Forum général.général Passer d'un VLAN à un autre simplement?

Posté par .
1
21
mar.
2012

Salut,
j'ai une configuration où d'un coté mes paquets sont taggés avec un VLAN ID (802.1Q) 10 et de l'autre avec un tag 20 par exemple.

Est-il possible de configurer un switch pour qu'il remplace le tag 10 en tag 20 (et vice versa) sur un seul port directement?

Pour le moment, la seule chose que j'arrive à faire c'est retirer le tag 10 en ingress du switch, je me retrouve donc avec des paquets non taggés puis ajouter le tag en egress ce qui n'est pas terrible car ça ne marche que pour un couple de tag: si je veux faire une traduction aussi de 11 vers 21 (et vice versa), je vais me retrouver avec de la pollution (10 --> 21)..

La seule idée que j'ai eu c'est d'ajouter un rebouclage externe au switch: c'est à dire si dans la configuration initiale on a: port 1 pour vlan10, port2 pour vlan 20; ajouter un port3 au vlan10 configuré pour retirer les tag a l'egress(et vice versa tag 10 en ingress) et un port 4 configuré pour ajouter le vlan 20 a l'ingress (et vice versa retirer le tag 20 en egress) avec un fil reliant le port3 au port4 (et il faut un rebouclage différent par paire de VLAN à "traduire"), beurk!

Ça me parait vraiment moche comme solution, donc je pause la question: quel est la façon propre/normale de remplacer un tag VLAN par un autre sur un port dans un switch?
Ça me simplifierait vraiment ma configuration réseau si je pouvais faire ça..

Merci d'avance pour toute aide!

  • # Hmm

    Posté par (page perso) . Évalué à 3.

    C'est quoi le but de l'opération ? Tu as oublié d'en parler :)

    Je suis un peu une bille dans tout ce bordel de switch mais en plus, là, je comprend vraiment pas pourquoi tu veux faire ca…

    • [^] # Re: Hmm

      Posté par . Évalué à 2.

      Le but? Faire communiquer 2 LAN dont je ne peux pas changer les VLAN ID sans devoir utiliser un routeur..
      Mais j'ai l'impression qu'avec 802.1Q on ne peut qu'ajouter ou retirer des tags de VLANs pas passer d'un tag à un autre, je me demande bien pourquoi ils ont choisi ceux qui ont fait cette norme ont fait ce choix étrange.

      • [^] # Re: Hmm

        Posté par . Évalué à 0.

        Donc, le but de la manœuvre, c'est que de remapper tout le trafic du vlan 10 pour qu'il entre directement dans celui du vlan 20 et vice-versa ?

        Pourquoi ne pas avoir placé les machines dans le même vlan plutôt que d'en arriver à un tel bidouillage ?

        Je crois sincèrement qu'un schéma serait plus explicite ;)

        • [^] # Re: Hmm

          Posté par . Évalué à 2.

          Je suis une bille pour faire des diagrammes, mais je peux expliquer:
          1-il y a plusieurs cartes qui ont un switch interne avec 2 sorties, ces cartes sont connectées a 2 switches pour la redondance d'accès.
          Pour éviter qu'il y ait des boucles L2, on doit utiliser des VLANs différents pour chacun des switchs d'accès (autrement les switch internes aux cartes nous feraient des belles boucles et le RSTP c'est trop lent).
          2-l'idée est de connecter ces 2 switches d'accès à un troisième switch pour accèder avec 2 liens possible à un équipement.

          J'avais fait l'explication avec juste 2 VLANs car c'est plus simple à comprendre, mais ce qu'il faut retenir c'est que je ne peux pas mettre le même VLAN de chaque coté.

          • [^] # Re: Hmm

            Posté par (page perso) . Évalué à 0.

            un pont ?

            Système - Réseau - Sécurité Open Source

          • [^] # Re: Hmm

            Posté par (page perso) . Évalué à 0.

            Et biensur aucun des switchs n'est L3 ?

          • [^] # Re: Hmm

            Posté par (page perso) . Évalué à 1.

            Le problème de ton besoin est qu'en reliant deux vlans tu ne fait qu'en créer un autre qui va devoir éviter les boucles ou inclure du stp.

            A cause de ça tu ne trouvera aucun switch capable de faire cela en natif, toutefois les équipements F5 BigIP sont capables de gérer des vlans split-view, d'aggreger et découper des clans, … , mais le budget est très élevé.

