routage inter-vlan,switch N3, etherchannelFermé

Question

Bonjour,
afin de présenter une PTI dans le cadre de mes études, je souhaiterai faire du routage inter-vlan+etherchannel avec un switch de niveau 3

Un shémat valant mieux que de longs discours. 
http://lsda26.free.fr/Visio-shemat.pdf

Le but étant de faire de l'agrégation de lien entre chaque serveur et le switch afin de passer en 2Gbit et ainsi diminuer le temps de transfert des sauvegarde (ghost+dump BD)
Les contraintes:
- Seul le serveur de sauvegarde pourra accéder à tous les VLAN sinon les VLAN ne devront pas communiquer entre eux.
- Les serveur 1 et 2 devront pouvoir accéder au net par le routeur.
- team des 2 cartes réseau de chaque serveur

je ne sais pas trop par quoi commencer!
-Faut-il créer l'agrégation et après les VLAN?
-Je pensais faire du VLAN par port (N1) car il me semble pas faisable de faire du vlan dynamique combiné avec de l'etherchannel.
-Comment gérer le routeur pour qu'il soit accessible par les serveur 1 et 2? faut-il le mettre lui aussi dans un VLAN et autoriser le routage des vlan 2 et 3 net le routeur?
-Faut-il pour que le serveur de sauvegarde puisse accéder au serveurs 1 et 2 créer un trunk?
-Comment combine t-on le VLAN et l'etherchannel en commande IOS.
-quel mode team dois-j prendre (static, dynamic,  basic)? quel est la différence entre les 3 modes?

Que de questions en suspend!

Merci d'avance pour votre aide!

Nico le Vosgien · Answer

Bonjour,

Effectivement, que de questions !!

Moi j'en aurais une autre : pourquoi passer par du Vlan sachant que tu n'as jamais plus d'une machine dans ces fameux Vlan !

Si mes souvenirs ne font pas défaut, me semble que le 3550 saura faire en routé.

Après, si tu y tiens vraiment, fais du Vlan, ça fonctionnera aussi.

-Faut-il créer l'agrégation et après les VLAN?

Fais les vlan en 1er puisqu'il te les faudra pour les configs de ports et donc d'agrégation 

-Je pensais faire du VLAN par port (N1) car il me semble pas faisable de faire du vlan dynamique combiné avec de l'etherchannel.

Vlan dynamique ???? pour quoi faire compliqué quand on fait déjà compliqué ?

-Comment gérer le routeur pour qu'il soit accessible par les serveur 1 et 2? faut-il le mettre lui aussi dans un VLAN et autoriser le routage des vlan 2 et 3 net le routeur?

Et si tu oubliais un peu les vlan ?

-Faut-il pour que le serveur de sauvegarde puisse accéder au serveurs 1 et 2 créer un trunk?

Tous tes serveurs sont dans des vlan différents : va donc falloir router quelque part. Le plus logique est sur le switch, sinon, ça va te forcer à remonter vers ton routeur. Donc, avec le routage d'activer sur le 35, tout ton petit monde communiquera sans soucis

-Comment combine t-on le VLAN et l'etherchannel en commande IOS.

Ca se passe très bien : Cisco est ton ami ? ;)

-quel mode team dois-j prendre (static, dynamic, basic)? quel est la différence entre les 3 modes? 

Mode 'team' ... kesako ?
Tu parles de l'etherchannel ? idem : cisco te dira tout ... mais on peut donner un coup de main ...


Autre petite chose :

- Seul le serveur de sauvegarde pourra accéder à tous les VLAN sinon les VLAN ne devront pas communiquer entre eux. 

Va également falloir que tu te penches sur les ACL ...

lsda26 · Answer

"Moi j'en aurais une autre : pourquoi passer par du Vlan sachant que tu n'as jamais plus d'une machine dans ces fameux Vlan ! " 

 Je pensais faire du vlan car dans mon cahier des charge il est mentionné que chaque serveur devra appartenir à un réseau différent. Ce sont des serveurs de nos clients que l'on héberge et qui sont parfois concurrents. 

