ipadm create-ip auth3 authzone3# ipadm create-addr -T static -a 10.1.112.0/24 auth3/v4
Dans appzone1 :
appzone1# ipadm create-ip app1 appzone1# ipadm create-addr -T static -a 10.1.113.0/24 app1/v4
Dans appzone2 :
appzone2# ipadm create-ip app2 appzone2# ipadm create-addr -T static -a 10.1.113.0/24 app2/v4
De la même manière que vous configurez des réseaux VLAN par le biais d'une interface, vous pouvez également créer des VLAN via un groupement de liens. Les groupements de liens sont décrits dans le Chapitre 12, Administration de groupements de liens. Cette section décrit la configuration des réseaux VLAN et les groupements de liens.
Avant de commencer
Créez d'abord le groupement de liens et configurez-le avec une adresse IP valide. Pour créer des groupements de liens, reportez-vous à la section Procédure de création d'un groupement de liens.
# dladm show-link
# dladm create-vlan -l link -v VID vlan-link
où
Spécifie le lien sur lequel l'interface de VLAN est créée. Dans ce cas spécifique, le lien fait référence au groupement de liens.
Indique le numéro d'ID d'un VLAN
Spécifie le nom du VLAN, qui peut également être un nom choisi par l'administrateur.
# ipadm create-ip interface
où interface utilise le nom du VLAN.
# ipadm create-addr -T static -a IP-address addrobj
où addrobj doit utiliser la convention d'attribution de nom vlan-int/user-defined-string
Exemple 13-2 Configuration de plusieurs réseaux locaux virtuels via un groupement de liens
Dans cet exemple, deux réseaux VLAN sont configurés sur un groupement de liens. Les identifiants VLAN (VID) 193 et 194 sont respectivement assignés aux réseaux VLAN.
# dladm show-link LINK CLASS MTU STATE BRIDGE OVER subvideo0 phys 1500 up -- ---- subvideo1 phys 1500 up -- ---- video0 aggr 1500 up -- subvideo0, subvideo1 # dladm create-vlan -l video0 -v 193 salesregion1 # dladm create-vlan -l video0 -v 194 salesregion2 # ipadm create-ip salesregion1 # ipadm create-ip salesregion2 # ipadm create-addr -T static -a 192.168.10.5/24 salesregion1/v4static # ipadm create-addr -T static -a 192.168.10.25/24 salesregion2/v4static
Certains périphériques hérités gèrent uniquement les paquets dont taille de trame maximale est de 1514 octets. Les paquets dont la taille de 'image dépasse la limite maximale sont refusés. Pour de tels cas, suivez la procédure décrite à la section Procédure de configuration d'un VLAN. Toutefois, lors de la création du VLAN, utilisez l'option -f pour forcer la création du VLAN.
La procédure générale à suivre est la suivante :
Créez le VLAN avec l'option -f.
# dladm create-vlan -f -l link -v VID [vlan-link]
Définissez une taille inférieure pour l'unité de transmission maximale (MTU), 1496 octets par exemple.
# dladm set-linkprop -p default_mtu=1496 vlan-link
La valeur inférieure de MTU valeur permet de réserver de l'espace pour la couche de liaison pour insérer l'en-tête de VLAN avant la transmission.
Effectuez la même procédure pour définir la même valeur inférieure de taille de MTU pour chaque noeud dans le VLAN.
Pour plus d'informations sur la modification des valeurs de propriété de lien, reportez-vous à la section Configuration des liaisons de données (tâches).
Cette section décrit l'utilisation des nouvelles sous-commandes dladm pour les autres tâches de VLAN. Ces commandes dladm fonctionnent également avec les noms de lien.
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité.
# dladm show-vlan [vlan-link]
Si vous ne spécifiez pas de lien VLAN, la commande affiche des informations sur tous les VLAN configurés.
Exemple 13-3 Affichage des informations du VLAN
L'exemple suivant est basé sur le système doté de plusieurs VLAN illustré par la Figure 13-2 et montre les VLAN disponibles dans le système.
# dladm show-vlan LINK VID OVER FLAGS web1 111 e1000g0 ---- auth1 112 e1000g0 ---- app1 113 e1000g0 ---- web2 111 e1000g1 ---- auth2 112 e1000g1 ---- app2 113 e1000g1 ---- web3 111 e1000g2 ---- auth3 113 e1000g2 ----
Les VLAN configurés s'affichent également lors de l'exécution de la commande dladm show-link. Dans la sortie de commande, les VLAN sont identifiés dans la colonne CLASS.
# dladm show-link LINK CLASS MTU STATE BRIDGE OVER e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- e1000g2 phys 1500 up -- -- web1 vlan 1500 up -- e1000g0 auth1 vlan 1500 up -- e1000g0 app1 vlan 1500 up -- e1000g0 web2 vlan 1500 up -- e1000g1 auth2 vlan 1500 up -- e1000g1 app2 vlan 1500 up -- e1000g1 web3 vlan 1500 up -- e1000g2 auth3 vlan 1500 up -- e1000g2
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité.
# dladm show-vlan
# ipadm delete-ip vlan-interface
où vlan-interface est l'interface IP qui est configurée sur le VLAN.
Remarque - Vous ne pouvez pas supprimer un VLAN qui est en cours d'utilisation.
Pour supprimer le VLAN temporairement, utilisez l'option -t comme suit :
# dladm delete-vlan -t vlan
Pour que la suppression soit persistante, procédez comme suit :
Supprimez le VLAN.
