Vlan - linux - Historique des versions

Ycharbi : Changement de catégorie.

2020-07-14T08:05:44Z

Changement de catégorie.

← Version précédente		Version du 14 juillet 2020 à 10:05
Ligne 1 :		Ligne 1 :
	[[Category:~~réseaux linux~~]]		[[Category:iproute2]]

	Dans cette documentation, nous allons traiter de la configuration du protocole 802.1Q avec un noyau Linux. Cette fonctionnalité est gérée nativement par le noyau, les commandes sont donc transposables sous toute les distributions comportant le paquet ''iproute2''.		Dans cette documentation, nous allons traiter de la configuration du protocole 802.1Q avec un noyau Linux. Cette fonctionnalité est gérée nativement par le noyau, les commandes sont donc transposables sous toute les distributions comportant le paquet ''iproute2''.

Ycharbi : /* Interface VLAN */ Ajout du mot "SVI".

2020-04-19T12:24:41Z

Interface VLAN : Ajout du mot "SVI".

← Version précédente		Version du 19 avril 2020 à 14:24
Ligne 67 :		Ligne 67 :

	===Interface VLAN===		===Interface VLAN===
	Pour créer une interface de VLAN, il suffit de faire ceci:		Pour créer une interface de VLAN (aussi appelée [https://fr.wikipedia.org/wiki/Switch_virtual_interface SVI] pour ''Switch virtual interface''), il suffit de faire ceci:
	ip link add link br0 name vlan10 type vlan id 10		ip link add link br0 name vlan10 type vlan id 10
	ip link set vlan10 up		ip link set vlan10 up

Ycharbi : /* Interface trunk */ Correction d'un espace de trop + correction d'un oublie concernant la configuration de l'interface trunk sur eth0.

2020-04-19T12:20:02Z

Interface trunk : Correction d'un espace de trop + correction d'un oublie concernant la configuration de l'interface trunk sur eth0.

← Version précédente		Version du 19 avril 2020 à 14:20
Ligne 49 :		Ligne 49 :
	bridge vlan add dev br0 vid 10 tagged self		bridge vlan add dev br0 vid 10 tagged self
	bridge vlan add dev br0 vid 20 tagged self		bridge vlan add dev br0 vid 20 tagged self
			bridge vlan add dev eth0 vid 10 tagged master
			bridge vlan add dev eth0 vid 20 tagged master

	Le paramètre désignant l'étiquetage est ''tagged''. On autorise donc le VLAN 10 et 20 à transiter par notre lien trunk via ''eth0'' appartenant à ''br0''. Vous noterez qu'une opération sur "br0" se fait via le paramètre ''self'' alors que sur l'une des interfaces esclaves, c'est ''master'' qui est utilisé.		Le paramètre désignant l'étiquetage est ''tagged''. On autorise donc le VLAN 10 et 20 à transiter par notre lien trunk via ''eth0'' appartenant à ''br0''. Vous noterez qu'une opération sur "br0" se fait via le paramètre ''self'' alors que sur l'une des interfaces esclaves, c'est ''master'' qui est utilisé.
Ligne 55 :		Ligne 57 :

	De la même manière que n'importe quelle commande avec ''iproute2'', un <source lang="bash" inline>del</source> permet de supprimer une donnée précédemment configurée via un <source lang="bash" inline>add</source>. Ainsi, pour supprimer un VLAN du trunk, il suffit de faire:		De la même manière que n'importe quelle commande avec ''iproute2'', un <source lang="bash" inline>del</source> permet de supprimer une donnée précédemment configurée via un <source lang="bash" inline>add</source>. Ainsi, pour supprimer un VLAN du trunk, il suffit de faire:
	bridge vlan del dev br0 vid 20 tagged self		bridge vlan del dev br0 vid 20 tagged self
			bridge vlan del dev eth0 vid 20 tagged master

	===Interface access===		===Interface access===

Ycharbi : Plus en chantier + correction de fautes de français.

