Routage inter-vlan,switch N3, etherchannel

Réponse

+1

Nico le Vosgien 1401Messages postés 23 février 2007Date d'inscription 21 décembre 2011Dernière intervention 28 déc. 2010 à 21:35

Bonjour,

Effectivement, que de questions !!

Moi j'en aurais une autre : pourquoi passer par du Vlan sachant que tu n'as jamais plus d'une machine dans ces fameux Vlan !

Si mes souvenirs ne font pas défaut, me semble que le 3550 saura faire en routé.

Après, si tu y tiens vraiment, fais du Vlan, ça fonctionnera aussi.

-Faut-il créer l'agrégation et après les VLAN?

Fais les vlan en 1er puisqu'il te les faudra pour les configs de ports et donc d'agrégation

-Je pensais faire du VLAN par port (N1) car il me semble pas faisable de faire du vlan dynamique combiné avec de l'etherchannel.

Vlan dynamique ???? pour quoi faire compliqué quand on fait déjà compliqué ?

-Comment gérer le routeur pour qu'il soit accessible par les serveur 1 et 2? faut-il le mettre lui aussi dans un VLAN et autoriser le routage des vlan 2 et 3 net le routeur?

Et si tu oubliais un peu les vlan ?

-Faut-il pour que le serveur de sauvegarde puisse accéder au serveurs 1 et 2 créer un trunk?

Tous tes serveurs sont dans des vlan différents : va donc falloir router quelque part. Le plus logique est sur le switch, sinon, ça va te forcer à remonter vers ton routeur. Donc, avec le routage d'activer sur le 35, tout ton petit monde communiquera sans soucis

-Comment combine t-on le VLAN et l'etherchannel en commande IOS.

Ca se passe très bien : Cisco est ton ami ? ;)

-quel mode team dois-j prendre (static, dynamic, basic)? quel est la différence entre les 3 modes?

Mode 'team' ... kesako ?
Tu parles de l'etherchannel ? idem : cisco te dira tout ... mais on peut donner un coup de main ...

Autre petite chose :

- Seul le serveur de sauvegarde pourra accéder à tous les VLAN sinon les VLAN ne devront pas communiquer entre eux.

Va également falloir que tu te penches sur les ACL ...

Ajouter un commentaire

Réponse

+1

lsda26 28 déc. 2010 à 23:40

"Moi j'en aurais une autre : pourquoi passer par du Vlan sachant que tu n'as jamais plus d'une machine dans ces fameux Vlan ! "

Je pensais faire du vlan car dans mon cahier des charge il est mentionné que chaque serveur devra appartenir à un réseau différent. Ce sont des serveurs de nos clients que l'on héberge et qui sont parfois concurrents.

"-Je pensais faire du VLAN par port (N1) car il me semble pas faisable de faire du vlan dynamique combiné avec de l'etherchannel.

Vlan dynamique ???? pour quoi faire compliqué quand on fait déjà compliqué ? "

Je voulais dire par là, faire du VLAN de niveau 2 en renseignant quel adresse mac devaient appartenir à quel vlan. Mais d'après ce que j'ai cru comprendre, l'agrégation est basé sur des ports fixe du switch donc ne pourrai pas suivre si on change les port utilisé par les serveur1 et 2 non?

"-Comment gérer le routeur pour qu'il soit accessible par les serveur 1 et 2? faut-il le mettre lui aussi dans un VLAN et autoriser le routage des vlan 2 et 3 net le routeur?

Et si tu oubliais un peu les vlan ? "

Ma question à finalement un sens vu que j'ai besoin des vlan! :)

"Tous tes serveurs sont dans des vlan différents : va donc falloir router quelque part. Le plus logique est sur le switch, sinon, ça va te forcer à remonter vers ton routeur. Donc, avec le routage d'activer sur le 35, tout ton petit monde communiquera sans soucis "
Je pensais effectivement utiliser le 3550 pour faire le routa et pas le routeur.
Mais j'ai un peu de mal à piger le "trunk".

"Mode 'team' ... kesako ?
Tu parles de l'etherchannel ? idem : cisco te dira tout ... mais on peut donner un coup de main ... "
Le teaming est l'agrégation de lien sous windows comme le bonding sous linux et l'etherchannel chez cisco. heureux de pouvoir t'apprendre quelque chose! ;)

"Va également falloir que tu te penches sur les ACL ..."
Pour les Acls, je devrait pouvoir m'en sortir, j'en ai déjà placé sur un routeur alors j'imagine que ça doit être pareil?

Ajouter un commentaire

Réponse

+1

Nico le Vosgien 1401Messages postés 23 février 2007Date d'inscription 21 décembre 2011Dernière intervention 29 déc. 2010 à 02:33

-> Pour les vlan, je reste sceptique : dans la mesure où tu n'as qu'une seule machine ... je ne vois pas trop l'intérêt. Ton schéma montre d'ailleurs que tes différentes stations sont déjà dans des réseaux différents !.

Ma foi, nous dirons que passer immédiatement en Vlan préparera "l'avenir' : lorsqu'il y aura plusieurs machine par réseaux.

-> Pour les vlan static / dyn, oui, cela risque d'être beaucoup plus simple en static.

-> Pour le routeur, vu que ton 35 va router pour l'inter vlan, non, je ne vois pas bien l'interet de le passer en vlan ... mais si tu y tiens :)

-> Pour le trunk, c'est une notion qui te permet de faire passer plusieurs tag (vlan) sur une même liaisons (généralement, c'est du dot1q) : ici, je ne vois pas bien l'utilité

-> Pour le team, connaissais pas ! ... mais j'apprends tous les jours ;)

y'a plus qu'à donc ....

Ajouter un commentaire

Réponse

+1

lsda26 29 déc. 2010 à 10:18

"Pour les vlan, je reste sceptique : dans la mesure où tu n'as qu'une seule machine ... je ne vois pas trop l'intérêt. Ton schéma montre d'ailleurs que tes différentes stations sont déjà dans des réseaux différents !.

Ma foi, nous dirons que passer immédiatement en Vlan préparera "l'avenir' : lorsqu'il y aura plusieurs machine par réseaux."

=>Il me semble que si quelqu'un se branchait sur un des Vlan de niveau 1 il ne pourrait pas basculer sur les autres serveur juste en changeant d'adresse mac ou d'IP.
Avec la solution actuellement en place dans mon entreprise, tous les serveur web de nos clients sont dans un même sous réseau. Il suffit qu'un seul soit piraté pour qu'il est accès à toute les base de données sur les autres.
C'est sur que pour ce qui est des problèmes diffusion ou de collision, les VLANs vont pas révolutionner la chose vu qu'il y a peut de serveur au total (6 serveurs hébergé). C'était plus du point de vu sécurité. Maintenant j'ai peut être tort! Mais pourrai-tu m'expliquer une autre solution alors?
Sur le schéma j'ai mis chaque serveur dans des réseaux différent pour pouvoir router.
D'après ce que j'ai pu apprendre jusqu'ici il faut bien avoir des réseaux différent pour pouvoir router non? (actuellement dans mon entreprise tout les serveurs sont dans un même réseau).

"Pour le routeur, vu que ton 35 va router pour l'inter vlan, non, je ne vois pas bien l'intérêt de le passer en vlan ... mais si tu y tiens :)"

=>ok je laisserai hor VLAN.

"Pour le trunk, c'est une notion qui te permet de faire passer plusieurs tag (vlan) sur une même liaisons (généralement, c'est du dot1q) : ici, je ne vois pas bien l'utilité "
=>justement c'est bien ce qu j'avais compris mais en partant du principe que le serveur de sauvegarde allait devoir récupérer les trames des autres vlan (serveur client) je me disais q'il fallait peut-etre placer sont port en trunk (Un peu comme un port trunk entre un routeur et un switch où plusieurs tags arrivent à lui).
J'ai toujours du mal à savoir quand est-ce qu-il en faut un ou pas!

Ajouter un commentaire

Réponse

+1

brupala 36083Messages postés 16 juillet 2001Date d'inscription ModérateurStatut 28 mai 2012Dernière intervention 29 déc. 2010 à 10:52

Salut,
En étudiant vos propositions à tous les deux, je réalise qu'en fait il y a un réseau IP de trop:
Le serveur de sauvegarde devrait avoir deux interfaces (virtuelles) , une dans chaque vlan de serveur.
Le 3550 ne devrait pas router et le routeur devrait gérer l'accès externe des deux réseaux 192.168.1.0/24 et 192.168.2.0/24 sans router entre eux.
LE 3550 n'aura qu'à gérer deux vlans et 3 etherchannel.
vu l'objectif à atyteindre (héberger et sauvegarder deux serveurs à isoler entre eux).

Ajouter un commentaire - Site web

Réponse

+1

Nico le Vosgien 1401Messages postés 23 février 2007Date d'inscription 21 décembre 2011Dernière intervention 29 déc. 2010 à 11:09

Bonjour,

Je pense que tu fais une confusion entre commutation et routage.

