Si vous utilisez Solaris 3/05, reportez-vous à la section Configuration de VLAN sous Solaris 10 3/05 UNIQUEMENT.
Un réseau local virtuel (Virtual Local Network, VLAN) est une sous-division d'un réseau local située sur la couche de liaison de données de la pile du protocole TCP/IP. Vous pouvez créer des VLAN pour tout réseau local utilisant la technologie de commutation. L'assignation de groupes d'utilisateurs à des VLAN permet d'améliorer l'administration et la sécurité du réseau local entier. Vous pouvez également assigner les interfaces d'un même système à des VLAN différents.
La création de VLAN est utile dans les cas suivants :
Création de divisions logiques de groupes de travail
Supposons par exemple que tous les hôtes d'un étage d'un immeuble sont connectés à un réseau local commuté. Vous pouvez dans ce cas créer un VLAN distinct pour chaque groupe de travail de cet étage.
Application de stratégies de sécurité différentes selon les groupes de travail
Par exemple, les besoins en matière de sécurité varient considérablement entre un service financier et un service informatique. Si les systèmes de ces deux services partagent le même réseau local, vous pouvez alors créer un VLAN distinct pour chaque service et appliquer la stratégie de sécurité qui convient à chaque VLAN.
Division de groupes de travail en domaines de diffusion gérables
Les VLAN réduisent la taille des domaines de diffusion et améliorent ainsi l'efficacité du réseau.
La technologie de commutation du réseau local permet d'organiser les systèmes d'un réseau local en plusieurs VLAN. Pour diviser un réseau local en VLAN, vous devez obtenir des commutateurs qui prennent en charge la technologie de réseau local virtuel. Vous pouvez configurer tous les ports d'un commutateur de manière à ce qu'ils servent un VLAN unique ou plusieurs VLAN (selon la topologie du réseau). La configuration des ports d'un commutateur varie en fonction du fabricant de ce dernier.
La figure suivante illustre un réseau local dont l'adresse de sous-réseau est 192.168.84.0. Ce réseau local est divisé en trois VLAN (rouge, jaune et bleu).
La connectivité sur le LAN 192.168.84.0 est gérée par les commutateurs 1 et 2. Le VLAN rouge contient des systèmes dans le groupe de travail de la comptabilité. ceux des ressources humaines au VLAN jaune. Les systèmes du groupe de travail des technologies de l'information sont assignés au VLAN bleu.
Chaque VLAN inclus dans un réseau local est identifié par un repère de VLAN, ou ID de VLAN (VID). Le VID est assigné pendant la configuration du VLAN. Il s'agit d'un identificateur à 12 bits, compris entre 1 et 4094, qui fournit une identité unique à chaque VLAN. Sur la Figure 6–1, les VLAN possèdent les VID suivants : 123 (bleu), 456 (jaune) et 789 (rouge).
Pour que les commutateurs prennent en charge ces VLAN, vous devez leur assigner un VID à chaque port lors de la configuration. Le VID du port doit être identique à celui assigné à l'interface de connexion du port (voir figure suivante).
La Figure 6–2 présente plusieurs hôtes qui sont connectés à des VLAN. Deux hôtes appartiennent au même VLAN. Sur cette figure, les interfaces réseau principales des trois hôtes se connectent au commutateur 1. L'hôte A est membre du VLAN bleu. L'interface de l'hôte A est de ce fait configurée à l'aide du VID 123. Cette interface se connecte au port 1 du commutateur 1, qui est ensuite configuré à l'aide du VID 123. L'hôte B est membre du VLAN jaune dont le VID est 456. L'interface de l'hôte B se connecte au port 5 du commutateur 1, qui est configuré à l'aide du VID 456. Enfin, l'interface de l'hôte C se connecte au port 9 du commutateur 1. Le VLAN bleu est configuré à l'aide du VID 123.
Cette figure montre également qu'un seul hôte peut appartenir à plusieurs VLAN. Par exemple, l'hôte A comporte deux VLAN configurés sur l'interface. Le deuxième VLAN est configuré avec le numéro VID 456 et est connecté au port 3 qui est également configuré avec le numéro VID 456. Par conséquent, l'hôte A est membre des VLAN bleu et jaune.
Lors de la configuration d'un VLAN, vous devez spécifier le point de connexion physique du VLAN. La valeur du point de connexion physique s'obtient par la formule suivante :
driver-name + VID * 1000 + device-instance |
Remarque : le numéro de instance périphérique doit être inférieur à 1 000.