2019-10-21T14:52:03Z

Plus en chantier + correction de fautes de français.

← Version précédente		Version du 21 octobre 2019 à 16:52
Ligne 1 :		Ligne 1 :
	[[Category:réseaux linux]]		[[Category:réseaux linux]]

	~~{{chantier}}~~

	Dans cette documentation, nous allons traiter de la configuration du protocole 802.1Q avec un noyau Linux. Cette fonctionnalité est gérée nativement par le noyau, les commandes sont donc transposables sous toute les distributions comportant le paquet ''iproute2''.		Dans cette documentation, nous allons traiter de la configuration du protocole 802.1Q avec un noyau Linux. Cette fonctionnalité est gérée nativement par le noyau, les commandes sont donc transposables sous toute les distributions comportant le paquet ''iproute2''.
Ligne 8 :		Ligne 6 :


	J'en profite également pour dire aux ~~habituer~~ des produits ~~CIsco~~ que dans le cas présent comme chez de nombreux constructeurs, la terminologie autour du 802.1Q est quelque peu différente (allez savoir pourquoi...). En effet nous avons:		J'en profite également pour dire aux habitués des produits Cisco que dans le cas présent comme chez de nombreux constructeurs, la terminologie autour du 802.1Q est quelque peu différente (allez savoir pourquoi...). En effet nous avons:
	* trunk{{=}}tagged		* trunk{{=}}tagged
	* access{{=}}untagged}}		* access{{=}}untagged}}

	Traditionnellement, la méthode de configuration des VLAN sous Linux était quelque peu merdique (on ne va pas se mentir). Il fallait utiliser un pont par VLAN, une interface VLAN était rattaché à une interface physique (eth0.120 par exemple pour le VLAN 120) et la configuration d'un lien trunk relevait plus de la farce que d'une réelle fonctionnalité (c'était l'interface physique auquel était rattaché plusieurs VLAN qui était trunk. Dans ces conditions, il faudra m'expliquer ~~comme~~ on donne un trunk à une machine virtuelle destinée à faire pare feux par exemple...). Bref, c'était tout pourris et c'est encore la façon de faire documentée sur 99% des sites sur Internet ! Les gens ne savent tout simplement pas qu'il existe une fonctionnalité nommée ''VLAN filtering'' sur un pont Linux et qu'il est ainsi possible de ~~calqué~~ exactement le fonctionnement d'[[Open vSwitch]] sur un pont natif (les [[Strongswan#Sur_les_clients\|bogues de ce dernier]] en moins).		Traditionnellement, la méthode de configuration des VLAN sous Linux était quelque peu merdique (on ne va pas se mentir). Il fallait utiliser un pont par VLAN, une interface VLAN était rattaché à une interface physique (eth0.120 par exemple pour le VLAN 120) et la configuration d'un lien trunk relevait plus de la farce que d'une réelle fonctionnalité (c'était l'interface physique auquel était rattaché plusieurs VLAN qui était trunk. Dans ces conditions, il faudra m'expliquer comment on donne un trunk à une machine virtuelle destinée à faire pare feux par exemple...). Bref, c'était tout pourris et c'est encore la façon de faire documentée sur 99% des sites sur Internet ! Les gens ne savent tout simplement pas qu'il existe une fonctionnalité nommée ''VLAN filtering'' sur un pont Linux et qu'il est ainsi possible de calquer exactement le fonctionnement d'[[Open vSwitch]] sur un pont natif (les [[Strongswan#Sur_les_clients\|bogues de ce dernier]] en moins).