-> Oui, le Vlan va securiser tes machines dans le sens où il va isoler un domaine de broadcast et interdire toute communication entre machines de différents Vlan

Mais :

Dans ton schéma, il n'y a qu'une seule machine par vlan ! : tu vas donc les isoler les unes des autres ... et vu qu'elles sont seules et qu'elles ont besoin de communiquer entre elles, tu es donc obligé de repasser par un étage de 'routage'.

Après, si tu as plusieurs machines dans un même réseau, alors oui, c'est plus logique.

Pour la sécurité, de toute façon, à la base, tu es censé les sécuriser individuellement : là, tu nous dis que le serveur de sauvegarde va devoir communiquer avec les 2 autres : il va donc bien falloir autoriser la communication ? donc, si qqu'un prend le ctrl de du sauvegarde, il aura accès (tout du moins ce sera joignable) aux stations en face

C'est pour cela que tu vas faire des acl pour contrôler un minimum mais logiquement, tu devrais avoir une couche de firewall.

Tes serveurs 1 & 2 seront bien isoles l'un de l'autre ... mais uniquement en L2 : pour joindre le 'sauvegarde', ils vont passer par l'étage de routage : du coup, 1 & 2 pourront communiquer : tu vois donc que le Vlan ne va ici pas te sécuriser totalement. Donc, ACL entre 1 & 2

Quid de l'acces internet par le serveur de sauvegarde ? autorisé ? : idem, il va falloir que tu filtres bien qui accede au sauvegarde vu qu'il va lui aussi être joignable par rebond du 1 ou 2

Pour le trunk, tu en fais quand tu communiques en L2 : ici, ce n'est pas ton cas puisque tu places tout le monde dans des vlan différents. La seule solution est donc de passer par un étage de routage : ce dont nous parlons depuis le début.

Ce pourrait être le routeur mais cela obligerait tous tes flux à tromboner entre ton 35 et le routeur : pas efficace efficace ...

Donc, tu fais un étage de routage sur ton 35 :entre serveurs 1 /2 & sauvegarde, le 35 joue plutôt le rôle de routeur plutot que switch. C'est pour cela que VU TON SCHEMA, la notion de Vlan n'est pas d'une grande utilité (ce qui n'est plus vrai si ton schéma ne fait pas apparaître toutes les machines )

Ajouter un commentaire

Réponse

+1

lsda26 29 déc. 2010 à 11:35

"brupala 29 déc 2010 à 10:52
Salut,
En étudiant vos propositions à tous les deux, je réalise qu'en fait il y a un réseau IP de trop:
Le serveur de sauvegarde devrait avoir deux interfaces (virtuelles) , une dans chaque vlan de serveur.
Le 3550 ne devrait pas router et le routeur devrait gérer l'accès externe des deux réseaux 192.168.1.0/24 et 192.168.2.0/24 sans router entre eux.
LE 3550 n'aura qu'à gérer deux vlans et 3 etherchannel.
vu l'objectif à atyteindre (héberger et sauvegarder deux serveurs à isoler entre eux)."

Ca y est il vient m'embrouiller l'esprit!!! ;) lol
jevois pas bien ce que tu entend par "deux interfaces (virtuelles)"! tu veut dire une carte réseau avec une ip appartenant à 192.168.1.0 et l'autre en 192.168.2.0 comme ça on supprime un VLAN? Mais alors plus d'agrégation entre le serveur de sauvegarde et le switch!
Ou bien veut-tu dire que l'on garde l'agrégation et on ajoute une seconde adresse IP sur le serveur de sauvegarde en passant par les propriété réseau de la nouvelle interface réseau en team? En sachant que sur mon schéma j'ai que 2 postes mais dans la réalité j'en aurais 6 donc 6 adresse (donc une dans chaque VLAN).

Ce que je ne comprend pas c'est comment les serveur 1 et 2 vont-il pouvoir aller sur le net vu qu'il ne pourront pas sortir de leur VLAN et donc pas accéder au routeur (à moins de déclarer l'interface du routeur aussi dans les vlan des serveurs 1 et 2)
Il me semblait que pour pouvoir faire circuler des infos hors des VLans il fallait faire du routage inter-vlan?

Ci ce que tu dis fonctionne, ça ne m'arrange pas car je pensais pouvoir montrer le routage par le switch de niveau 3 dans ma PTI. :(

Ajouter un commentaire

brupala- 29 déc. 2010 à 12:02

Si le pilote de carte réseau du serveur de sauvegarde gère le lacp, je suppose qu'il gère aussi les vlans, tu dois donc pouvoir configurer deux interfaces virtuelles, une dans chaque vlan de serveur.
si tu passes à 6, ça peut poser des problèmes de scalabilité effectivement, il vaut mieux reconcevoir tout:
Le routeur peut effectivement s'occuper du routage des serveurs vers internet, mais ne doit pas router les deux entre eux et doit gérer les vlan.
Si le routeur ne gère pas les vlans, il ne faut pas faire de vlans, ça ne sert à rien.
Après si le but est de montrer que tu sais utiliser un switch L3 pour configurer des ACL, tu peux faire comme tu as prévu car ça n'est alors qu' un problème d' ACL.
Une solution plus scalable serait d' isoler le réseau de sauvegarde dans un vlan et l'accès extérieur des serveurs dans un autre par serveur mais ça implique que chaque serveur gère deux vlan .

lsda26 - 29 déc. 2010 à 12:53

Si le pilote de carte réseau du serveur de sauvegarde gère le lacp, je suppose qu'il gère aussi les vlans, tu dois donc pouvoir configurer deux interfaces virtuelles, une dans chaque vlan de serveur.
si tu passes à 6, ça peut poser des problèmes de scalabilité effectivement, il vaut mieux reconcevoir tout:
En effet, il y a bien une option pour gérer les VLAN avec les drivers mais je ne savais pas trops a quoi ça pouvait servir! Qu'est-ce que tu veut dire par "des problèmes de scalabilité" tu as l'air de bien aimer ce mot :)

Le routeur peut effectivement s'occuper du routage des serveurs vers internet, mais ne doit pas router les deux entre eux et doit gérer les vlan.
Je pensais en effet laisser le routeur s'occuper seulement de l'accès au net et laisser les la gestion du routage inter VLAN au switch L3 car le routeur ne gère par les VLAN me semble t-il de mémoire (routeur adsl sagem de base).

Si le routeur ne gère pas les vlans, il ne faut pas faire de vlans, ça ne sert à rien.
Tu vas me trouver peut-être lourd, mais je ne comprend pas pour quoi les Vlans ne servent a rien si c'est pas le routeur qui les gère? Quand est-ce que les VLans sont ils utiles alors?
Quel est alors la différence entre mettre les 2 serveurs client dans des vlan ou bien seuelemnt dans des sous réseaux différent

Peut-on avec un switch L3 faire du routage sans que les différents réseaux soit dans des VLAN exactement comme un routeur? Pour moi il ne peut router uniquement qu'entre VLAN et pas entre des réseaux en dehors de Vlans. Sinon a quoi servent encore les routeurs aujourd'hui car un switch L3 serait un routeur géant avec 24 ou 48 pattes alors qu'un routeur en à en générale que 2 ou 3?

Une solution plus scalable serait d' isoler le réseau de sauvegarde dans un vlan et l'accès extérieur des serveurs dans un autre par serveur mais ça implique que chaque serveur gère deux vlan .
Encore du scalable ;)
Moi je pensais au début mettre le serveur de sauvegarde dans un VLan10 le serveur1 dans un Vlan 20 et le serveur 2 dans un Vlan30 et le routeur ???.
Maintenant tu dis qu'il faudrait alors que chaque serveur gère 2 Vlans. Pourquoi? si le switch route les VLAN

Actuellement je suis vraiment dans le brouillard complet avec ces histoire de VLANs!
Je crois que ce qui n'est pas encore clair pour moi en ce qui concerne les vlans c'est a quel niveau ils interviennent? et ce que ça apporte ou pas pour chaque couche L2 et L3

brupala- 29 déc. 2010 à 13:20

scalable:
http://en.wikipedia.org/wiki/Scalability
c'est basé sur l'anglais, en français le mot le plus proche, c'est extensibilité, mais ça fait plus penser à un élastique qu'à un réseau en croissance.

