Comment procéder pour gérer deux VLAN sur un bridge ?

Support Debian
#1

Bonjour,

J’ai mis en place des containers LXC sur ma machine et je souhaiterai obtenir le fonctionnement suivant :

  • Sur le système hôte, avoir le VLAN99 (administration)
  • Sur les containers LXC, avoir le VLAN20 (DMZ)

Or je ne sais pas trop comment procéder :017
J’ai lu la doc pour les VLAN sur une interface, ça c’est bon, mais ma question se pose sur les bridges.

Faut-il faire deux bidges br0 et br1 ? Ou peut-on gérer avec un seul ?
Je crois avoir lu que si on passe deux VLAN dans un même bridge les paquets seront mal tagués.

Quelqu’un pourrait-il m’éclairer sur le “branchement” des bridges ?

Merci :006

#2

De façon théorique j’aurai tendances à séparé les bridge pour plus de clarté :wink:

#3

Déjà, il faudrait que tu expliques ce que tu entends par “avoir le VLAN X”, et pourquoi tu as besoin de ponts.

#4

Déjà, il faudrait que tu expliques ce que tu entends par “avoir le VLAN X”, et pourquoi tu as besoin de ponts.[/quote]
Je dispose d’une carte réseau sur la machine, et elle sera branchée sur un port du switch qui donne le VLAN20 et 99.
Je voudrais que le système soit calé sur le VLAN99, mais que les containers LXC soient sur le VLAN20.
Je parle de bridge car apparemment on procède toujours comme ça pour donner accès à internet aux containers, non ?

#5

Je ne crois pas, non. On doit utiliser un pont quand les interfaces virtuelles doivent être dans le même domaine de diffusion qu’une interface physique. Cela n’a rien à voir avec l’accès à internet.

Côté réseau, ils se présentent comment, ces containers ? Comme une interface virtuelle sur la machine hôte ?

#6

Tu vas donc connecter physiquement une même machine au VLAN DMZ et au VLAN admin ?

#7

Sans bridge pas d’accès au réseau extérieur il me semble, ou alors avec du NAT mais je n’ai pas envie de faire ça. J’ai un firewall dédié qui gère la DMZ, j’ai juste besoin que mes containers se retrouvent dessus.

[quote=“PascalHambourg”]
Côté réseau, ils se présentent comment, ces containers ? Comme une interface virtuelle sur la machine hôte ?[/quote]
Pour le moment ils ont une interface “veth” reliée à un pont br0.

Est-ce mal ?

#8

Il te semble mal. Entre le pontage ethernet et le NAT il y a une technique toute bête qu’on appelle le routage IP, et qui est à la base du fonctionnement du réseau internet.

J’essaierais ceci :

  • création des interfaces VLAN ethX.99 et ethX.20 sur l’interface physique ethX
  • utilisation de l’interface ethX.99 par la machine hôte (avec configuration IP)
  • pontage de l’interface ethX.20 dans le pont br0 (sans configuration IP).

EDIT : D’après un petit test vite fait, ça marche.

vconfig ethX 20 vconfig ethX 99 ifconfig ethX.99 x.x.x.x netmask x.x.x.x brctl addif br0 ethX.20

#9

Merci beaucoup !
La technique du routage j’avais zappé, le problème est qu’il faut définir une nouvelle route sur le réseau extérieur, et c’est pas toujours possible.