	=Usage=		=Usage=

Ycharbi : Page créée avec « Category:réseaux linux {{chantier}} Dans cette documentation, nous allons traiter de la configuration du protocole 802.1Q avec un noyau Linux. Cette fonctionnalité... »

2019-03-24T14:22:28Z

Page créée avec « Category:réseaux linux {{chantier}} Dans cette documentation, nous allons traiter de la configuration du protocole 802.1Q avec un noyau Linux. Cette fonctionnalité... »

Nouvelle page

[[Category:réseaux linux]]

{{chantier}}

Dans cette documentation, nous allons traiter de la configuration du protocole 802.1Q avec un noyau Linux. Cette fonctionnalité est gérée nativement par le noyau, les commandes sont donc transposables sous toute les distributions comportant le paquet ''iproute2''.

{{info|Dans cette documentation, je part du principe qu'une machine Linux est branchée via son interface ''eth0'' à un commutateur configuré en trunk avec deux VLAN (le 10 et le 20). Je part également du principe qu'une deuxième machine quelconque est branchée sur l'interface ''eth1'' du Linux afin de tester le mode access/untagged de la solution.

J'en profite également pour dire aux habituer des produits CIsco que dans le cas présent comme chez de nombreux constructeurs, la terminologie autour du 802.1Q est quelque peu différente (allez savoir pourquoi...). En effet nous avons:
* trunk{{=}}tagged
* access{{=}}untagged}}

Traditionnellement, la méthode de configuration des VLAN sous Linux était quelque peu merdique (on ne va pas se mentir). Il fallait utiliser un pont par VLAN, une interface VLAN était rattaché à une interface physique (eth0.120 par exemple pour le VLAN 120) et la configuration d'un lien trunk relevait plus de la farce que d'une réelle fonctionnalité (c'était l'interface physique auquel était rattaché plusieurs VLAN qui était trunk. Dans ces conditions, il faudra m'expliquer comme on donne un trunk à une machine virtuelle destinée à faire pare feux par exemple...). Bref, c'était tout pourris et c'est encore la façon de faire documentée sur 99% des sites sur Internet ! Les gens ne savent tout simplement pas qu'il existe une fonctionnalité nommée ''VLAN filtering'' sur un pont Linux et qu'il est ainsi possible de calqué exactement le fonctionnement d'[[Open vSwitch]] sur un pont natif (les [[Strongswan#Sur_les_clients|bogues de ce dernier]] en moins).

=Usage=
==Création du pont==
'''Création d'un pont Linux avec gestion des VLAN'''
ip link add br0 type bridge vlan_filtering 1

'''Allumage de l'interface du pont'''
ip link set br0 up

==Provisionnement du pont==
'''Allumage de l'interface physique liée au pont'''
ip link set eth0 up
ip link set eth1 up

'''Ajout des interfaces physiques au pont'''
ip link set eth0 master br0
ip link set eth1 master br0

Pour sortir une interface physique du pont, on utilisera la commande suivante:
ip link set eth0 nomaster

==Isolation du pont==
Un pont Linux, bien qu'étant un objet de niveau 2 OSI, peut accepter et traiter du trafic IP (contrairement aux interfaces qui le compose qui elles, respectent strictement le modèle OSI). Cette propriété offre des avantages mais peut également occasionner des failles.

Conformément à ce qu'explique l'excellent Vincent Bernat dans sa [https://vincent.bernat.ch/fr/blog/2017-linux-bridge-isolation page dédié], il existe différente façons de cloisonner notre pont, la plus efficace étant de filtrer le trafic du VLAN par défaut, de sorte à ce que la trame soit rejetée directement dans la fonction <source lang="c" inline>br_pass_frame_up()</source> du noyau. Pour ce faire, nous utiliserons la commande suivante:
bridge vlan del dev br0 vid 1 self

J'en profite également pour supprimer ce VLAN sur les interfaces composant ce pont afin de ne pas polluer le visuel lors d'un listage de celui-ci:
bridge vlan del dev eth0 vid 1 master
bridge vlan del dev eth1 vid 1 master

==Configuration du 802.1Q==
À ce stade, notre pont est configuré avec 2 interfaces réseaux (''eth0'' et ''eth1'') et leur VLAN par défaut a été supprimé. Actuellement, aucun VLAN n'est configuré et un <source lang="bash" inline>bridge vlan show</source> nous montre une liste sous forme de tableau de nos interface avec la mention ''none'' dans la colonne ''vlan ids''. Il est temps de passer à la configuration du pont à proprement parler.