Peut-on avec un switch L3 faire du routage sans que les différents réseaux soit dans des VLAN exactement comme un routeur? Pour moi il ne peut router uniquement qu'entre VLAN et pas entre des réseaux en dehors de Vlans. Sinon a quoi servent encore les routeurs aujourd'hui car un switch L3 serait un routeur géant avec 24 ou 48 pattes alors qu'un routeur en à en générale que 2 ou 3?

oui, bien sûr, sur un cisco, la commande est no switchport et configurer une adresse ip sur le port (ça devient une interface de routage).
Le reste c'est parce que tu ne connais que les petits routeurs d'accès, mais des grosses machines comme un 6500 ou un 7600 un 12000 ou pire un CRS1 pour se limiter à cisco sont de vrais routeurs avec quelques centaines d'interfaces parfois et des millions de paquets/seconde
les vlans servent essentiellement à limiter les domaines de broadcast, ils peuvent avoir un rôle sur la sécurité, mais minime en bloquant les connexions par protocoles non routables (netbeui par exemple autrefois).
Faire des vlans dans un réseau de 1000 machines a un sens , mais des vlans avec 3 machines, ça n'en a pas.
Reste qu'il est plus facile de filtrer par routage qu' autrement, mais un firewall est plus adapté au filtrage bien entendu qu'un routeur, ils peuvent être très efficaces aussi en pont.
dans votre réseau,
les serveurs des clients sont sur internet (web) ou dans des vpn ?

Réponse

+1

lsda26 29 déc. 2010 à 12:14

Bonjour,

-> Oui, le Vlan va securiser tes machines dans le sens où il va isoler un domaine de broadcast et interdire toute communication entre machines de différents Vlan

Mais :

Dans ton schéma, il n'y a qu'une seule machine par vlan ! : tu vas donc les isoler les unes des autres ... et vu qu'elles sont seules et qu'elles ont besoin de communiquer entre elles, tu es donc obligé de repasser par un étage de 'routage'.
Attention elle ne doivent justement pas communiquer entre elles! Seul le serveur de sauvegarde doit pouvoir communiquer avec les server1 et 2 mais le serveur 1 et 2 ne doivent pas pouvoir communiquer en eux!

Pour la sécurité, de toute façon, à la base, tu es censé les sécuriser individuellement : là, tu nous dis que le serveur de sauvegarde va devoir communiquer avec les 2 autres : il va donc bien falloir autoriser la communication ? donc, si qqu'un prend le ctrl de du sauvegarde, il aura accès (tout du moins ce sera joignable) aux stations en face

C'est pour cela que tu vas faire des acl pour contrôler un minimum mais logiquement, tu devrais avoir une couche de firewall.

Tes serveurs 1 & 2 seront bien isoles l'un de l'autre ... mais uniquement en L2 : pour joindre le 'sauvegarde', ils vont passer par l'étage de routage : du coup, 1 & 2 pourront communiquer : tu vois donc que le Vlan ne va ici pas te sécuriser totalement. Donc, ACL entre 1 & 2
C'est claire que je pensais de toute façon mettre des ACLs entre les réseaux. Du genre autoriser l'initiation d'une connexion que dans le sens sauvegarde=>server1 ou 2 mais pas dans le sens inverse et autoriser que le port 445 par exemple pour le transfère. et interdire tout tranfère entre 1 et 2
Maintenant que va m'apporter en plus un firewall? le filtrage logiciel si j'utilise un soft de ghost comme acronis en ne laissant passer que lui et rien d'autre?

Quid de l'acces internet par le serveur de sauvegarde ? autorisé ? : idem, il va falloir que tu filtres bien qui accede au sauvegarde vu qu'il va lui aussi être joignable par rebond du 1 ou 2
Le serveur de sauvegarde sera bloqué par des les ACLs pour ne pas accéder au net

Pour le trunk, tu en fais quand tu communiques en L2 : ici, ce n'est pas ton cas puisque tu places tout le monde dans des vlan différents. La seule solution est donc de passer par un étage de routage : ce dont nous parlons depuis le début.
ok je commence à comprendre un peu mieux l'intérêt du trunk!

Ce pourrait être le routeur mais cela obligerait tous tes flux à tromboner entre ton 35 et le routeur : pas efficace efficace ...

Donc, tu fais un étage de routage sur ton 35 :entre serveurs 1 /2 & sauvegarde, le 35 joue plutôt le rôle de routeur plutot que switch. C'est pour cela que VU TON SCHEMA, la notion de Vlan n'est pas d'une grande utilité (ce qui n'est plus vrai si ton schéma ne fait pas apparaître toutes les machines )
voici le schéma actuel dans mon entreprise si ca peut t'aider a mieux comprendre pourquoi je voulais mettre du VLAN:
http://lsda26.free.fr/Visio-schema%20actuel.pdf

Ajouter un commentaire

brupala- 29 déc. 2010 à 12:43

arf,
un 851 ....
on est loin du 3550 avec un lacp sur 2 ports giga ...
Ce shéma est meilleur globalement,
le problème pour la sécurité, c'est ton routeur central, pas le 3550 Si les serveurs ont 2 cartes réseau, tu devrais en avoir une vers votre réseau interne et une vers le routeur 2 et deux réseaux ip sur chaque serveur.

lsda26 - 29 déc. 2010 à 13:33

le routeur avec ces 100 Mbits/s est une solution temporaire que j'ai mis en place pour pouvoir sauvegarder certain fichier des serveurs clients en attendant de passer par un switch Gbits.
Sur le schéma ci-dessus le 3550 n'est pas encore implanté, ce sont des switch 100Mbits aussi.
moi ce qui me gênait c'était de laisser tous les serveurs client dans un même sous réseau!
C'est pour ça que je pensais casser l'architecture existante pour la remplacer par des VLAN et un switch comme montré dans le premier schéma simplifié.

Voilà le schéma actuel et final que je pensais mettre en place pour rendre indépendant les serveurs clients entre eux mais pouvoir les sauvegarder sur le serveur prévus à cet effet.

http://lsda26.free.fr/Visio-reseau%20origine%20acorel%20et%20souhait%e9.pdf

Je sais plus trop quoi en penser maintenant.

Réponse

+1

Nico le Vosgien 1401Messages postés 23 février 2007Date d'inscription 21 décembre 2011Dernière intervention 29 déc. 2010 à 12:44

Attention elle ne doivent justement pas communiquer entre elles! Seul le serveur de sauvegarde doit pouvoir communiquer avec les server1 et 2 mais le serveur 1 et 2 ne doivent pas pouvoir communiquer en eux!

Oui ..mais ton acces internet te force à ouvrir la porte :)

Comme je te le proposais depuis le début et comme l'a ajouté brupala, si le probléme se cantonnais à tes serveurs 1 / 2 / sauvegarde, tu n'avais à faire que du niveau 2 : là, tout était bien étanche.

Le fait que 1 & 2 doivent acceder au net te force à passer par un étage de routage. Que ce soit le 35 ou le routeur, l'un ou l'autre va alors permettre une communication entre 1 & 2 : tu as obligation de placer des ACL.

Le fw est normalement plus intelligent qu'une ACL : il est capable par exemple de détecter des séquences tcp erronées ou anormales, il permet d'éviter certaines attaques, etc ...

Mais bon, si tu as des ACL 'béton', ça te mets normalement déjà bien à l'abri. Après, le risque classique est de supprimer l'acl, de la modifier incorrectement, etc : il faut bien faire attention qu'elle soit toujours conforme.

Pour ton schéma, je dirais que x vlan vont te permettre d'empecher les serveurs de communiquer "directement" (port à port) entre eux. Actuellement, si tout le monde est dans le même vlan, tu peux "t'amuser" avec des acl mac ... mais c'est un peu lourd à gérer.

En passant dans des vlan distincts, mais en créant un étage de routage pour ton acces au net , tu déplaces le probleme en L3 : acl ip donc (plus facile à gérer :) )

Pour ton serveur de sauvegarde, vu qu'il n'accedera pas au net, alors il serait bien de se pencher sur la proposition de brupala et de revenir à ma remarque initiale : pourquoi ne pas faire exclusivement du L2 pour lui ? il faut évidemment que ta carte réseau supporte le 802.1q (mais comme le dit brupala, si elle fait du lacp ...) et tu auras autant de sous interfaces que de vlan serveurs.

Par contre, il y a une grosse différence entre tes 2 schémas : le 1er faisait apparaître le sauvegarde sur le même switch que les serveurs : full L2 possible donc ..... mais ton dernier schéma indique que le sauvegarde est séparé des serveurs par un 851 !! : ce n'est plus du tout la même chanson : retour au routage initial à mon sens :)

Ajouter un commentaire

Réponse

+1

lsda26 29 déc. 2010 à 13:43

le routeur 851 avec ces 100 Mbits/s est une solution temporaire que j'ai mis en place pour pouvoir sauvegarder seulement certains fichiers des serveurs clients en attendant de passer par un switch Gbits et un systeme de sauvegarde par ghost et dump des BD.
Sur le schéma ci-dessus le 3550 n'est pas encore implanté, ce sont des switch 100Mbits.
moi ce qui me gênait c'était de laisser tous les serveurs client dans un même sous réseau!
C'est pour ça que je pensais casser l'architecture existante pour la remplacer par des VLAN et un switch comme montré dans le premier schéma simplifié.

