Guide d'administration d'Oracle® VM Server for SPARC 3.3

Quitter la vue de l'impression

 
Mis à jour : Octobre 2015
 
 

Utilisation des VLAN privés

Le mécanisme de VLAN privé (PVLAN) vous permet de diviser un VLAN standard en sous-VLAN pour isoler le trafic réseau. Le mécanisme PVLAN est défini dans RFC 5517. Généralement, un VLAN standard est un domaine de diffusion unique, mais quand il est configuré avec les propriétés PVLAN, le domaine de diffusion unique est divisé en sous-domaines de diffusion plus petits, tout en conservant la configuration de couche 3 existante. Lorsque vous configurez un PVLAN, le VLAN standard est appelé VLAN principal et les sous-VLAN sont appelés VLAN secondaires.

Lorsque deux réseaux virtuels utilisent le même ID de VLAN sur une liaison physique, l'ensemble du trafic de diffusion est transmis entre les deux réseaux virtuels. Toutefois, lorsque vous créez des réseaux virtuels qui utilisent les propriétés PVLAN, le comportement de transfert de paquets peut ne pas s'appliquer dans tous les cas.

Le tableau suivant répertorie les règles de transfert de paquets de diffusion pour les PVLAN isolés et communautaires.

Table 12-1  Règles de transfert de paquets de diffusion
Type PVLAN
Isolé
Communauté A
Communauté B
Isolé
Non
Non
Non
Communauté A
Non
Oui
Non
Communauté B
Non
Non
Oui

Par exemple, lorsque les deux réseaux virtuels vnet0 et vnet1sont isolés sur le réseau net0, net0 ne transmet pas de trafic entre deux réseaux virtuels. Toutefois, lorsque le réseau net0 reçoit le trafic d'un VLAN isolé, le trafic n'est pas transmis aux ports isolés liés au VLAN. Cette situation se produit parce que le réseau virtuel isolé n'accepte que le trafic du VLAN principal.

La fonction inter-vnet-link prend en charge les restrictions de communication des PVLAN isolés et communautaires. La fonction inter-vnet-link est désactivée pour les PVLAN isolés et activée uniquement pour les réseaux virtuels qui se trouvent dans la même communauté que les PVLAN communautaires. La redirection du trafic à partir d'autres réseaux virtuels en dehors de la communauté n'est pas autorisée.

Remarque - Si un domaine de service cible ne prend pas en charge la fonctionnalité PVLAN, la migration d'un domaine invité configuré pour un PVLAN peut échouer.

Conditions d'utilisation des PVLAN

Vous pouvez configurer les PVLAN à l'aide des commandes ldm add-vnet et ldm set-vnet. Ces commandes permettent de définir la propriété pvlan. Notez que vous devez également spécifier la propriété pvid pour configurer correctement les PVLAN.

Cette fonction requiert au minimum le système d'exploitation Oracle Solaris 11.2 SRU 4.

    Pour configurer un PVLAN, vous devez spécifier les informations suivantes :

  • ID de VLAN principal. L'ID de VLAN principal est l'ID de VLAN du port (PVID) utilisé pour configurer un PVLAN pour un périphérique réseau virtuel unique. Cette configuration permet de s'assurer qu'un domaine invité ne reçoit pas de paquets VLAN. Notez que vous ne pouvez pas configurer de VID avec un PVLAN. Cette valeur est représentée par la propriété pvid.

  • ID de VLAN secondaire. La fonctionnalité PVLAN est fournie grâce à un VLAN particulier utilisant un ID de VLAN secondaire. Vous précisez ces informations comme étant la partie secondary-vid de la valeur pvlan. secondary-vid est une valeur entière située entre 1 et 4094. Un VLAN principal peut avoir de nombreux VLAN secondaires, avec les restrictions suivantes :

    • Ni l'ID de VLAN principal ni l'ID de VLAN secondaire peuvent être identiques à l'ID de VLAN par défaut.

    • L'ID de VLAN principal et l'ID de VLAN secondaire ne peuvent pas avoir les même valeurs pour les types de PVLAN isolés et communautaires.

    • Chaque VLAN principal ne peut configurer qu'un PVLAN isolé. Vous ne pouvez donc pas créer deux PVLAN isolés utilisant le même ID de VLAN principal.