Exemple : la formule suivante permet de créer le point de connexion physique d'une interface ce1 configurée sur le VLAN 456 :
ce + 456 * 1000 + 1= ce456001 |
Pour planifier la configuration des VLAN de votre réseau, suivez la procédure ci-dessous :
Observez la topologie du réseau local et déterminez les emplacements appropriés pour créer des VLAN.
La Figure 6–1 illustre un exemple simple de topologie de réseau.
Créez un schéma de numérotation pour les VID et assignez un VID à chaque VLAN.
Votre réseau dispose peut-être déjà d'un tel schéma de numérotation. Dans ce cas, créez des VID compris dans le schéma de numérotation existant.
Sur chaque système, déterminez quelles interfaces seront membres de quel VLAN.
Déterminez les interfaces configurées sur un système.
# dladm show-link |
Déterminez les VID associés aux liaisons de données du système.
Créez des points de connexion physiques pour chaque interface devant être configurée avec un VLAN.
Vous pouvez configurer les interfaces d'un même système sur des VLAN différents.
Vérifiez les connexions des interfaces sur les commutateurs du réseau.
Notez le VID de chaque interface ainsi que le port du commutateur auquel elle est connectée.
Configurez chaque port du commutateur avec le même VID que celui de l'interface à laquelle il est connecté.
Reportez-vous aux instructions fournies par le fabricant du commutateur pour de plus amples informations sur la configuration.
Si vous utilisez Solaris 3/05, reportez-vous à la section Configuration de VLAN sous Solaris 10 3/05 UNIQUEMENT.
Oracle Solaris prend désormais en charge les VLAN sur les types d'interface suivants :
ce
bge
xge
e1000g
Sur les interfaces héritées, seule l'interface ce peut devenir membre d'un VLAN. Vous pouvez configurer des interfaces de types différents sur le même VLAN.
Vous pouvez configurer plusieurs VLAN dans un groupe IPMP. Pour plus d'informations sur les groupes IPMP, reportez-vous à la section Configurations d'interfaces IPMP.
Si vous utilisez Solaris 10 3/05, reportez-vous à la procédure décrite à la section Configuration de VLAN statiques dans Solaris 10 3/05 UNIQUEMENT.
Connectez-vous en tant qu'administrateur principal ou superutilisateur.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.
Déterminez les types d'interface utilisés sur votre système.
# dladm show-link |
La sortie suivante énumère les types d'interface disponibles :
ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2 |
Configurez une interface en tant que membre d'un VLAN.
# ifconfig interface-PPA plumb IP-address up |
Exemple : la commande suivante permet de configurer l'interface ce1 avec l'adresse IP 10.0.0.2 sur un VLAN portant le VID 123 :
# ifconfig ce123001 plumb 10.0.0.2 up |
Vous pouvez assigner des adresses IPv4 et IPv6 à des VLAN tout comme pour les autres interfaces.
(Facultatif) Pour conserver les paramètres du VLAN à chaque réinitialisation, créez un fichier nommé nom d'hôte.point de connexion physique pour chaque interface membre du VLAN.
# cat hostname.interface-PPA IPv4-address |
Sur le commutateur, définissez les repères des VLAN ainsi que leurs ports afin qu'ils correspondent avec les VLAN configurés sur le système.
L'exemple suivant illustre la commande de configuration des périphériques bge1 et bge2 sur un VLAN portant le VID 123.
# dladm show-link ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2 # ifconfig bge123001 plumb 10.0.0.1 up # ifconfig bge123002 plumb 10.0.0.2 up # cat hostname.bge123001 10.0.0.1 # cat hostname.bge123002 10.0.0.2 # ifconfig -a lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 bge123001: flags=201000803<UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 2 inet 10.0.0.1 netmask ff000000 broadcast 10.255.255.255 ether 0:3:ba:7:84:5e bge123002:flags=201000803 <UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 3 inet 10.0.0.2 netmask ff000000 broadcast 10.255.255.255 ether 0:3:ba:7:84:5e ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 4 inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255 ether 0:3:ba:7:84:5e # dladm show-link ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2 bge123001 type: vlan 123 mtu: 1500 device: bge1 bge123002 type: vlan 123 mtu: 1500 device: bge2 |