Voilà le schéma actuellement en place et le schéma final que je pensais mettre en place pour rendre indépendant les serveurs web clients entre eux mais pouvoir les sauvegarder sur le serveur prévus à cet effet.

http://lsda26.free.fr/Visio-reseau%20origine%20acorel%20et%20souhait%e9.pdf

Je sais plus trop quoi en penser maintenant. Je suis dans le gaz complet avec ces histoire de VLANs, L2 et L3.
Comment faire du Full L2 si les serveur ne sont pas dans le même sous réseau? L'arp de pourra pas trouver la correspondance entre les Ip<=>MAC si il n'y a pas de routage entre les réseaux?

Ajouter un commentaire

brupala- 29 déc. 2010 à 15:20

Bon,
tu satures un peu là, je crois.
l'arp n'est pas bloqué par le non routage, au contraire c'est le routage qui bloque les broadcast ARP.
Et on peut faire de la commutation L2 avec plusieurs réseaux IP dans le même vlan, mais les broadcast seront vus de tout le monde.
en fait,
tu devrais faire comme tu as dit en fonction de ton existant, mais sans vlan: Sur ton 3550 12T, tu peux te faire des réseaux /30 sur chaque serveur (y compris celui de sauvegarde) ça revient au même que de faire des vlans si tu fais du routage par port.
avec tous ces petits /30, tu auras loisir de mettre des ACL dans tous les sens pour bloquer le traffic indésirable.
Comme c'est un réseau en production, avec des serveurs hébergeant des clients extérieurs en plus, commence par y aller mollo: autorise tout ce qui existe actuellement et réduis progressivement, ne fais pas de grand soir qui t'obligera certainement à revenir en arrière totalement.

lsda26 - 29 déc. 2010 à 16:17

En effet je sature là!

Et on peut faire de la commutation L2 avec plusieurs réseaux IP dans le même vlan, mais les broadcast seront vus de tout le monde.
tu parle des broadcast L2 ou L3?

Sur ton 3550 12T, tu peux te faire des réseaux /30 sur chaque serveur (y compris celui de sauvegarde) ça revient au même que de faire des vlans si tu fais du routage par port.
En gros dans ce cas le switch va uniquement faire office de gros routeur pouvant router 12 réseau max c'est ça (1 sous réseau par port)?

Le but était au final de manipuler quand même les vlan pour présenter ça pour une PTI car la manipulation des ACLs je l'est fait dans une autre PTI justement( pour l'implantation du routeur 851). Mais j'ai l'impression que je maîtrise pas du tout les vlans et surtout que je ne vois pas la différence entre des vlan et des sous réseau!

Je sent que cette pti vas se terminer par la démonstration de l'agrégation de lien entre le serveur de sauvegarde le switch et un autre serveur. tout ça dans des sous réseau en /30. Ça vous parait pas un peu léger?

brupala- 29 déc. 2010 à 16:44

tu parle des broadcast L2 ou L3?
les broadcast c'est toujours du L2 (trames avec premier octet impair,bit I/G à 1 en destination) même si on a une adresse broadcast au niveau du réseau IP, ça ne passe pas plus les routeurs.
Les routeurs ont même été inventés pour cela.

En gros dans ce cas le switch va uniquement faire office de gros routeur pouvant router 12 réseau max c'est ça (1 sous réseau par port)?
plus plein d'autres en vlans si tu veux :-)) rien que pour t'embrouiller mais dans le principe, ça peut être ça, oui.
le routage peut-etre fait sur un etherchannel aussi, je crois, à vérifier.

Le but était au final de manipuler quand même les vlan pour présenter ça pour une PTI car la manipulation des ACLs je l'est fait dans une autre PTI justement( pour l'implantation du routeur 851
en même temps le routage entre vlans, ce n'est que définir un plan de numérotation et coller une adresse ip sur une interface vlan, pas plus sorcier que sur une interface physique ou un CV, une interface virtuelle.

Mais j'ai l'impression que je maîtrise pas du tout les vlans et surtout que je ne vois pas la différence entre des vlan et des sous réseau!
beaucoup font l' amalgame, c'est vrai, mais ça n'est obligatoire que dans un sens:
un réseau ip ne peut pas être réparti sur plusieurs vlan, mais un vlan peut recevoir plusieurs réseaux ip, il faut bien comprendre que l'on est au L2 pour le vlan et au L3 pour IP
Les vlan ça revient à découper ton switch L2 en morceaux, en autant de petits switchs dans la même boite.
de ce fait, un vlan à 1 port ça n'existe pas (sur un switch L2) un vlan à 2 ports, c'est un câble, ça commence à devenir vrai à partir de 3 ports.

Réponse

+1

Nico le Vosgien 1401Messages postés 23 février 2007Date d'inscription 21 décembre 2011Dernière intervention 29 déc. 2010 à 15:08

Mais ton idée initiale n'est pas mauvaise : ça va fonctionner.

C'est juste qu'on essaie de voir ce qui serait éventuellement mieux suivant ce qu'on comprend de tes objectifs.

Au risque de t'embrumer encore un peu plus, tu peux mettre plusieurs réseaux dans un même vlan mais généralement, cela se produit dans des situations particulières d'exploitation. Quand on part comme toi d'une page blanche, il n'y a pas de raison de partir la dessus ... d'autant que ça te replacerait dans une situation identique à l'actuelle.

Autre question : comment tu fais pour mettre tous ces serveurs en etherchannel avec un 35-12T ? il te manque pas quelques ports ?!!!

===========================

Lance toi : ça s'éclaircira en cours de route !

Regarde cette histoire du support du 802.1q par ton serveur de sauvegarde. Pas de raison qu'il ne sache pas faire.

Si c'est ok : juste L2 sur le 35 et le routeur de droite se charge de l'accès au net pour tes serveurs.

Ajouter un commentaire

lsda26 - 29 déc. 2010 à 16:23

le 3550 12T est le switch que j'ai chez moi pour les tests et mes pti, au boulot je pensais leur faire acheter un 3560 24T giga pour faire le schéma finalque je vous ai donné, mais maintenant, avec tous ce que vous m'avez dis je sens que je vais pouvoir faire une croix sur le routage intervlan et vlan (vu que apparemment ça ne servirai à rien) et utiliser le 3560 seulement pour router plein de sous réseau (pour y mettre tout mes serveurs clients et mon réseau de l'entreprise) :).

Réponse

+1

lsda26 29 déc. 2010 à 17:39

Bon j'ai commencé à lire mes cours ccna3 (qui ne fait pas parti de mon cursus normalement) sur les vlans et je commence à un peu mieux comprendre leurs intérêt. Mais y a encore du boulot...

Ci j'ai bien compris, en fait les Vlan fonctionnent comme des sous réseau
=>donc limitation des domaines de diffusion, flux d'informations restreinte au vlan

Il semble en fait que les VLAN forment des poches étanches (comme les sous réseau) mais qui ne sont utiles qu'aux postes y appartenant!
Donc plusieurs postes pourront travailler ensemble sans polluer le reste du réseau avec des broadcast L2.

Donc si on a une seule machine par VLAN comme je voulais faire, il n'y a plus d'utilité.

Est-ce que vous pouriez me donner les différences entre un VLAN et un sous réseau svp? Ce qu'ils laissent chacun passer et bloquent (arp,broadcast L2 et L3 etc...)

Vlan: bloque les broadcast L2 et les unicasts entre 2 vlans ou un vlan et un sous reseau, ils peuvent être routé.

Les sous réseau: bloquent aussi les Broadcast L2 entre les sous réseaux et il peuvent être routé.

Alors pourquoi utiliser les VLans si ils font la même chose que les Sous réseaux?

J'abuse peut-être de votre temps! Mais est-ce qu'il vous serez possible de me faire un schéma ou un petit dessin comme les enfant :) je pense que je comprendrais mieux en mettant plusieurs pc avec les adresse ip et en indiquant des exemples de sous réseaux et de vlan en même temps afin de mieux comprendre leurs influence respective sur le traffic réseau.

Ajouter un commentaire

Afficher les 11 commentaires

brupala- 29 déc. 2010 à 18:01

La plus grosse différence c'est que les vlans font ça au niveau des trames, donc sur tous les protocoles réseau routables et non routables présent et à venir (si tout va bien).
Les routeurs ne prennent en compte que les protocoles qu'ils savent router (à la base) et bloquent tout le reste, mais on peut les configurer pour faire du "routage" multicast aussi.
Donc les vlans bloquent tout, et les routeurs bloquent tout sauf ce qu'on leur dit de router.
d'un autre côté,
on pourrait relier les vlans avec des ponts filtrants, ça existe encore sur certains switchs pour des protocoles à diffuser, mais non routables.
Les "sous" réseaux ne sont en rien étanches par eux mêmes: si il n' y a pas d' ACL, les routeurs vont acheminer le traffic qui leur est destiné de l'un à l'autre.
C'est pour cela que l'on configure des réseaux ip sur les vlans que l'on veut relier: pour pouvoir transmettre uniquement du traffic utile.

lsda26 - 29 déc. 2010 à 18:06

mince tu as répondu avant que je modifie mon message!
Du coup je sais pas si tu as lu ce que j'ai rajouté!

lsda26 - 29 déc. 2010 à 18:26

"La plus grosse différence c'est que les vlans font ça au niveau des trames, donc sur tous les protocoles réseau routables et non routables présent et à venir (si tout va bien).
Les routeurs ne prennent en compte que les protocoles qu'ils savent router (à la base) et bloquent tout le reste, mais on peut les configurer pour faire du "routage" multicast aussi.
Donc les vlans bloquent tout, et les routeurs bloquent tout sauf ce qu'on leur dit de router."