    • Un VLAN principal peut avoir plusieurs VLAN communautaires, avec les restrictions suivantes :

      • Un ID de VLAN ne peut être utilisé car l'ID de VLAN secondaire crée un autre PVLAN communautaire.

        Par exemple, si vous disposez d'un PVLAN communautaire avec un ID de VLAN principal de 3 et un ID de VLAN secondaire de 100, vous ne pouvez pas créer un autre PVLAN communautaire qui utilise 3 en tant qu'ID de VLAN secondaire.

      • Un ID de VLAN secondaire ne peut être utilisé en tant qu'ID de VLAN principal pour créer un PVLAN communautaire.

        Par exemple, si vous disposez d'un PVLAN communautaire avec un ID de VLAN principal de 3 et un ID de VLAN secondaire de 100, vous ne pouvez pas créer un autre PVLAN communautaire qui utilise 100 comme ID de VLAN principal.

      • L'ID de VLAN secondaire ne peut pas encore être utilisé en tant qu'ID de VLAN pour les réseaux virtuels ou les VNIC standard.

      Caution

      Mise en garde  - Le Logical Domains Manager peut uniquement valider la configuration des réseaux virtuels sur un commutateur virtuel particulier. Si une configuration du PVLAN est définie pour les VNIC Oracle Solaris sur le même périphérique backend, assurez-vous que les mêmes exigences sont respectées sur toutes les VNIC et tous les réseaux virtuels.

  • Type de PVLAN. Vous précisez ces informations comme étant la partie pvlan-type de la valeur pvlan. pvlan-type correspond à l'une des valeurs suivantes :

    • isolated. Les ports associés avec un PVLAN isolé sont isolés de tous les réseaux virtuels homologues et de toutes les cartes NIC virtuelles Oracle Solaris sur le périphérique réseau backend. Les paquets atteignent uniquement le réseau externe en fonction des valeurs spécifiées pour le PVLAN.

    • community. Les ports associés à un PVLAN communautaire peuvent communiquer avec d'autres ports qui se trouvent dans le même PVLAN communautaire mais sont isolés de tous les autres ports. Les paquets atteignent le réseau externe en fonction des valeurs spécifiées pour le PVLAN.

Configuration des PVLAN

Cette section inclut des tâches décrivant la création de PVLAN, ainsi que des informations y relatives.

Création d'un PVLAN

Vous pouvez configurer les PVLAN en définissant la valeur de propriété pvlan à l'aide des commandes ldm add-vnet ou ldm set-vnet. Reportez-vous à la page de manuel ldm(1M).

    Vous pouvez utiliser les commandes suivantes pour créer ou supprimer un PVLAN :

  • Utilisez ldm add-vnet pour créer un PVLAN :

    ldm add-vnet pvid=port-VLAN-ID pvlan=secondary-vid,pvlan-type \
if-name vswitch-name domain-name

    La commande indique comment créer un réseau virtuel avec un PVLAN qui possède un VLAN-ID principal de 4, un vlan-id secondaire de 200 et un pvlan-type isolated.

    primary# ldm add-vnet pvid=4 pvlan=200,isolated vnet1 primary-vsw0 ldg1

  • Utilisez ldm set-vnet pour créer un PVLAN :

    ldm set-vnet pvid=port-VLAN-ID pvlan=secondary-vid,pvlan-type if-name domain-name

    La commande indique comment créer un réseau virtuel avec un PVLAN qui possède un vlan-id principal de 3, un vlan-id secondaire de 300 et un pvlan-type community.

    primary# ldm add-vnet pvid=3 pvlan=300,community vnet1 primary-vsw0 ldg1

  • Utilisez ldm set-vnet pour supprimer un PVLAN :

    ldm set-vnet pvlan= if-name vswitch-name domain-name

    La commande suivante supprime la configuration du PVLAN pour le réseau virtuel vnet0. Cette commande fait en sorte que le réseau virtuel spécifié est un VLAN standard qui utilise la valeur vlan-id spécifiée lors de la configuration du PVLAN.

    primary# ldm set-vnet pvlan= vnet0 primary-vsw0 ldg1

Visualisation des informations du PVLAN

Vous pouvez visualiser les informations sur un PVLAN grâce aux différentes sous-commandes de liste du Logical Domains Manager. Reportez-vous à la page de manuel ldm(1M).