"-Je pensais faire du VLAN par port (N1) car il me semble pas faisable de faire du vlan dynamique combiné avec de l'etherchannel.  

Vlan dynamique ???? pour quoi faire compliqué quand on fait déjà compliqué ? " 

Je voulais dire par là, faire du VLAN de niveau 2 en renseignant quel adresse mac devaient appartenir à quel vlan. Mais d'après ce que j'ai cru comprendre, l'agrégation est basé sur des ports fixe du switch donc ne pourrai pas suivre si on change les port utilisé par les serveur1 et 2 non? 

"-Comment gérer le routeur pour qu'il soit accessible par les serveur 1 et 2? faut-il le mettre lui aussi dans un VLAN et autoriser le routage des vlan 2 et 3 net le routeur?  

Et si tu oubliais un peu les vlan ? " 

Ma question à finalement un sens vu que j'ai besoin des vlan! :) 

"Tous tes serveurs sont dans des vlan différents : va donc falloir router quelque part. Le plus logique est sur le switch, sinon, ça va te forcer à remonter vers ton routeur. Donc, avec le routage d'activer sur le 35, tout ton petit monde communiquera sans soucis " 
Je pensais effectivement utiliser le 3550 pour faire le routa et pas le routeur. 
Mais j'ai un peu de mal à piger le "trunk".  

"Mode 'team' ... kesako ?  
Tu parles de l'etherchannel ? idem : cisco te dira tout ... mais on peut donner un coup de main ... " 
Le teaming est l'agrégation de lien sous windows comme le bonding sous linux et l'etherchannel chez cisco. heureux de pouvoir t'apprendre quelque chose! ;) 

"Va également falloir que tu te penches sur les ACL ..." 
Pour les Acls, je devrait pouvoir m'en sortir, j'en ai déjà placé sur un routeur alors j'imagine que ça doit être pareil?

Nico le Vosgien · Answer

-> Pour les vlan, je reste sceptique : dans la mesure où tu n'as qu'une seule machine ... je ne vois pas trop l'intérêt. Ton schéma montre d'ailleurs que tes différentes stations sont déjà dans des réseaux différents !.

Ma foi, nous dirons que passer immédiatement en Vlan préparera "l'avenir' : lorsqu'il y aura plusieurs machine par réseaux.

-> Pour les vlan static / dyn, oui, cela risque d'être beaucoup plus simple en static.

-> Pour le routeur, vu que ton 35 va router pour l'inter vlan, non, je ne vois pas bien l'interet de le passer en vlan ... mais si tu y tiens :)  

-> Pour le trunk, c'est une notion qui te permet de faire passer plusieurs tag (vlan) sur une même liaisons (généralement, c'est du dot1q) : ici, je ne vois pas bien l'utilité

-> Pour le team, connaissais pas ! ... mais j'apprends tous les jours ;)


y'a plus qu'à donc ....

lsda26 · Answer

"Pour les vlan, je reste sceptique : dans la mesure où tu n'as qu'une seule machine ... je ne vois pas trop l'intérêt. Ton schéma montre d'ailleurs que tes différentes stations sont déjà dans des réseaux différents !. 

Ma foi, nous dirons que passer immédiatement en Vlan préparera "l'avenir' : lorsqu'il y aura plusieurs machine par réseaux."

=>Il me semble que si quelqu'un se branchait sur un des Vlan de niveau 1 il ne pourrait pas basculer sur les autres serveur juste en changeant d'adresse mac ou d'IP.
Avec la solution actuellement en place dans mon entreprise, tous les serveur web de nos clients sont dans un même sous réseau. Il suffit qu'un seul soit piraté pour qu'il est accès à toute les base de données sur les autres.
C'est sur que pour ce qui est des problèmes diffusion ou de collision, les VLANs vont pas révolutionner la chose vu qu'il y a peut de serveur au total (6 serveurs hébergé). C'était plus du point de vu sécurité. Maintenant j'ai peut être tort! Mais pourrai-tu m'expliquer une autre solution alors?
Sur le schéma j'ai mis chaque serveur dans des réseaux différent pour pouvoir router.
D'après ce que j'ai pu apprendre jusqu'ici il faut bien avoir des réseaux différent pour pouvoir router non? (actuellement dans mon entreprise tout les serveurs sont dans un même réseau).