Ok donc les vlan bloques tout sauf si on les routes. mais les sous-réseau aussi tant qu'ils ne sont pas routé non?

Je dois être buté ou con pour pas arriver à comprendre ou voir la différence!

Nico le Vosgien- 29 déc. 2010 à 18:30

Il faut bien que tu intègres que tu es en train de comparer deux choses assez différentes : les Vlan sont des outils de niveau 2 gérés par des switchs.

Les sous réseaux sont une vue logique de l'adressage dans un but de routage : gerés par des routeurs mais aussi par des switchs 'avances' disposant de composants additionnels leur conférant la capacité de routage en plus de commuter. Ton 35 Cisco en est un exemple

Un routeur interconnecte des réseaux différents : chaque interface est un réseau différent : c'est pour cela qu'il bloque les broadcast. Son but est avant tout de permettre la communication entre ces réseaux : routage.

brupala- 29 déc. 2010 à 18:32

pour le dessin ?
on va faire plus simple:
prenons 2 adresses IP dans un réseau /24 très courant 192.168.1.1 et 192.168.1.130

tous les deux dans le même vlan (1) vont pouvoir discuter directement pas de souci.

Si on les met dans 2 vlans différents (1 et 2) ils ne discuteront plus, totalement isolés.

Si on relie les deux vlans par un routeur, ça ne fonctionnera pas non plus car le même réseau ip ne peut pas se trouver sur deux vlans.

il faut faire deux réseaux /25 192.168.1.0/25 avec une adresse de routeur/switchL3 dans le vlan 1 de 192.168.1.126 par exemple et 192.168.1.254/25 dans le vlan 2 par exemple pour qu'ils puissent à nouveau discuter par routage,

lsda26 - 29 déc. 2010 à 20:13

A méditer cet histoire de vlan!
Je vais donc présenter pout ma pti seulement l'agrégation de lien et le routage avec le switch L3 (j'espère que ça suffira!)
J'ai une petite question au niveau de du mode à choisir pour le protocole LACP à mettre entre le switch et les serveurs.
sur la doc cisco ils par de 3 modes pour le LACP:

For mode, select one of these keywords:
* active--Enables LACP only if an LACP device is detected.
It places an interface into an active negotiating state, in
which the interface starts negotiations with other interfaces
by sending LACP packets.
* auto--Enables PAgP only if a PAgP device is detected. It
places an interface into a passive negotiating state, in which
the interface responds to PAgP packets it receives but does
not start PAgP packet negotiation.
* desirable--Unconditionally enables PAgP. It places an
interface into an active negotiating state, in which the
interface starts negotiations with other interfaces by sending
PAgP packets.
* on--Forces the interface to channel without PAgP. With the
on mode, a usable EtherChannel exists only when an
interface group in the on mode is connected to another
interface group in the on mode.
* non-silent--If your switch is connected to a partner that is
PAgP-capable, you can configure the switch interface for
nonsilent operation. You can configure an interface with the
non-silent keyword for use with the auto or desirable mode.
If you do not specify non-silent with the auto or desirable
mode, silent is assumed. The silent setting is for connections
to file servers or packet analyzers. This setting allows PAgP
to operate, to attach the interface to a channel group, and to
use the interface for transmission.
* passive--Enables LACP on an interface and places it into a
passive negotiating state, in which the interface responds to
LACP packets that it receives, but does not start LACP
packet negotiation.

Sur wiki j'ai trouvé ça:
passif : l'équipement n'initiera pas de négociation LACP. Il répondra uniquement aux sollications des équipements « partenaires ».
actif : l'équipement initiera les négociations LACP.
on : l'équipement suppose que l'équipement partenaire est également dans ce mode et fera de l'agrégation de liens.
Deux ports passifs ne négocieront pas un Etherchannel. Un port actif et un port passif, de même qu'un port on et un port on/actif/passif négocieront un etherchannel. Tous les ports d'un groupe doivent obligatoirement être paramétrés à la même vitesse, même duplex (full/half).

Alors a quoi sert les mode actif et passif concrètement?
Est-ce que ça veut dire que si je met passif sur le switch du coté serveur sauvegarde et que je lance une demande de transfert depuis le serveur client cela ne fonctionnera pas? Ou bien est-ce que cela concerne seulement le dialogue concernant l'agrégation (nombre de port à utiliser etc...?

Sur les drivers marvell de mon serveur ils ne parlent pas de ça, j'ai juste: basic, classic, dynamic
apparemment dynamic gère le load balancing + failover et Augmentation de la bande passante mais necessite un equipement gérant la norme 802.3ad.
Les 2autres modes ne gère pas l'Augmentation de la bande passante.

Faut-il mettre le switche nemode "on" ou "active" ?

Nico le Vosgien- 29 déc. 2010 à 20:27

Le principe est de maîtriser qui initie le channel, qui ne fait que y répondre ... ou de faire en sorte que ça monte sans soucis :)

Si tes serveurs ne savent pas gérer le lacp, tu passes en ON coté switch, sinon, tu peux mettre le switch initiateur (active)

Ce parametre s'initie une fois : tes ports restent actifs et 'groupes' : la connectivité est constante. Evidemment, si le switch ou le serveur reload, il faudra renégocier pour que la connectivité soit de nouveau opérationnelle.

802.3ad c'est justement lacp :) : passe en dynamic et active : tu verras bien si cela monte.

Colle ta conf ici si tu as des doutes (show etherchannel sur le switch pour vérifier le status).

Pense également à activer le spanning tree ...

brupala- 29 déc. 2010 à 20:27

Il faut faire le test, mais je mettrais actif au moins ont sait qu'une négociation de l'agrégation devrait être tentée.

lsda26 - 29 déc. 2010 à 20:45

ca veut donc dire:
si un Equipement en passif reboot il ne recréera pas le channel?
Si un équipement en actif reboot il recréera la négociation pour recréer le channel?
et en On idem que active?
Si on actif d'un coté et passif de l'autre et que le passif reboot, est-ce que le lien va se reconstruire?

Nico le Vosgien- 29 déc. 2010 à 21:20

En passif ça veut dire qu'il montera le channel à l'initiation d'un peer : le peer sera tjs en actif si l'autre est passif. Donc oui, si le passif reboot, il va forcement recevoir un paquet "request lacp"

On, c'est sans controle lacp : c'est pour cela que ça marche (presque) toujours !

lsda26 - 29 déc. 2010 à 21:59

donc actif et actif on ne peut pas faire? il faut obligatoirement un passif et un actif?

Réponse

+1

lsda26 29 déc. 2010 à 20:23

pour le momment j'ai fait les commande ios pour gérer seulement le serveur sauvegarde et un serveur client pour l'agrégation sur le switch:

Groupement des ports pour l'agrégation en utilisant LACP 802.3d (couche 2): page652
Switch(config)# interface range gi0/1 -2
Switch(config-if-range)# channel-group 1 mode active =>Agrégation des 2 ports au group 1 en LACP active
Switch(config-if-range)# end
Switch(config)# interface range gi0/3 -4
Switch(config-if-range)# channel-group 2 mode active
Switch(config-if-range)# end

Assignation des interfaces de couche 3 aux groupes d'agrégation:
Switch(config)# interface port-channel 1 =>sélection du groupe d'agrégation 1
Switch(config-if)# no switchport => passe l'interface en mode couche 3
Switch(config-if)# ip address 192.168.0.100 255.255.255.0 =>attribution de son ip/masque
Switch(config-if)# end
Switch(config)# interface port-channel 2
Switch(config-if)# no switchport
Switch(config-if)# ip address 192.168.1.100 255.255.255.0
Switch(config-if)# end

Pourriez vous me dire si pour le moment c'est correct ou pas?

Est-ce que le spanningtree port fast suffit ou bien faut-il le spanning tree tout cours?

Ajouter un commentaire

Afficher les 8 commentaires

Nico le Vosgien- 29 déc. 2010 à 21:26

Pour le spanning-tree, j'avais encore en tête tes histoires de vlan :) . Si tu fais tout en routé : laisse de coté, ça ne sert à rien. (En passant, port fast est une fonction , pas un type de spanning tree)

Pour ta config port channel, ça semble ok. Si tu changes la nego des ports, pense à le faire de la même façon sur l'ensemble des ports du channel. Sinon, ça tombe.

lsda26 - 29 déc. 2010 à 22:02

tu veut parler du full duplex et half?

Nico le Vosgien- 29 déc. 2010 à 22:07

oui.