    Vous pouvez utiliser la commande suivante pour afficher les informations du PVLAN.

  • Utilisez ldm list-domain -o network pour répertorier les informations du PVLAN :

    ldm list-domain [-e] [-l] -o network [-p] [domain-name...]

      Les exemples suivants présentent des informations sur la configuration du PVLAN sur le domaine ldg1 à l'aide de la commande ldm list-domain -o network.

    • La commande ldm list-domain suivante affiche des informations sur la configuration du PVLAN sur le domaine ldg1.

      primary# ldm list-domain -o network ldg1
NAME
ldg1

MAC
	00:14:4f:fa:bf:0f

NETWORK
NAME   SERVICE              ID DEVICE    MAC               
vnet0  primary-vsw0@primary 0  network@0 00:14:4f:f8:03:ed        
MODE   PVID VID             MTU  MAXBW LINKPROP
       1    3               1500 1700
       PVLAN : 200,community

    • La commande ldm list-domain suivante affiche des informations sur la configuration du PVLAN sous une forme analysable pour le domaine ldg1.

      primary# ldm list-domain -o network -p ldg1
VERSION 1.13
DOMAIN|name=ldg1|
MAC|mac-addr=00:14:4f:fa:bf:0f
VNET|name=vnet0|dev=network@0|service=primary-vsw0@primary
|mac-addr=00:14:4f:f8:03:ed|mode=|pvid=1|vid=3|mtu=1500|linkprop=|id=0
|alt-mac-addrs=|maxbw=1700|protect=|priority=|cos=|pvlan=200,community

  • Utilisez ldm list-bindings pour répertorier les informations du PVLAN :

    ldm list-bindings [-e] [-p] [domain-name...]

      Les exemples suivants présentent des informations sur la configuration du PVLAN sur le domaine ldg1 à l'aide de la commande ldm list-bindingsnetwork.

    • La commande ldm list-bindings suivante affiche des informations sur la configuration du PVLAN sur le domaine ldg1.

      primary# ldm list-bindings
...
NETWORK
NAME    SERVICE              ID DEVICE    MAC               
vnet0   primary-vsw0@primary 0  network@0 00:14:4f:f8:03:ed        
MODE   PVID VID   MTU  MAXBW LINKPROP
       1    3     1500 1700  
       PVLAN :200,community
PEER                 MAC               MODE  PVID VID  MTU  MAXBW LINKPROP
primary-vsw0@primary 00:14:4f:f8:fe:5e 1

    • La commande ldm list-bindings suivante affiche des informations sur la configuration du PVLAN sous une forme analysable pour le domaine ldg1.

      primary# ldm list-bindings -p
...
VNET|name=vnet0|dev=network@0|service=primary-vsw0@primary
|mac-addr=00:14:4f:f8:03:ed|mode=|pvid=1|vid=3|mtu=1500|linkprop=
|id=0|alt-mac-addrs=|maxbw=1700|protect=|priority=|cos=|pvlan=200,community
|peer=primary-vsw0@primary|mac-addr=00:14:4f:f8:fe:5e|mode=|pvid=1|vid=
|mtu=1500|maxbw=

  • Utilisez la commande ldm list-constraints pour répertorier les informations du PVLAN :

    ldm list-constraints [-x] [domain-name...]

    La section suivante présente la sortie générée en exécutant la commande ldm list-constraints :

    primary# ldm list-constraints -x ldg1
...
<Section xsi:type="ovf:VirtualHardwareSection_Type">
  <Item>
    <rasd:OtherResourceType>network</rasd:OtherResourceType>
    <rasd:Address>auto-allocated</rasd:Address>
    <gprop:GenericProperty key="vnet_name">vnet0</gprop:GenericProperty>
    <gprop:GenericProperty key="service_name">primary-vsw0</gprop:GenericProperty>
    <gprop:GenericProperty key="pvid">1</gprop:GenericProperty>
    <gprop:GenericProperty key="vid">3</gprop:GenericProperty>
    <gprop:GenericProperty key="pvlan">200,community</gprop:GenericProperty>
    <gprop:GenericProperty key="maxbw">1700000000</gprop:GenericProperty>
    <gprop:GenericProperty key="device">network@0</gprop:GenericProperty>
    <gprop:GenericProperty key="id">0</gprop:GenericProperty>
  </Item>
Copyright © 2007, 2015, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant