Est-il possible de mélanger des VLANs et des LANs classique sur un Switch

Bonjour,
j’ai un réseau existant subdivisé en sous-réseaux et qui communique via un routeur dont le rôle est joué par une debian 7 avec Iptables dessus.

J’ai 4 serveurs physiques : 1 routeur (parlé ci-haut), un serveur virtualisé hébergeant des serveurs virtuels de différente sorte placés dans une DMZ , un serveur de backup et un serveur de partage de fichier NFS.

J’aimerais remplacer tous les 4 serveurs physiques par un seul virtualisé qui jouera le rôle de routeur pour la communication des différents VLANs et d’hebergement des autres serveurs (DMZ et internes) .

Comme c’est difficile de basculer tout le réseau en différents VLANs en même temps (sans causer une longue coupure du réseau), j’aimerais le faire progressivement. D’où mes questions suivantes :

1. est-ce que je peux appliquer le VLANs sur une partie du réseau?
2. Si oui celle-ci pourrait-il communiquer avec le reste qui n’est pas en VLANs?

Merci,

Hello,

Il faut d’abord bien séparer la fonction de switch Ethernet (couche 2) et la fonction de routeur IP (couche 3). - Modèle OSI

Les VLANs , cela se passe au niveau de la couche 2. Même si souvent il y a besoin d’un routeur pour faire communiquer entre eux plusieurs VLANs.

Donc, pour commencer, est-ce que ton réseau utilise des switchs Ethernet ? Si oui, sont-ils de type administrable / manageable ?
Il n’y a pas besoin qu’ils soient administrables “de niveau 3” CAD au niveau de la couche 3.

Précisons que les switches dits “smart”, sont des switches administrables mais que c’est de l’entrée de gamme, ni très robustes ni très fiables. S’ils sont moins chers que les autres, c’est qu’il y a une raison.

Si tu disposes des bons switches, tu peux créer un nouveau vlan adossé à un nouveau sous-réseau IP configuré sur le routeur et basculer progressivement les ports des switchs vers le nouveau vlan.

Mais si tu dois te reposer sur la configuration réseau des postes utilisateurs sous Windows pour passer à un autre vlan au lieu de te reposer sur les switches, ce n’est même pas la peine de commencer à imaginer t’embarquer là-dedans. La configuration des VLANs sous Windows n’est pas (n’était pas ?) normalisée / standardisée et chaque pilote de carte réseau fait sa tambouille dans son coin de manière plus ou moins buggée.

Passer le routeur en machine virtuelle est probablement possible mais cela semble très risqué. Et ce n’est pas quelque-chose que je conseillerais.
En imaginant un problème de virtualisation sur l’hyperviseur hébergeant la VM routeur, comment ferais-tu pour dépanner l’hyperviseur alors que tu ne peux plus t’y connecter ?

De plus, pour la virtualisation, deux hyperviseurs dont un de backup plus un NAS/SAN qui stocke les VMs pour pouvoir basculer celles-ci d’un hyperviseur à l’autre à chaud lors d’une bascule manuelle, c’est le strict minimum pour avoir un système fiable.

Donc, tu peux introduire les VLANs si tu as les switches adéquats mais, personnellement, je n’irais pas réduire le nombre de serveurs (routeur compris).

–
AnonymousCoward

Bonjour
merci de la réponse rapide.

Mon réseau utilise des switchs ethernet manageables (Dlink DGS-1210-24) et les postes tournent sous linux ainsi que tous les serveurs.

Aucun poste Windows dans mon réseau.

Si je crée le VLAN dont tu parles comment est-ce que les autres ports (du même switch) qui normalement resteront dans le VLAN 1 (VLAN par défaut) pourront communiquer avec ce nouveau? Si oui comment? C’est là où réside en fait ma question.

Mon routeur/parefeu résidera également dans le système hôte et non dans une VM.

Bien noté tes conseils pour 2 hyperviseurs et un NAS

pour la réduction de serveur, c’est une obligation venant d’en haut

Dlink DGS-1210-24 : Smart switch 20 ports Gigabit 10/100/1000 Mbps + 4 ports Combo Gigabit/SFP

Bon, y’a “smart” dedans mais cela devrait quand-même pouvoir fonctionner.