"Pour le routeur, vu que ton 35 va router pour l'inter vlan, non, je ne vois pas bien l'intérêt de le passer en vlan ... mais si tu y tiens :)"

=>ok je laisserai hor VLAN.

"Pour le trunk, c'est une notion qui te permet de faire passer plusieurs tag (vlan) sur une même liaisons (généralement, c'est du dot1q) : ici, je ne vois pas bien l'utilité "
=>justement c'est bien ce qu j'avais compris mais en partant du principe que le serveur de sauvegarde allait devoir récupérer les trames des autres vlan (serveur client) je me disais q'il fallait peut-etre placer sont port en trunk (Un peu comme un port trunk entre un  routeur et un switch où plusieurs tags arrivent à lui).
J'ai toujours du mal à savoir quand est-ce qu-il en faut un ou pas!

brupala · Answer

Salut,
En étudiant vos propositions à tous les deux, je réalise qu'en fait il y a un réseau IP de trop:
Le serveur de sauvegarde devrait avoir deux interfaces (virtuelles) , une dans chaque vlan de serveur.
Le 3550 ne devrait pas router et le routeur devrait gérer l'accès externe des deux réseaux 192.168.1.0/24 et 192.168.2.0/24 sans router entre eux.
LE 3550 n'aura qu'à gérer deux vlans et 3 etherchannel.
vu l'objectif à atyteindre (héberger et sauvegarder deux serveurs à isoler entre eux).

Nico le Vosgien · Answer

Bonjour, 

Je pense que tu fais une confusion entre commutation et routage. 

-> Oui, le Vlan va securiser tes machines dans le sens où il va isoler un domaine de broadcast et interdire toute communication entre machines de différents Vlan  

Mais : 

Dans ton schéma, il n'y a qu'une seule machine par vlan !  : tu vas donc les isoler les unes des autres ... et vu qu'elles sont seules et qu'elles ont besoin de communiquer entre elles, tu es donc obligé de repasser par un étage de 'routage'.  

Après, si tu as plusieurs machines dans un même réseau, alors oui, c'est plus logique. 

Pour la sécurité, de toute façon, à la base, tu es censé les sécuriser individuellement : là, tu nous dis que le serveur de sauvegarde va devoir communiquer avec les 2 autres : il va donc bien falloir autoriser la communication ? donc, si qqu'un prend le ctrl de du sauvegarde, il aura accès (tout du moins ce sera joignable) aux stations en face 

C'est pour cela que tu vas faire des acl pour contrôler un minimum mais logiquement, tu devrais avoir une couche de firewall. 

Tes serveurs 1 & 2 seront bien isoles l'un de l'autre ... mais uniquement en L2 : pour joindre le 'sauvegarde', ils vont passer par l'étage de routage : du coup, 1 & 2 pourront communiquer : tu vois donc que le Vlan ne va ici pas te sécuriser totalement. Donc, ACL entre 1 & 2 

Quid de l'acces internet par le serveur de sauvegarde ? autorisé ? : idem, il va falloir que tu filtres bien qui accede au sauvegarde vu qu'il va lui aussi être joignable par rebond du 1 ou 2 



Pour le trunk, tu en fais quand tu communiques en L2 : ici, ce n'est pas ton cas puisque tu places tout le monde dans des vlan différents. La seule solution est donc de passer par un étage de routage : ce dont nous parlons depuis le début. 

Ce pourrait être le routeur mais cela obligerait tous tes flux à tromboner entre ton 35 et le routeur : pas efficace efficace ... 