            Le rstp est quand même assez rapide normalement, la convergence se fait dans les 10s dans le pire des cas.

            Si tu ne peut vraiment pas utiliser le spanningtree l'autre solution serait de pouvoir dissocier les deux ports de tes cartes afin d'attribuer deux IPs à chaque carte.

          • [^] # Re: Hmm

            Posté par . Évalué à 3.

            Si je comprends bien, tu tagues tes deux sortis sur ta « carte » pour ne pas qu'elles se trouvent sur le même LAN mais après tu veux… bridger ces deux VLAN ? Tu sais que tu viens de faire exactement ce que tu t'empêchais de faire en mettant les sorties sur deux VLAN différents ?…

            • [^] # Re: Hmm

              Posté par . Évalué à 2.

              Si je comprends bien, tu tagues tes deux sortis sur ta « carte » pour ne pas qu'elles se trouvent sur le même LAN mais après tu veux… bridger ces deux VLAN ?

              Oui.

              Tu sais que tu viens de faire exactement ce que tu t'empêchais de faire en mettant les sorties sur deux VLAN différents ?…

              J'ai plusieurs carte avec un switch interne connecté aux deux switch d'accès (et ne peut pas utiliser RSTP): si je ne met pas de VLAN différent, j'ai une belle boucle Ethernet!

              • [^] # Re: Hmm

                Posté par . Évalué à 2.

                si le but c'est de faire du failover sur le serveur (2 ports reseaux, sur 2 switchs)
                il faut que tu regardes pour linker les deux ports cotés serveurs

                le deuxieme port ne s'activera que si le premier tombe
                du coup, plus de probleme de boucle, sauf si ca bagote (monte,retombe,monte).

                autre solution, si tes switchs sont manageables et linkables, tu dois pouvoir linker les 2 switchs pour aggreger les ports des deux switchs differents pour faire le failover requis.

                • [^] # Re: Hmm

                  Posté par (page perso) . Évalué à 2.

                  Cela s'appelle 802.3ad ( lacp ).

                  Système - Réseau - Sécurité Open Source

                  • [^] # Re: Hmm

                    Posté par . Évalué à 2.

                    Oui, on a une autre configuration qui se monte et effectivement on va aller vers le MC-LAG.

              • [^] # Re: Hmm

                Posté par (page perso) . Évalué à 1.

                J'ai plusieurs carte avec un switch interne connecté aux deux switch d'accès (et ne peut pas utiliser RSTP): si je ne met pas de VLAN différent, j'ai une belle boucle Ethernet!

                Oui mais justement ce qu'on essaye de te dire c'est qu'a bridger deux vlans comme tu souhaite le faire, de façon physique via un cable ou logiciel, va justement te recreer une boucle reseau. Relier deux VLAN est une opération exactement identique à relier deux LAN ou plus simplement deux switchs physique sans gestion de vlan, il faut eviter les boucles

                • [^] # Re: Hmm

                  Posté par . Évalué à 2.

                  Certes, mais comme nous avons isolé les "plans droits" et "plan gauche" avec des VLANs, les connecté a un switch, ne fait pas une boucle: il faut 2 switch pour que ça pose un probleme.

                  • [^] # Re: Hmm

                    Posté par (page perso) . Évalué à 2.

                    Personnellement ce que j'ai compris de tes explication c'est que pour chaque carte à gérer, chaqu'une disposant d'un switch interne et de deux ports, vous avez mis en place deux vlans, un sur le switch de "plan gauche" (ex 10, 11, … je suppose) et l'autre sur le switch de "plan droit" (a priori 20, 21, …).

                    si tu relie les deux vlans 10 (plan gauche, carte 1) et 20 (plan droit, carte 1) physiquement ou logiciellement alors tu aura une boucle.
                    le switch interne de ta carte sera connecté sur deux vlans distint mais ces deux "cables" etants eux mêmes reliés par un switch en bout de course => y a boucle.

                    Note: pourquoi autant de vlans d'ailleurs, avoir juste un vlan pour le plan gauche et un autre pour le plan droit semblerait suffisant.

                    autre configuration

                    Le switch interne de tes cartes gere directement le 802.1q et tu a defini deux vlans sur la carte et tu affecte a chaque port un des vlans sur la carte, le port etant trunké sur le switch d'aggregation. Dans ce cas encore il suffirait de deux vlans sur les switches d'aggregations toutefois et non pas deux par carte…

                    Problème, dans ce cas si tu pert un switch physique ta carte est toujours accessible certes, mais via une seconde adresse IP, pas tres pratique…

                    Dans ce cas un bridging des deux vlans pourrait avoir du sens en effet, mais tu pourrait aussi t'en sortir en n'utilisant pas des ports trunkés sur le switch interne de carte (port gauche natif sur vlan 10 et port droit natif sur vlan 20, pas de risque de rebouclage a cause de la carte interne) et sur le switch d'aggregation tu peut mettre tout les ports sur le meme vlan.