# dladm delete-vlan vlan
Exemple 13-4 Suppression d'un VLAN
# dladm show-vlan LINK VID OVER FLAGS web1 111 e1000g0 ---- auth1 112 e1000g0 ---- app1 113 e1000g0 ---- web2 111 e1000g1 ---- auth2 112 e1000g1 ---- app2 113 e1000g1 ---- web3 111 e1000g2 ---- auth3 113 e1000g2 ---- # ipadm delete-ip web1 # dladm delete-vlan web1
Cette section fournit un exemple qui combine toutes les procédures décrites dans les chapitres précédents à propos de la configuration de liens, de groupements de liens et de VLAN tout en utilisant des noms personnalisés. Pour obtenir une description des autres scénarios de mise en réseau qui utilisent des noms personnalisés, consultez l'article à l'adresse http://www.oracle.com/us/sun/index.htm.
Exemple 13-5 Configuration de liens, de VLAN et de groupements de liens
Dans cet exemple, un système qui utilise 4 NIC doit être configuré afin d'être un routeur pour 8 sous-réseaux séparés. Pour atteindre cet objectif, 8 liens seront configurés, un pour chaque sous-réseau. Tout d'abord, un groupement de liens est créé sur les 4 NIC. Ce lien non marqué devient le sous-réseau non marqué par défaut pour le réseau vers lequel pointe le routage par défaut.
Ensuite, les interfaces de VLAN sont configurées sur le groupement de liens pour les autres sous-réseaux. Les sous-réseaux sont nommés suivant un plan de code de couleurs. En conséquence, les noms de VLAN sont également nommés afin de correspondre à leurs sous-réseaux respectifs. La configuration finale comporte 8 liens pour les 8 sous-réseaux : 1 lien non marqué et 7 liens de VLAN marqués.
Pour conserver les configurations après les redémarrages, les mêmes procédures s'appliquent comme dans les versions précédentes d'Oracle Solaris. Par exemple, les adresses IP doivent être ajoutées aux fichiers de configuration comme /etc/inet/ndpd.conf. Ou encore, les règles de filtrage pour les interfaces doivent être incluses dans un fichier de règles. Ces dernières étapes ne sont pas incluses dans l'exemple. Pour obtenir des informations sur ces étapes, consultez les chapitres correspondants du document Administration d’Oracle Solaris : Services IP, en particulier TCP/IP Administration et DHCP.
# dladm show-link LINK CLASS MTU STATE BRIDGE OVER nge0 phys 1500 up -- -- nge1 phys 1500 up -- -- e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- # dladm show-phys LINK MEDIA STATE SPEED DUPLEX DEVICE nge0 Ethernet up 1000Mb full nge0 nge1 Ethernet up 1000Mb full nge1 e1000g0 Ethernet up 1000Mb full e1000g0 e1000g1 Ethernet up 1000Mb full e1000g1 # ipadm delete-ip nge0 # ipadm delete-ip nge1 # ipadm delete-ip e1000g0 # ipadm delete-ip e1000g1 # dladm rename-link nge0 net0 # dladm rename-link nge1 net1 # dladm rename-link e1000g0 net2 # dladm rename-link e1000g1 net3 # dladm show-link LINK CLASS MTU STATE BRIDGE OVER net0 phys 1500 up -- -- net1 phys 1500 up -- -- net2 phys 1500 up -- -- net3 phys 1500 up -- -- # dladm show-phys LINK MEDIA STATE SPEED DUPLEX DEVICE net0 Ethernet up 1000Mb full nge0 net1 Ethernet up 1000Mb full nge1 net2 Ethernet up 1000Mb full e1000g0 net3 Ethernet up 1000Mb full e1000g1 # dladm create-aggr -P L2,L3 -l net0 -l net1 -l net2 -l net3 default0 # dladm show-link LINK CLASS MTU STATE BRIDGE OVER net0 phys 1500 up -- -- net1 phys 1500 up -- -- net2 phys 1500 up -- -- net3 phys 1500 up -- -- default0 aggr 1500 up -- net0 net1 net2 net3 # dladm create-vlan -v 2 -l default0 orange0 # dladm create-vlan -v 3 -l default0 green0 # dladm create-vlan -v 4 -l default0 blue0 # dladm create-vlan -v 5 -l default0 white0 # dladm create-vlan -v 6 -l default0 yellow0 # dladm create-vlan -v 7 -l default0 red0 # dladm create-vlan -v 8 -l default0 cyan0 # dladm show-link LINK CLASS MTU STATE BRIDGE OVER net0 phys 1500 up -- -- net1 phys 1500 up -- -- net2 phys 1500 up -- -- net3 phys 1500 up -- -- default0 aggr 1500 up -- net0 net1 net2 net3 orange0 vlan 1500 up -- default0 green0 vlan 1500 up -- default0 blue0 vlan 1500 up -- default0 white0 vlan 1500 up -- default0 yellow0 vlan 1500 up -- default0 red0 vlan 1500 up -- default0 cyan0 vlan 1500 up -- default0 # dladm show-vlan LINK VID OVER FLAGS orange0 2 default0 ----- green0 3 default0 ----- blue0 4 default0 ----- white0 5 default0 ----- yellow0 6 default0 ----- red0 7 default0 ----- cyan0 8 default0 ----- # ipadm create-ip orange0 # ipadm create-ip green0 # ipadm create-ip blue0 # ipadm create-ip white0 # ipadm create-ip yellow0 # ipadm create-ip red0 # ipadm create-ip cyan0 # ipadm create-addr -T static -a IP-address orange0/v4 # ipadm create-addr -T static -a IP-address green0/v4 # ipadm create-addr -T static -a IP-address blue0/v4 # ipadm create-addr -T static -a IP-address white0/v4 # ipadm create-addr -T static -a IP-address yellow0/v4 # ipadm create-addr -T static -a IP-address red0/v4 # ipadm create-addr -T static -a IP-address cyan0/v4