Donc, tu fais un étage de routage sur ton 35 :entre serveurs 1 /2 & sauvegarde, le 35 joue plutôt le rôle de routeur plutot que switch. C'est pour cela que VU TON SCHEMA, la notion de Vlan n'est pas d'une grande utilité (ce qui n'est plus vrai si ton schéma ne fait pas apparaître toutes les machines )

lsda26 · Answer

"brupala 29 déc 2010 à 10:52 
Salut,  
En étudiant vos propositions à tous les deux, je réalise qu'en fait il y a un réseau IP de trop: 
Le serveur de sauvegarde devrait avoir deux interfaces (virtuelles) , une dans chaque vlan de serveur.  
Le 3550 ne devrait pas router et le routeur devrait gérer l'accès externe des deux réseaux 192.168.1.0/24 et 192.168.2.0/24 sans router entre eux.  
LE 3550 n'aura qu'à gérer deux vlans et 3 etherchannel.  
vu l'objectif à atyteindre (héberger et sauvegarder deux serveurs à isoler entre eux)." 

Ca y est il vient m'embrouiller l'esprit!!! ;) lol 
jevois pas bien ce que tu entend par "deux interfaces (virtuelles)"! tu veut dire une carte réseau avec une ip appartenant à 192.168.1.0 et l'autre en 192.168.2.0 comme ça on supprime un VLAN? Mais alors plus d'agrégation entre le serveur de sauvegarde et le switch! 
Ou bien veut-tu dire que l'on garde l'agrégation et on ajoute une seconde adresse IP sur le serveur de sauvegarde en passant par les propriété réseau de la nouvelle interface réseau en team? En sachant que sur mon schéma j'ai que 2 postes mais dans la réalité j'en aurais 6 donc 6 adresse (donc une dans chaque VLAN). 

Ce que je ne comprend pas c'est comment les serveur 1 et 2 vont-il pouvoir aller sur le net vu qu'il ne pourront pas sortir de leur VLAN et donc pas accéder au routeur (à moins de déclarer l'interface du routeur aussi dans les vlan des serveurs 1 et 2) 
Il me semblait que pour pouvoir faire circuler des infos hors des VLans il fallait faire du routage inter-vlan?

Ci ce que tu dis fonctionne, ça ne m'arrange pas car je pensais pouvoir montrer le routage par le switch de niveau 3 dans ma PTI. :(

lsda26 · Answer

Bonjour, 

-> Oui, le Vlan va securiser tes machines dans le sens où il va isoler un domaine de broadcast et interdire toute communication entre machines de différents Vlan 

Mais : 

Dans ton schéma, il n'y a qu'une seule machine par vlan ! : tu vas donc les isoler les unes des autres ... et vu qu'elles sont seules et qu'elles ont besoin de communiquer entre elles, tu es donc obligé de repasser par un étage de 'routage'. 
Attention elle ne doivent justement pas communiquer entre elles! Seul le serveur de sauvegarde doit pouvoir communiquer avec les server1 et 2 mais le serveur 1 et 2 ne doivent pas pouvoir communiquer en eux!

Pour la sécurité, de toute façon, à la base, tu es censé les sécuriser individuellement : là, tu nous dis que le serveur de sauvegarde va devoir communiquer avec les 2 autres : il va donc bien falloir autoriser la communication ? donc, si qqu'un prend le ctrl de du sauvegarde, il aura accès (tout du moins ce sera joignable) aux stations en face 

C'est pour cela que tu vas faire des acl pour contrôler un minimum mais logiquement, tu devrais avoir une couche de firewall.

Tes serveurs 1 & 2 seront bien isoles l'un de l'autre ... mais uniquement en L2 : pour joindre le 'sauvegarde', ils vont passer par l'étage de routage : du coup, 1 & 2 pourront communiquer : tu vois donc que le Vlan ne va ici pas te sécuriser totalement. Donc, ACL entre 1 & 2
C'est claire que je pensais de toute façon mettre des ACLs entre les réseaux. Du genre autoriser l'initiation d'une connexion que dans le sens sauvegarde=>server1 ou 2 mais pas dans le sens inverse et autoriser que le port 445 par exemple pour le transfère. et interdire tout tranfère entre 1 et 2
Maintenant que va m'apporter en plus un firewall? le filtrage logiciel si j'utilise un soft de ghost comme acronis en ne laissant passer que lui et rien d'autre?