Si l’on va voir l’article wikipedia à propos des Identifiants VLAN (VID) , on voit que sur les 4096 valeurs théoriquement possible :

• La valeur 0 signifie que la trame ne contient pas d’information / de tag à propos des VLANs.
• La valeur 4095 est réservée mais par exemple chez Cisco toutes les trames ainsi taggées sont supprimées quand elles arrivent sur un switch.
• La valeur 1 est, par défaut, la valeur du “VLAN natif”. CAD que si ton poste envoie des trames Ethernet sans tag ou des trames taggées avec le VID du “VLAN natif”, C’est strictement la même chose pour le switch. En fait, le véritable fonctionnement est même de tagger avec le VID du “VLAN natif” toutes les trames qui arrivent non taggées sur le port.

Pour ta question, en prenant le cas (simplifié) où :

• Certains ports envoient des trames taggées 2 et reçoivent les trames taggées 2
• D’autres ports envoient des trames taggées 4 et reçoivent les trames taggées 4

Il faut alors un routeur qui puisse recevoir et envoyer les trames taggées 2 et 4 et qui route entre les deux VLANs. Que ce soit avec un routeur sous Debian/Linux ou avec un routeur genre Cisco, on peut le faire via la même interface réseau qui gère les deux VLANs ou via deux interfaces réseau différentes qui gèrent chacune un VLAN différent.

Cela pourrait donner un fichier /etc/network/interfaces du genre :

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0.2
iface eth0.2 inet static
	vlan_raw_device eth0
	#
	address   10.0.8.1/24
	broadcast 10.0.8.255

auto eth0.4
iface eth0.4 inet static
	vlan_raw_device eth0
	#
	address   10.0.9.1/24
	broadcast 10.0.9.255

Si tu dois avoir un routeur qui reçoit/envoie le VLAN natif (VID 1) et reçoit/envoie un VLAN taggé (VID 4), ce sera plutôt un fichier de configuration du genre :

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
	address   192.168.0.1/24
	broadcast 192.168.0.255

auto eth0.4
iface eth0.4 inet static
	vlan_raw_device eth0
	#
	address   192.168.1.1/24
	broadcast 192.168.1.255

Cependant, le serveur DHCP de l’ISC a un petit soucis avec une interface réseau sur laquelle arrive des trames taggées et d’autres non et dans ce genre de cas il se mélange les pinceaux et ça met un beau foutoir.
Donc si tu dois utiliser ce serveur DHCP, il faut que toutes les trames arrivent taggées. Y compris pour le VLAN 1. C’est quelque-chose qui se configure dans le switch.

Parce-que tu auras compris qu’un port du switch peut émettre des trames non taggées et/ou taggées avec de multiples VIDs différents. Et qu’un port du switch peut recevoir des trames non taggées et/ou taggées avec de multiple VIDs différents. Le tout en même temps.

Concernant les obligations, je te suggère d’avoir une trace écrite.

–
AnonymousCoward

edit: en relisant je viens de voir que tu utilises la fonction routage sur l’os…

*Question idiote de ma part car je n’ai tout lu de ta problematique - et je ne sais si ton routeur le supporterait - donc je n’ai qu’une idée générale mais ne serait il pas possible de configurer un router-on-the-stick (donc une passerelle) pour certains de tes réseaux et une autre passerelle pour les autres?

Et bien sûr en configurant les switches en amont de ton routeur afin de n’avoir que deux connections servant de trunks?

Désolée de répondre tardivement j’étais clouée sur autre chose.

Merci pour les explications claires.

Je comprends alors que je dois créer autant de VLANs que je prévoyais (avec passerelles les adresses IP des cartes virtuelles de mon routeur) et un autre VLAN natif qui aura comme passerelle l’adresse de l’interface physique de mon routeur.

Je vais m’y mettre et vous tiendra informé.

@+[quote=“AnonymousCoward, post:4, topic:69563”]
Concernant les obligations, je te suggère d’avoir une trace écrite.
[/quote]

je tiens à ma disposition un wiki ou je consigne tout cela.