===Interface trunk===
Nous allons étiqueter les trames passant par ''eth0''. Il faut également produire cette opération pour le pont lui-même afin d'autoriser les trames à passer.
bridge vlan add dev br0 vid 10 tagged self
bridge vlan add dev br0 vid 20 tagged self

Le paramètre désignant l'étiquetage est ''tagged''. On autorise donc le VLAN 10 et 20 à transiter par notre lien trunk via ''eth0'' appartenant à ''br0''. Vous noterez qu'une opération sur "br0" se fait via le paramètre ''self'' alors que sur l'une des interfaces esclaves, c'est ''master'' qui est utilisé.

Un <source lang="bash" inline>bridge vlan show</source> nous montre désormais les ID des VLAN que nous venons de configurer dans la colonne correspondante.

De la même manière que n'importe quelle commande avec ''iproute2'', un <source lang="bash" inline>del</source> permet de supprimer une donnée précédemment configurée via un <source lang="bash" inline>add</source>. Ainsi, pour supprimer un VLAN du trunk, il suffit de faire:
bridge vlan del dev br0 vid 20 tagged self

===Interface access===
Pour attribuer un VLAN à une interface sans étiquetage, on utilisera la méthode suivante:
bridge vlan add dev eth1 vid 10 pvid untagged master

L'interface ''eth1'' est donc dans le VLAN 10, tout client se branchant dessus y sera sans avoir à gérer le 802.1Q (équivalent du ''switchport acces vlan 10'' sous Cisco).

===Interface VLAN===
Pour créer une interface de VLAN, il suffit de faire ceci:
ip link add link br0 name vlan10 type vlan id 10
ip link set vlan10 up
ip address add 192.168.10.254/24 dev vlan10

=Fichier interfaces=
Il est possible de configurer le filtrage de VLAN via le traditionnel fichier <source lang="bash" inline>/etc/network/interfaces</source> mais comme à son habitude, il existe zéro documentation sur le sujet donc c'est grave la mort d'arriver à quelque chose de fonctionnel. De plus, nous avons constaté qu'un résultat fonctionnel sur une machine ne donnera pas forcement le même sur une autre... Bref c'est de la merde.

Je détaillerai peu être un plus cette partie ici prochainement...

=Sources=
* https://developers.redhat.com/blog/2017/09/14/vlan-filter-support-on-bridge/
* https://linux-blog.anracom.com/tag/vlan-tagging-in-linux-bridges/
* https://github.com/Mellanox/mlxsw/wiki/Bridge
* https://docs.cumulusnetworks.com/display/DOCS/VLAN-aware+Bridge+Mode

Vlan - linux - Historique des versions

Ycharbi : Changement de catégorie.

Ycharbi : /* Interface VLAN */ Ajout du mot "SVI".

Ycharbi : /* Interface trunk */ Correction d'un espace de trop + correction d'un oublie concernant la configuration de l'interface trunk sur eth0.

Ycharbi : Plus en chantier + correction de fautes de français.

Ycharbi : Page créée avec « Category:réseaux linux {{chantier}} Dans cette documentation, nous allons traiter de la configuration du protocole 802.1Q avec un noyau Linux. Cette fonctionnalité... »

Ycharbi : Changement de catégorie.

Ycharbi : /* Interface VLAN */ Ajout du mot "SVI".

Ycharbi : /* Interface trunk */ Correction d'un espace de trop + correction d'un oublie concernant la configuration de l'interface trunk sur eth0.

Ycharbi : Plus en chantier + correction de fautes de français.

Ycharbi : Page créée avec « Category:réseaux linux {{chantier}} Dans cette documentation, nous allons traiter de la configuration du protocole 802.1Q avec un noyau Linux. Cette fonctionnalité... »