Si vous avez lu mes billets précédents en l'occurrence celui ci . Vous savez certainement que j'ai trouvé de quoi m'amuser. Notre but ici sera d'avoir un lien trunk entre un cisco (3548) et un serveur linux.
En image ce que nous allons mettre en place.
Comme on peut le voir nous avons trois vlan et un lien trunk qui nous permettra de faire transiter sur celui-ci l'ensemble de nos VLAN.
Commençons par la configuration coté linux (debian)
apt-get install vlan
Activation de dot1q
lsmod |grep 802
Si la commande ne retourne rien
modprobe 8021q
Passons à la configuration de nos interfaces VLAN
vim /etc/network/interface
auto eth1.10
iface address inet static
address 192.168.10.254
network 192.168.10.0
netmask 255.255.255.0
auto eth1.20
iface address inet static
address 192.168.20.254
network 192.168.20.0
netmask 255.255.255.0
auto eth1.30
iface address inet static
address 192.168.30.254
network 192.168.30.0
netmask 255.255.255.0
Maintenant il nous faut monter les interfaces
vconfig add eth1 10
vconfig add eth1 20
vconfig add eth1 30
Cependant si vous faites un ifconfig les IP n'apparaissent pas donc à la place de vconfig j'utilise
ifup eth1.10
ifup eth1.20
ifup eth1.30
Avec ifup il va parser notre fichier interfaces et reconnaitre les interfaces vlan et les montera avec la bonne ip.
Vérification
cat /proc/net/vlan/config
En cas d'erreur dans la configuration de vos vlan vous pouvez les supprimer
vconfig rem eth1.10
vconfig rem eth1.20
vconfig rem eth1.30
Bien sur je suppose que la fonction routage est activé sur votre serveur
La configuration coté linux est terminé c'est du rapide
Passons maintenant à la configuration du cisco.
Connexion en mode console
screen /dev/usbtty0
Configuration des vlan
conf t
interface vlan 10
description pool-servers
ip address 192.168.10.253 255.255.255.0
exit
interface vlan 20
description clients
ip address 192.168.20.253 255.255.255.0
exit
interface vlan 30
description wifi
ip address 192.168.30.253 255.255.255.0
exit
Création du vlan natif
conf t
interface vlan 12
description vlan natif
ip address 192.168.1.200 255.255.255.0
La on peut souffler un peu ou aller fumer une petite clope , nous avons fais la moitié du travail .
Il nous faut encore configurer les ports access et le trunk .
- Les ports access correspondent aux ports qui seront associés à un VLAN
- Le trunk : Faire transiter plusieurs vlan sur un lien donné (physique) Supposons que:
- Les ports 10 et 11 font parties du vlan 10
- Les ports 20 et 21 font parties du vlan 20
- Les ports 30 et 31 font parties du vlan 30
conf t
interfaces fastethernet range 0/10-11 (il est possible que la commande range ne fonctionne pas )
switchport mode access
switchport vlan 10
exit
interfaces fastethernet range 0/20-21
switchport mode access
switchport vlan 20
exit
interfaces fastethernet range 0/30-31
switchport mode access
switchport vlan 10
exit
Configuration du trunk
conf t
interface fastethernet 0/1
swichport mode trunk
switchport allowed vlan 10,20,30
switchport native vlan 12
switchport trunk encapsulation dot1q
duplex 100
no cdp
Maintenant vous pouvez faire essayer de pinguer l'ip de eth1 depuis le cisco.
Je vous vois déjà venir sur vos grands chevaux , mais on fait comment pour le DHCP a travers les VLAN. Rien de plus simple.
Nous allons rajouter un nouveau subnet
vim /etc/dhcp3/dhcpd.conf
subnet 192.168.10.0 255.255.255.0 {
range 192.168.10.60 192.168.10.80
option domain-name-servers 192.168.10.254
}
subnet 192.168.30.0 255.255.255.0 {
range 192.168.30.60 192.168.30.80
option domain-name-servers 192.168.30.254
}
subnet 192.168.30.0 255.255.255.0 {
range 192.168.30.60 192.168.30.80
option domain-name-servers 192.168.30.254
}
Pour terminer nous allons désactiver le STP qui polluent notre réseau de requête
conf t
no spanning-tree vlan 12,10,20,30
Récapitulatif
show run
interface FastEthernet0/1
duplex full
speed 100
switchport trunk encapsulation dot1q
switchport trunk native vlan 12
switchport trunk allowed vlan 1,10,12,1002-1005
switchport mode trunk
no cdp enable
interface FastEthernet0/10
switchport access vlan 10
interface FastEthernet0/20
switchport access vlan 20
interface FastEthernet0/30
switchport access vlan 30
interface VLAN10
ip address 192.168.10.253 255.255.255.0
no ip directed-broadcast
no ip route-cache
shutdown
!
interface VLAN12
ip address 192.168.1.249 255.255.255.0
no ip redirects
no ip unreachables
no ip directed-broadcast
no ip proxy-arp
no ip route-cache
shutdown
!
interface VLAN20
ip address 192.168.20.253 255.255.255.0
no ip directed-broadcast
no ip route-cache
shutdown
!
interface VLAN30
ip address 192.168.30.253 255.255.255.0
no ip directed-broadcast
no ip route-cache
shutdown
!
Vous voulez certainement que vos VLAN puissent accéder au NET .
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o eth0 -j MASQUERADE
Il est possible que cela ne fonctionne pas du premier coup, sinon c'est se serait trop beau . Quelques commandes pour le diagnostic.
show vlan brief
show vlan
show interfaces status | include trunk
show interfaces vlaN ID
show run
show interfaces fastEthernet ?/? switchport
Derniers commentaires