                    Inter vlan bridging

                    En tout cas et pour repondre à ta question initiale, certains switchs implementent le bridging de deux vlans distinct avec pas mal de problèmes potentiels: http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800a7af6.shtml

                    Il faut bien comprendre quand même que les vlans sont arrivé pour faire de l'isolation de réseaux a moindre coût, au lieu d'avoir un switch par reseau obligatoirement, on peut decouper logiciellement ("virtualiser" dans l'air du temps) un switch physique en plusieurs lan etnaches, du coup l'option "finalement mes deux vlans je veut n'en faire qu'un" n'est pas très prioritaire …

                    Attention par contre si tu veut une configuration résiliente tu va devoir effectuer ce bridging sur les deux switches d'access, et donc … mettre en place une boucle et necessiter … du spanning tree, yala la boucle reboucle !

                    • [^] # Re: Hmm

                      Posté par . Évalué à 1.

                      En fait j'ai du mal m'expliquer mais nous sommes dans la configuration que tu décrits dans "autre configuration":
                      VLAN 10 et 20 natif sur le switch interne de chaque carte, trunkés sur les switchs d'aggregations.

                      Merci pour le lien sur les bridge inter-VLAN.

                      Attention par contre si tu veut une configuration résiliente tu va devoir effectuer ce bridging sur les deux switches d'access, et donc … mettre en place une boucle et necessiter … du spanning tree, yala la boucle reboucle !

                      Pas nécessairement, si je bridge de tel manière que "plan gauche extérieur" et "plan droit extérieur" fonctionne mais pas "plan gauche plan droit".
                      C'est à dire qu'un broadcast venant de l'extérieur atteindra le plan gauche et le plan droit, mais qu'un broadcast venant du plan gauche ou du plan droit n'atteindra que l'extérieur (et pas le plan opposé).

                      • [^] # Re: Hmm

                        Posté par . Évalué à 3.

                        En gros, tu veux modifier le fonctionnement d'Ethernet. Bon courage… Personnellement, je pense que tu te lances dans des choses que tu ne maîtrises pas. Essaye de reprendre le but que tu essayes d'atteindre, de le formuler clairement, et d'utiliser des techniques éprouvées pour y arriver, pas d'imaginer des choses farfelues.

                        • [^] # Re: Hmm

                          Posté par . Évalué à 2.

                          En gros, tu veux modifier le fonctionnement d'Ethernet.

                          Bah non ce que j'ai décris se fait très bien avec des VLAN "normaux", d'ailleurs c'est comme ça qu'on sépare les plans gauches et les plan droits sur les switchs internes aux cartes.

                          Bon, j'aurais fait un schéma ça aurait été plus compréhensible, ma faute.

        • [^] # Re: Hmm

          Posté par . Évalué à -4.

          « Pourquoi ne pas avoir placé les machines dans le même vlan plutôt que d'en arriver à un tel bidouillage ? »

          Quitte à poser ce genre de question, va droit au but:

          « Pourquoi tu es né pauvre et que tu dois faire un sale boulot d'IT avec des problèmes de merde, alors que t'aurais pu naitre riche et que t'aurais pu boire du champagne, sniffer de la coke et te faire pomper par des putes toute ta vie en gardant les doigts dans le cul ? »

          Pour moi faire un peu de vent sans apporter d'aide : ce n'est pas un problème de standard, c'est uniquement un problème de fonctionnalité sur ton switch. Et pour trouver un switch qui fait ce genre de truc, bonne chance! ce n'est pas que c'est compliqué, mais je vois mal un emballage détailler ce genre de fonctionnalité, donc, à moins de les essayer tous… Rien que pour trouver un switch qui accepte du 100-240V, ou une carte qui fait du 802.3x, je galère, alors dans ton cas je n'ose pas imaginer. Le plus marrant que j'ai trouvé, c'est une carte ethernet D-link toute conne qui prétendait faire du 802.11 sur l'emballage ( Wi-Fi)!

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.