Utilisation des VLANs dans Solaris

Dans ce bas monde, il nous faut isoler certains réseaux par rapport à d’autres. Au départ, on a fait simple; chaque réseau était branché sur son propre Hub ou Switch. Puis les constructeurs d’équipement réseau ont offert la possibilité de créer plusieurs réseaux _virtuels_ sur le même équipement physique. Comme de bien entendu, ils ont choisi un nom qui se rapproche de l’acronyme, soit VLAN.

A partir de là est venu le besoin d’être capable de propager ces VLANs sur plusieurs équipement physiques : avoir un VLAN accessible sur plusieurs switchs par exemple. L’IEEE s’en est donc mêlé et a spécifié le protocole 802.1Q qui permet d’insérer dans une trame Ethernet l’appartenance de cette trame à un VLAN particullier, chaque VLAN étant identifié par son VLAN id ou VID.

Si ce protocole fût d’abord utilisé par les fabricants de switchs, il est aujourd’hui possible de l’utiliser aussi sur certains serveurs, et c’est la cas des serveurs Solaris.

Les commandes à passer sur l’interface du switch pour affecter le port (et donc le host connecté au switch) à un vlan sont:

• Déterminer un changement de configuration du mode de commutation sur le port par rapport à la valeur par défaut

switchport

• Préciser que l’interface du switch est dans le vlan dont le VID est n (içi 3)

switchport access vlan 3 

• Préciser que l’interface n’est configurée que dans un seul VLAN, pas de tag 802.1Q

switchport mode access

Dans le cas d’une appartenance à de multiples VLAN, il faut préciser l’utilisation du tag 802.1Q, la liste des vLAN autorisés et le VLAN “natif” de l’interface:

• Forcer l’interface à basculer dans un mode de acceptant les TAG sur les trames

switchport mode trunk

• Préciser l’utilisation du protocole 802.1Q pour les TAG des trames Ethernet

switchport trunk encapsulation dot1q

• Préciser le VLAN natif de l’interface -ici le VLAN 100- (le vlan natif n’est pas taggé)

switchport trunk native vlan 100

• Donner la liste des VLAN autorisés à être routés sur l’interface du switch

switchport trunk allowed vlan 2,3,100

Par défaut, une interface réseau configuré dans Solaris n’ajoutera aucun tag 802.1Q, et c’est bien normal. Pour forcer l’utilisation du tag, il faut créer (plumber) une interface avec une numérotation spécifique.

Pour rappel, le nom d’une interface réseau sous Solaris est la concaténation du nom du driver utilisé et du numéro d’instance de l’interface pour le driver sus-nommé. Par exemple, la première carte utilisant le driver eri instancié sur une machine portera le nom eri0, la deuxième eri1. Attention, première carte est un abus de langage; dans le cas de cartes multi-interfaces, chaque interface sera bien-sûr instancié avec son propre numéro (par exemple une carte Quad comme les qfe sera probablement instancié qfe0, qfe1, qfe2, qfe3).

Revenons à nos moutons.

Pour plumber une interface avec utilisation de VLAN-tagging, il faut tout d’abord déterminer son numéro. La règle est la suivante :

VLAN logical PPA = 1000 * VID + Device PPA (PPA = Physical Point of Attachment)

Exemple : Si votre carte physique est instancé sous le nom ce3, et que vous souhaitez utiliser le VLAN 10 et le VLAN 2, les noms de vos nouvelles interfaces seront :

1000 * 10 + 3 = 10003 → ce10003

1000 * 2 + 3 = 2003 → ce2003

Rien de bien nouveau içi, on applique simplement ce qu’on faisait déjà, c’est à dire :

• Pour créer et configurer l’interface sans reboot, on utilise ifconfig

# ifconfig ce2003 plumb
# ifconfig ce10003 plumb
# ifconfig ce2003 10.92.2.42 netmask + broadcast + up
# ifconfig ce10003 130.92.19.3 netmask + broadcast + up

• Pour maintenir les configurations au reboot créer les fichiers hostname dans /etc

# echo "10.92.2.42 netmask + broadcast + up" > /etc/hostname.ce2003
# echo "130.92.19.3 netmask + broadcast + up" > /etc/hostname.ce10003

• Penser à mettre à jour le fichier /etc/netmasks
• Si des zones (Solaris 10) n’ont accès qu’à certains VLANs, penser à ajouter les différents routeurs par défaut dans /etc/defaultrouter

— Nicolas Dorfsman Mars 2007 —