Speed / duplex / flow control / ....

lsda26 - 29 déc. 2010 à 22:30

Le meilleur est le full alors pourquoi en mettre un autre?

Nico le Vosgien- 29 déc. 2010 à 22:34

parce que parfois, tout ne se passe pas comme on le voudrait :)

Selon les constructeurs, les choses ne s'accordent pas comme on le penserait ou voudrait. Je te dis juste que SI tu changes les paramètres de port, il faut le faire partout.

lsda26 - 29 déc. 2010 à 22:39

ok merci je vais donc préciser la vitesse et la nego sur le switch et les serveur comme ça je serais sur qu'il seront synchro.

brupala- 29 déc. 2010 à 23:59

en 10/100 la négociation du mode full est importante, en gigabit ça se met d'office, heureusement .
vous connaissez des hubs gigabit ?

Nico le Vosgien- 30 déc. 2010 à 00:11

Ben il parle d'un 35-12T : ce sont des ports cuivre 10/100/1000 donc dans le principe, tu peux vite avoir un p'tit défaut de parallélisme ! :)

Réponse

+1

lsda26 30 déc. 2010 à 00:13

bon me revoilà!
j'ai voulu entrer la conf précédente et voila ce qu'il me dit lors de l'attribution d'une ip sur l'etherchannel:

Switch(config)#interface port-channel 1
Switch(config-if)#no switchport
Command rejected: Not a convertible port.
Switch(config-if)#ip address 192.168.0.100 255.255.255.0
^
% Invalid input detected at '^' marker.

Est-ce que ça viendrait pas du fait que l'on ne peut pas faire du routage et de l'etherchannel en même temps comme tu disais précédemment brupala

Ajouter un commentaire

Nico le Vosgien- 30 déc. 2010 à 00:19

Non, ce type de config est tout à fait supporté.

Tu as bien un no switchport sur tes interfaces physiques associées à ton channel ?

Réponse

+1

lsda26 15 janv. 2011 à 15:55

bonjour,
me voila de retour! :)
Bon j'ai pas mal avancé sur ce projet.
J'ai donc réussit à créer l'agrégation de lien entre mes pc et le switch 3550.
le transfert se fait bien mais pas d'augmentation de la bande passante.
Je crois que cela provient des drivers de mes cartes réseau marvell qui ne gère pas l'augmentation de la bande passante avec l'aggrégation de lien mais seulement la tolérance de panne et l'equilibrage de charge.

Le souci que j'ai, que mes pc n'arrivent pas à pinger la freebox en 192.168.0.254. Pourtant, mes mes pc se ping bien entre eux. Et du switch, j'arrive bien à pinger la freebox qui est en mode routeur.

j'ai donc mis en place 2 pc et le switch.
pc sauvegarde: 192.168.1.1 255.255.255.0 GW: 192.168.1.254
pc serveur web: 192.168.2.1 255.255.255.248 GW:192.168.0.6

Switch L3
Interface port-channel 1 192.168.1.254 255.255.255.0
Interface port-channel 2 192.168.2.6 255.255.255.248
Interface gi0/10 192.168.0.249 255.255.255.0

freebox v5
Interface LAN 192.168.0.254 255.255.255.0

j'ai ajouté une route par défaut dans le switch:
ip route 0.0.0.0 0.0.0.0 gi0/10 192.168.0.254

Je pense que le problème vient du fait que la freebox, ne connaissant pas les reseaux 192.168.1.0 et 192.168.2.0 elle n'arrive pas à renvoyer les paquets!

Est-il possible d'activer le ripv2 sur une freebox ou lui entrer des routes par defaut?

Voila la conf du switch:
Building configuration...

Current configuration : 1991 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Switch
!
enable secret 5 $1$iId5$B/7jmmEoVLcluDOlZORV0/
!
ip subnet-zero
ip routing
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
!
!
interface Port-channel1
description etherchannel_save
no switchport
ip address 192.168.1.254 255.255.255.0
!
interface Port-channel2
description etherchannel_client1
no switchport
ip address 192.168.2.6 255.255.255.248
!
interface GigabitEthernet0/1
no switchport
no ip address
duplex full
channel-group 1 mode active
spanning-tree portfast
!
interface GigabitEthernet0/2
no switchport
no ip address
duplex full
channel-group 1 mode active
spanning-tree portfast
!
interface GigabitEthernet0/3
no switchport
no ip address
duplex full
channel-group 2 mode active
spanning-tree portfast
!
interface GigabitEthernet0/4
no switchport
no ip address
duplex full
channel-group 2 mode active
spanning-tree portfast
!
interface GigabitEthernet0/5
no switchport
no ip address
spanning-tree portfast
!
interface GigabitEthernet0/6
no switchport
no ip address
spanning-tree portfast
!
interface GigabitEthernet0/7
no switchport
no ip address
spanning-tree portfast
!
interface GigabitEthernet0/8
no switchport
no ip address
spanning-tree portfast
!
interface GigabitEthernet0/9
no switchport
no ip address
spanning-tree portfast
!
interface GigabitEthernet0/10
description routeur Adsl
no switchport
ip address 192.168.0.249 255.255.255.0
!
interface GigabitEthernet0/11
switchport mode dynamic desirable
!
interface GigabitEthernet0/12
switchport mode dynamic desirable
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/10 192.168.0.254
ip http server
!
no cdp run
!
line con 0
line vty 0 1
password 7 070B285F5A081711
logging synchronous
login
transport input telnet
line vty 2 4
login
line vty 5 15
login
!
!
end

Switch#

Ajouter un commentaire

brupala- 15 janv. 2011 à 19:28

Effectivement, je pense que tu vas devoir configurer tes autres réseaux en routes statiques sur la fbx (vers 249) et je ne pense pas qu'ils aient prévu du rip dessus.
ça n'est quand même qu'une box, pas un vrai routeur.

Réponse

+0

lsda26 30 déc. 2010 à 00:57

non toute mes interfaces sont en switchport mode dynamic desirable

Sinon j'ai un autre soucis c'est que en mode dynamic sur mon serveur et en active ou en on sur le switch ca veut pas passer même sans routage.
Alors que en static sur le serveur et en active sr le switch sa passe et le failover aussi.
Par contre quand l'agrégation de lien répartit-il en pemanance sur les 2 carte oubien utilise t-il seulement la 2eme carte pour avoir les 2gb/s que lorsqu'il en a besoin?

Engros si entre mon serveur client et le switch je n'ai qu'un câble et que entre le serveur sauvegarde j'ai 2 cables avec l'etherchannel activé, est-ce que le serveur sauvegarde va répartir sur ses 2 cartes les 1gbits demandé par le client ou bien balancera t-il tout sur 1 seul carte tant que la demande ne dépasse pas les 1gbits?

Ajouter un commentaire

Afficher les 17 commentaires

Nico le Vosgien- 30 déc. 2010 à 01:24

Il faut que tu sipprimes les commandes switchport : tu fais du L3 là

Pour l'agrégation, le cisco va automatiquement repartir (source/destination).

Il sait aussi faire du backup : c'est à dire qu'il va utiliser moins de liens qu'il n'en dispose dans son channel. Au cas ou un lien actif tombe, il en monte un nouveau.

Par contre, je ne crois pas qu'il y ait des fonctions de débordement : en clair, tu utilises la totalité de la bande passante de ton channel actif (la répartition n'est jamais totalement équilibrée entre les différents liens : c'est fortement lié au trafic).

Dans ton cas, comme la source et la dest seront toujours identiques, il faudra peut être voir pour penser en load balance par paquets.

Et oui, si ton serveur est en etherchannel et pas tes clients, ton trafic sera bien reparti sur ton channel

lsda26 - 30 déc. 2010 à 01:34

je veut bien supprimer les commande switch port mais comment fait-on?

Bon j'ai fais des essais avec le câbles de chaque coté et pour le moment ya qu'en mode statique sur les serveurs que j'arrive à activer la connexion entre le switch et les serveurs.
PAr contre l'agrégation n'a pas l'air de fonctionner car quand je lance un transfert de fichier, ya qu'un seul led dur chaque channel qui clignote à fond et mon débit est le meme que sans channel.
Par contre, le transfert saute de port pendant le transfert!
Jai mis les port 1 et 2 en channel1 et les port 2 et 3 en channel 2.
Or, le transfert, commence entre le port 1 et 3 par exemple puis en cours de route ca bascule sur 2 et 3 ou 1 et 4 ou 2 et 4 ca change tout le temps. Je pense que ca doit etre le mode equilibrage de charge qui doit faire ça non?

Mais je n'arrive pas activer l'augmentation de bande passante!.

Nico le Vosgien- 30 déc. 2010 à 10:16

essaie directement un "no switchport" (je ne sais plus s'il va accepter).

Sinon, supprime la ligne en mettant un "no" devant (puis termine avec un "no switchport")

Pour l'équilibrage, oui, ça me semble normal : tu peux passer "show etherchannel summary " ?.