 
Quid de l'acces internet par le serveur de sauvegarde ? autorisé ? : idem, il va falloir que tu filtres bien qui accede au sauvegarde vu qu'il va lui aussi être joignable par rebond du 1 ou 2
Le serveur de sauvegarde sera bloqué par des les ACLs pour ne pas accéder au net


Pour le trunk, tu en fais quand tu communiques en L2 : ici, ce n'est pas ton cas puisque tu places tout le monde dans des vlan différents. La seule solution est donc de passer par un étage de routage : ce dont nous parlons depuis le début.
ok je commence à comprendre un peu mieux l'intérêt du trunk!

Ce pourrait être le routeur mais cela obligerait tous tes flux à tromboner entre ton 35 et le routeur : pas efficace efficace ... 

Donc, tu fais un étage de routage sur ton 35 :entre serveurs 1 /2 & sauvegarde, le 35 joue plutôt le rôle de routeur plutot que switch. C'est pour cela que VU TON SCHEMA, la notion de Vlan n'est pas d'une grande utilité (ce qui n'est plus vrai si ton schéma ne fait pas apparaître toutes les machines )
voici le schéma actuel dans mon entreprise si ca peut t'aider a mieux comprendre pourquoi je voulais mettre du VLAN:
http://lsda26.free.fr/Visio-schema%20actuel.pdf

Nico le Vosgien · Answer

Attention elle ne doivent justement pas communiquer entre elles! Seul le serveur de sauvegarde doit pouvoir communiquer avec les server1 et 2 mais le serveur 1 et 2 ne doivent pas pouvoir communiquer en eux! 

Oui ..mais ton acces internet te force à ouvrir la porte :)

Comme je te le proposais depuis le début et comme l'a ajouté brupala, si le probléme se cantonnais à tes serveurs 1 / 2 / sauvegarde, tu n'avais à faire que du niveau 2 : là, tout était bien étanche.

Le fait que 1 & 2 doivent acceder au net te force à passer par un étage de routage. Que ce soit le 35 ou le routeur, l'un ou l'autre va alors permettre une communication entre 1 & 2 : tu as obligation de placer des ACL.

Le fw est normalement plus intelligent qu'une ACL : il est capable par exemple de détecter des séquences tcp erronées ou anormales, il permet d'éviter certaines attaques, etc ...

Mais bon, si tu as des ACL 'béton', ça te mets normalement déjà bien à l'abri. Après, le risque classique est de supprimer l'acl, de la modifier incorrectement, etc : il faut bien faire attention qu'elle soit toujours conforme.

Pour ton schéma, je dirais que x vlan vont te permettre d'empecher les serveurs de communiquer "directement" (port à port) entre eux. Actuellement, si tout le monde est dans le même vlan, tu peux "t'amuser" avec des acl mac ... mais c'est un peu lourd à gérer.

En passant dans des vlan distincts, mais en créant un étage de routage pour ton acces au net , tu déplaces le probleme en L3 : acl ip donc (plus facile à gérer :) )

Pour ton serveur de sauvegarde, vu qu'il n'accedera pas au net, alors il serait bien de se pencher sur la proposition de brupala et de revenir à ma remarque initiale : pourquoi ne pas faire exclusivement du L2 pour lui ? il faut évidemment que ta carte réseau supporte le 802.1q (mais comme le dit brupala, si elle fait du lacp ...) et tu auras autant de sous interfaces que de vlan serveurs.