Qu'appelles tu "augmentation de la bande passante" ?

lsda26 - 30 déc. 2010 à 10:49

faut que je test de supprimer avant de mettre no switchport car quand j'avais voulus saisir no switchport directement il m'avait mis :
Switch(config)#interface port-channel 1
Switch(config-if)#no switchport
Command rejected: Not a convertible port.

Switch#sh etherchannel summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
u - unsuitable for bundling
U - in use f - failed to allocate aggregator
d - default port

Number of channel-groups in use: 2
Number of aggregators: 2

Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SD) LACP Gi0/1(I) Gi0/2(I)
2 Po2(SD) -

Switch#sh etherchannel
Channel-group listing:
----------------------

Group: 1
----------
Group state = L2
Ports: 2 Maxports = 16
Port-channels: 1 Max Port-channels = 16
Protocol: LACP

Group: 2
----------
Group state = L2
Ports: 0 Maxports = 8
Port-channels: 1 Max Port-channels = 1
Protocol: -

C'est bisard hier soir quand j'ai fait mes test de transfert j'etait bien en LACP dans protocol sur les 2 group

J'entends par augmentation de bande passante par le fais qu'il dois pouvoir dépasser les 120Mo/s en vitesse de transfère qui sont normalement la limite théorique pour le gigabits vu qu'avec 2 cable je devrait pouvoir ateindre les 2Gbits normalement donc 240Mo/s toujours théorique.
En pratique, avec un cable je ne dépasse pas les 55Mo/s en transfert par le switch 3550 donc j'espère pourvoir monter à 110Mo/s (avec un ssd crucial en lecture et un raid 0 logiciel avec 2disque de 1To samsung F1 de l'autre)

Nico le Vosgien- 30 déc. 2010 à 11:01

le "no switchport", c'est sur les interface PHYSIQUES qu'il faut le passer (G0/1, 0/2, ...).

Actuellement, ton channel et down et L2 : faut déjà régler cela car ce n'est pas bon

Pour le Giga, je ne sais pas trop d'où tu sors la limite à 120M. Pour moi, elle est beaucoup plus haute (sinon, l'interet ne serait pas bien clair !).Ca depend du type de trafic que tu envoies mais sur du imix, on va atteindre du 980M par port.

A mon sens, le 35 ne joue pas grand rôle dans tes soucis : la bande passante utilisée est plutôt du fait de tes serveurs. Je pense que ce sont eux (applicatif, ...), qui déterminent le taux de transfert.

Le 35 saura sans soucis écouler un tel trafic.

lsda26 - 30 déc. 2010 à 11:34

ok pour no switchport je vais essayer
Mais pour le momment c'est normal que je sois L2 car je n'ai pas encore utiliser le routage. j'ai mis mes 2 serveurs dans le même sous réseau.
J'essai de régler ce probleme de debit puis après je passerai au routage.

Je suis en train de faire d'autre test mais je crois que j'ai trouvé le souci pour le down du channel 2!
quand j'ai voulut changer le mode en "on" une seul des 2 liaison est passé en "on" du cout j'avais gi0/3 en active et gi0/7 en on

Pour l'instant j'essai de faire tourner la liaison avec un debit en 2 Gbits/s (2 cables).

Pour une connexion 1Gbits/s cela fait bien 120Mo/s en transfert non? 1 octet=8bits donc avec 1 seule liaison tu ne peut dépasser 120Mo/s. Les 980M dont tu parle doivent etre des Mbits/s

Je veut bien que le transfere de gros fichier soit limité à un moment mais en plus pendant le transfert j'ai jamais les 4 ports qui travaillenten memetemps, c'est toujours que 2 ports qui sont utilisés

lsda26 - 30 déc. 2010 à 11:58

bon apparement en "on" sur le switch je n'arrive pas a voir les protocole en LACP quand je fais un sh etherchannel et ce quelque soit le mode que je selectionne sur les serveur (statique,basic,dynamic)
Mais par contre la connexion fonctionne (en mode statique et basique sur le serveur) avec le failover qui fonctionne aussi.

apres verif sur la doc cisco je pense qu'il vaut mieux laisser en pasive:

on--Forces the interface to channel without PAgP. With the
on mode, a usable EtherChannel exists only when an
interface group in the on mode is connected to another
interface group in the on mode.

passive--Enables LACP on an interface and places it into a
passive negotiating state, in which the interface responds to
LACP packets that it receives, but does not start LACP
packet negotiation.

active--Enables LACP only if an LACP device is detected.
It places an interface into an active negotiating state, in
which the interface starts negotiations with other interfaces
by sending LACP packets.

Nico le Vosgien- 30 déc. 2010 à 12:35

Houla, je n'avais pas vu que tu jouais avec les unités ! Tu aimes te compliquer la vie ....

-> Pour l'etherchannel, à toi de voir ce qui te semble le plus approprié. Pour le "on", on en a déjà parlé plus haut : tu n'as pas de signalisation : normale que tu ne vois pas lacp ..

-> oui, 1Gb/s doit t'offrir du 120Mo. Dans ton cas, si tu ne passes pas 55Mo sur 1G, pour moi, ce n'est pas le fait du 35 mais plutot la gestion du transfert entre les 2 peer : il y a de grandes chances pour que ton debit n'augmente pas .... mais soit repartit sur les 2G :)

Cela peut également venir du type de trafic : s'il est tres homogene et que tu as beaucoup d'overhead, ce peut être l'explication pour que tu ne montes pas très haut.

Dans la pratique, avec un trafic imix (hétérogène donc), on dépasse même tes fameux 120Mo :)

-> Pour la répartition, je t'en ai déjà parlé : le cisco (et je ne parle que pour lui) va nativement effectuer un hashing en fonction des @ sources et @ destination. Si tu n'as que 2 peer qui échangent, les adresses ne changeant pas, la répartition risque d'être délicate à observer !!!

je suis d'ailleurs surpris que tu me dises que ça change de port ....il n'y aurait pas des bagots sur ces derniers ?

Cela peut se modifier mais comme au final, tu auras plusieurs serveurs clients (et 1 seul serveur de sauvegarde .... 1 seule dest donc), il faut voir si la répartition te conviendra ou pas ..

Reste aussi à voir comment tes serveurs gérent la chose : j'imagine que c'est traité dans la doc ?

brupala- 30 déc. 2010 à 13:14

Salut,
Effectivement, si tu n'as que 2 adresses mac qui discutent, le trames vont toutes emprunter le même port car les machines vont s'arranger pour qu'une même communication passe toujours dans le même tuyau tant qu'il n'est pas saturé (un lien gigabit va l' être difficilement avec un transfert de fichier, il vaut mieux utiliser iperf) en passant par le même tuyau ça évite le risque qu' un paquet arrive avant celui qui doit le précéder.
Si tu veux vraiment charger les deux liens du channel, il te faut plusieurs machines.

lsda26 - 30 déc. 2010 à 13:24

euh c'est quoi des bagots?

qpres quelques tests de transfert j'arrive a des taux entre 55 et 110Mo/s et ce sur 1 ou 2 lignes.
le fail over foctionne bien

En on et statique, les 4 port tournaient en meme temps alors que hier quand j'ai testé en active et static le transfert basculait de port en port.

Bon je vais te laisser soufler car j'ai 2 chapitre cisco a voir d'ici ce soir et je serais pas dispo avant lundi alors reprends quelques forces et a lundi soir! :)

En tout cas merci pour ton aide et ton temps passé!!!!

On verra le routage après...

lsda26 - 30 déc. 2010 à 13:26

salut brupala, tu pense pas qu'avec un ssd crucial et un raid 0 je puisse saturer le giga en copiant du ss au raid??

Nico le Vosgien- 30 déc. 2010 à 13:35

Oui désolé : bagot, est un terme pour signifier que la liaison n'est pas stable. Ce qui pourrait expliquer pourquoi tu ne restes pas sur la même liaison. (http://fr.wiktionary.org/wiki/bagotter)

Mais bon, ne connaissant pas exactement comment tu procèdes à ton test, ce phénoméne est peut être normal ....

brupala- 30 déc. 2010 à 13:37

effectivement,
avec ça on peut débiter plus :-)

lsda26 - 30 déc. 2010 à 14:27

je suis pas certain du debit en ecriture que je peut avoir avec mes 2 sinpoint F1 en raid 0 par contre.
J'avais cru lire sur le web que l'on pouvait charger un fichier en ram et l'envoyer et de le récupérer en ram à l'autre bout , pour ne plus etre dépendant de des disques. Il me semble que c'etait pour des test de débit réseau d'ailleur.
Mais je ne sais plus comment ils faisaient ni quel soft ils utilisaient

brupala- 30 déc. 2010 à 15:10

Iperf dont j'ai parlé plus haut ?

lsda26 - 30 déc. 2010 à 15:24

j'arrive pa s trouver un version en interface graphique qui fonctionne, j'ai que la 2.0.2 en bat
sinon j'ai trouvé ça qui marche super!
http://www.superspeed.com/desktop/ramdisk.php
qui est bien plus simple en utilisation pour tester du transfert a condition d'avoir pas mal de ram!!!

brupala- 30 déc. 2010 à 15:34

http://www.softpedia.com/get/Network-Tools/Network-Testing/JPerf.shtml

Réponse

+0

lsda26 15 janv. 2011 à 22:23

Au fait bonne année vous et bonne santé!!!
je veut bien le faire en statique mais comment? je ne vois nulle part une option sur la console de conf du site de free?