Par contre, il y a une grosse différence entre tes 2 schémas : le 1er faisait apparaître le sauvegarde sur le même switch que les serveurs : full L2 possible donc ..... mais ton dernier schéma indique que le sauvegarde est séparé des serveurs par un 851 !! : ce n'est plus du tout la même chanson : retour au routage initial à mon sens :)

lsda26 · Answer

le routeur 851 avec ces 100 Mbits/s est une solution temporaire que j'ai mis en place pour pouvoir sauvegarder seulement certains fichiers des serveurs clients en attendant de passer par un switch Gbits et un systeme de sauvegarde par ghost et dump des BD.   
Sur le schéma ci-dessus le 3550 n'est pas encore implanté, ce sont des switch 100Mbits.   
moi ce qui me gênait c'était de laisser tous les serveurs client dans un même sous réseau!   
C'est pour ça que je pensais casser l'architecture existante pour la remplacer par des VLAN et un switch comme montré dans le premier schéma simplifié.   

Voilà le schéma actuellement en place et le schéma final que je pensais mettre en place pour rendre indépendant les serveurs web clients entre eux mais pouvoir les sauvegarder sur le serveur prévus à cet effet.   

http://lsda26.free.fr/Visio-reseau%20origine%20acorel%20et%20souhait%e9.pdf   

Je sais plus trop quoi en penser maintenant. Je suis dans le gaz complet avec ces histoire de VLANs, L2 et L3. 
Comment faire du Full L2 si les serveur ne sont pas dans le même sous réseau? L'arp de pourra pas trouver la correspondance entre les Ip<=>MAC si il n'y a pas de routage entre les réseaux?

Nico le Vosgien · Answer

Mais ton idée initiale n'est pas mauvaise : ça va fonctionner.

C'est juste qu'on essaie de voir ce qui serait éventuellement mieux suivant ce qu'on comprend de tes objectifs.

Au risque de t'embrumer encore un peu plus, tu peux mettre plusieurs réseaux dans un même vlan mais généralement, cela se produit dans des situations particulières d'exploitation. Quand on part comme toi d'une page blanche, il n'y a pas de raison de partir la dessus ... d'autant que ça te replacerait dans une situation identique à l'actuelle.

Autre question : comment tu fais pour mettre tous ces serveurs en etherchannel avec un 35-12T ? il te manque pas quelques ports ?!!!

===========================

Lance toi : ça s'éclaircira en cours de route !

Regarde cette histoire du support du 802.1q par ton serveur de sauvegarde. Pas de raison qu'il ne sache pas faire.

Si c'est ok : juste L2 sur le 35 et le routeur de droite se charge de l'accès au net pour tes serveurs.

lsda26 · Answer

Bon j'ai commencé à lire mes cours ccna3 (qui ne fait pas parti de mon cursus normalement) sur les vlans et je commence à un peu mieux comprendre leurs intérêt. Mais y a encore du boulot... 

Ci j'ai bien compris, en fait les Vlan fonctionnent comme des sous réseau 
=>donc limitation des domaines de diffusion, flux d'informations restreinte au vlan 

Il semble en fait que les VLAN forment des poches étanches (comme les sous réseau) mais qui ne sont utiles qu'aux postes y appartenant! 
Donc plusieurs postes pourront travailler ensemble sans polluer le reste du réseau avec des broadcast L2. 

Donc si on a une seule machine par VLAN comme je voulais faire, il n'y a plus d'utilité. 

Est-ce que vous pouriez me donner les différences entre un VLAN et un sous réseau svp? Ce qu'ils laissent chacun passer et bloquent (arp,broadcast L2 et L3 etc...) 

Vlan: bloque les broadcast L2 et les unicasts entre 2 vlans ou un vlan et un sous reseau, ils peuvent être routé.

Les sous réseau: bloquent aussi les Broadcast L2 entre les sous réseaux et il peuvent être routé.

Alors pourquoi utiliser les VLans si ils font la même chose que les Sous réseaux?