Si on passe la freebox en bridge (non routeur) puis-je configurer le switch pour gérer l'adresse publique fixe que j'ai? peut-il remplacer le routeur pour se raccorder au wan?

Je devrais faire ma demo le jour de l'exam sur une livebox! peut-on ajouter des route statique dessus?

Ajouter un commentaire

brupala- 15 janv. 2011 à 23:58

Effectivement:
pas de routes statiques sur la freebox et si je me souviens bien on ne peut pas configurer de nat sur un 3550, il faut donc rajouter un vrai routeur entre la freebox et le switch, la fbx étant en mode bridge.
sur la lb2, il ya une table de routes statiques, sur les anciennes, je ne me souviens plus.

Réponse

+0

lsda26 21 janv. 2011 à 09:31

Voilà, j'ai finit par mettre en place mes acl!
Je voudrais avoir votre avis!
Peut-on simplifier cela ou pas

Nouveau taleau d'adressage:
@IP Masque @Passerelle
Serveur sauvegarde 192.168.2.1 255.255.255.248 192.168.2.6
Server Web 1 192.168.2.9 255.255.255.248 192.168.2.14
Server Web 2 192.168.2.17 255.255.255.248 192.168.2.22

Switch 3550 L3
Interface gi0/1 192.168.2.6 255.255.255.248
Interface gi0/2

Interface gi0/3 192.168.2.14 255.255.255.248
Interface gi0/4

Interface gi0/5 192.168.2.22 255.255.255.248
Interface gi0/10 80.0.0.2 255.255.255.252

Pc représentant une connexion par internet
PC 80.0.0.1 255.255.255.252 80.0.0.0 80.0.0.3

Pour les ACLs:
- le serveur de sauvegarde ne peut se connecter au serveurs web que par le port 445 pour les transfère par robocopy (batch).
- Les serveur web peuvent se connecter au serveur de sauvegarde par le port 445 et répondre sur le port 80 à n'importe quelle @ip sauf une @ip appartenant à 192.168.2.0/24 pour autoriser la consultation des sites web qu'ils hébergent à un client venant du net mais pas d'un autre serveur web hébergé par ACOREL. De même l'accès vers des site web sur le net est autorisé pour pouvoir naviguer sur le net depuis les serveurs web.

access-list etendue 110 : Autoriser l'accès du serveur sauvegarde aux serveurs Web par le port 445 + le ping et bloquer tout le reste:
Switch (config)# access-list 110 permit tcp host 192.168.2.1 192.168.2.1 0.0.0.255 eq 445
Switch (config)# access-list 110 permit tcp host 192.168.2.1 eq 445 192.168.2.1 0.0.0.255
Switch (config)# access-list 110 permit icmp host 192.168.2.1 192.168.2.1 0.0.0.255

access-list etendue 120 : Autoriser l'accès des serveurs Web 1 au proxy et au
serveur sauvegarde et bloquer tout le reste:
Switch (config)# access-list 120 permit tcp host 192.168.2.9 host 192.168.2.1 eq 445
Switch (config)# access-list 120 permit tcp host 192.168.2.9 eq 445 host 192.168.2.1
Switch (config)# access-list 120 permit icmp host 192.168.2.9 host 192.168.2.1
Switch (config)# access-list 120 permit tcp host 192.168.2.17 host 192.168.2.1 eq 80
Switch (config)# access-list 120 deny tcp host 192.168.2.9 192.168.2.1 0.0.0.255 eq 80
Switch (config)# access-list 120 permit tcp host 192.168.2.9 any eq 80
Switch (config)# access-list 120 permit tcp host 192.168.2.9 eq 80 any gt 1023

access-list etendue 121 : Autoriser l'accès des serveurs Web 2 au proxy et au
serveur sauvegarde et bloquer tout le reste:
Switch (config)# access-list 121 permit tcp host 192.168.2.17 host 192.168.2.1 eq 445
Switch (config)# access-list 121 permit tcp host 192.168.2.17 eq 445 host 192.168.2.1
Switch (config)# access-list 121 permit icmp host 192.168.2.17 host 192.168.2.1
Switch (config)# access-list 121 permit tcp host 192.168.2.17 host 192.168.2.1 eq 80
Switch (config)# access-list 121 deny tcp host 192.168.2.17 192.168.2.1 0.0.0.255 eq 80
Switch (config)# access-list 121 permit tcp host 192.168.2.17 any eq 80
Switch (config)# access-list 121 permit tcp host 192.168.2.17 eq 80 any gt 1023

Application de la liste de règles 110 à l'interfaces port channel 1 :
Switch (config)# interface port-channel 1
Switch (config-if)# ip access-group 110 in

Application de la liste de règles 121 à l'interfaces port channel 2 :
Switch (config-if)# interface port-channel 2
Switch (config-if)# ip access-group 120 in

Application de la liste de règles 121 à l'interfaces port channel Gi0/5 :
Switch (config-if)# interface Gi0/5
Switch (config-if)# ip access-group 121 in

Merci d'avance pour vos conseils!

Ajouter un commentaire

Réponse

+0

lsda26 24 févr. 2011 à 17:57

Bonjour,
je revient sur le Switch de niveau 3 et le routage.
Sans parler d'agrégation de lien.

Ne peut-on pas utiliser un routeur type cisco 1921 par exemple, et lui créer autant d'interfaces virtuelles que de serveurs clients + 1 interface virtuelle pour le serveur de stockage et router tous cela avec des ACLs?

La différence que je vois comparé à au switch L3, c'est qu'avec le routeur 1921 j'aurais seulement 1 port physique pour 6 ou 7 sous-réseaux => bande passante partagé. Mais si mes transfert des ghost se font en décalé j'aurais bien 1Gigabit de dispo pour un prix 4x moindre?

L'avantage du switch est de pouvoir faire de pouvoir transferer en simultané à 1Gb/s les ghosts de tout les serveur. Mais pour celà il faut encore que le debit des disque sur le serveur de stockage soit assez rapides et d'avoir suffisamment de carte réseau.

Donc si, je ne mettait pas d'etherchannel est-ce que la solution du routeur de serait pas la meilleur?

Ajouter un commentaire

Réponse

+0

lsda26 31Messages postés 3 avril 2007Date d'inscription 2 mars 2012Dernière intervention 24 févr. 2011 à 19:50

Euh je crois que j'ai encore dit une connerie!!! Il me faudra bien un switch pour tout raccorder au routeur!!!

Par contre j'ai quand même encore un peut de mal à justifier un choix entre le VLAN et le routage inter réseau dans mon cas présenté!

Vlan: permet d'empêcher, quelqu'un de joindre un autre serveur client en changeant seulement @IP
routage+acl: Idem en bloquant tout sauf l'adresse du serveur

Vlan:arret des broadcast =>idem avec un sous réseau+ ACLs

Vlan plus rapide que le routage: interessant pour le transfert des ghosts vers le serveur de stockage. routage vers le net largement suffisant.

Donc d'après vous vaut-il mieux:
Rester en L2 avec des Vlan entre les serveurs client et avec le serveur de sauvegarde appartenant à tout les vlans (plusieurs interface virtuelles) et router les serveurs client pour accéder au net ou bien faire du routage de sous réseaux avec Acls (un peu plus compliquées car faut filtrer gérer le serveur de stockage dans les acls)?

PS: pour utiliser plusieurs interfaces sur le serveur de stockage il faut utiliser les vlans de niveau 2 sur le switch non? car en vlan N1 je crois que l'on ne peut pas attribuer un port à plusieurs VLAN?

Ajouter un commentaire

brupala- 26 févr. 2011 à 10:15

un vlan , c'est un vlan, les niveaux 1 , 2 ou 3 ça n'existe pas, ça ne concerne que l'affectation des machines dans les vlans, pas le fonctionnement des switchs.
mais les vlans autrement que par port sont très difficiles à administrer, les constructeurs abandonnent les autres notions au profit du routage L3.
enfin,
un port d'accès non taggé a un seul vlan et un port taggé peut propager tous les vlans, il doit être connecté à un autre port taggé.
enfin,
quelqu'un qui change son adresse ip, si elle ne correspond pas au réseau du routeur ne pourra plus communiquer avec personne car le routeur ne saura pas l'accéder.
les vlans ne servent qu'à réduire les domaines de broadcast.

Routage inter-vlan,switch N3, etherchannel

Routage inter-vlan,switch N3, etherchannel »

Passage au tout numérique : quel coût pour les particuliers ?