J'abuse peut-être de votre temps! Mais est-ce qu'il vous serez possible de me faire un schéma ou un petit dessin comme les enfant :) je pense que je comprendrais mieux en mettant plusieurs pc avec les adresse ip et en indiquant des exemples de sous réseaux et de vlan en même temps afin de mieux comprendre leurs influence respective sur le traffic réseau.

lsda26 · Answer

pour le momment j'ai fait les commande ios pour gérer seulement le serveur sauvegarde et un serveur client pour l'agrégation sur le switch: 

Groupement des ports pour l'agrégation en utilisant LACP 802.3d (couche 2): page652 
Switch(config)# interface range gi0/1 -2 
Switch(config-if-range)# channel-group 1 mode active =>Agrégation des 2 ports au group 1 en LACP active 
Switch(config-if-range)# end 
Switch(config)# interface range gi0/3 -4 
Switch(config-if-range)# channel-group 2 mode active  
Switch(config-if-range)# end 

Assignation des interfaces de couche 3 aux groupes d'agrégation:   
Switch(config)# interface port-channel 1   =>sélection du groupe d'agrégation 1 
Switch(config-if)# no switchport    => passe l'interface en mode couche 3 
Switch(config-if)# ip address 192.168.0.100 255.255.255.0 =>attribution de son ip/masque 
Switch(config-if)# end 
Switch(config)# interface port-channel 2 
Switch(config-if)# no switchport 
Switch(config-if)# ip address 192.168.1.100 255.255.255.0 
Switch(config-if)# end 

Pourriez vous me dire si pour le moment c'est correct ou pas?

Est-ce que le spanningtree port fast suffit ou bien faut-il le spanning tree tout cours?

lsda26 · Answer

bon me revoilà!
j'ai voulu entrer la conf précédente et voila  ce qu'il me dit lors de l'attribution d'une ip  sur l'etherchannel:

Switch(config)#interface port-channel 1
Switch(config-if)#no switchport
Command rejected: Not a convertible port.
Switch(config-if)#ip address 192.168.0.100 255.255.255.0
                     ^
% Invalid input detected at '^' marker.

Est-ce que ça viendrait pas du fait que l'on ne peut pas faire du routage et de l'etherchannel en même temps comme tu disais précédemment brupala

lsda26 · Answer

non toute mes interfaces sont en switchport mode dynamic desirable

Sinon j'ai un autre soucis c'est que en mode dynamic sur mon serveur et en active ou en on sur le switch ca veut pas passer même sans routage.
Alors que en static sur le serveur et en active sr le switch sa passe et le failover aussi.
Par contre quand l'agrégation de lien répartit-il en pemanance sur les 2 carte oubien utilise t-il seulement la 2eme carte pour avoir les 2gb/s que lorsqu'il en a besoin?

Engros si entre mon serveur client et le switch je n'ai qu'un câble et que entre le serveur sauvegarde j'ai 2 cables avec l'etherchannel activé, est-ce que le serveur sauvegarde va répartir sur ses 2 cartes les 1gbits demandé par le client ou bien balancera t-il tout sur 1 seul carte tant que la demande ne dépasse pas les 1gbits?

lsda26 · Answer

bonjour,  
me voila de retour! :)  
Bon j'ai pas mal avancé sur ce projet.  
J'ai donc réussit à créer l'agrégation de lien entre mes pc et le switch 3550.  
le transfert se fait bien mais pas d'augmentation de la bande passante.  
Je crois que cela provient des drivers de mes cartes réseau marvell qui ne gère pas l'augmentation de la bande passante avec l'aggrégation de lien mais seulement la tolérance de panne et l'equilibrage de charge.  

Le souci que j'ai, que mes pc n'arrivent pas à pinger la freebox en 192.168.0.254. Pourtant, mes mes pc se ping bien entre eux. Et du switch, j'arrive bien à pinger  la freebox qui est en mode routeur.  

j'ai donc mis en place 2 pc et le switch.  
pc sauvegarde: 192.168.1.1 255.255.255.0 GW: 192.168.1.254  
pc serveur web: 192.168.2.1 255.255.255.248 GW:192.168.0.6  

Switch L3  
Interface port-channel 1 192.168.1.254 255.255.255.0    
Interface port-channel 2 192.168.2.6 255.255.255.248   
Interface gi0/10  192.168.0.249 255.255.255.0   

freebox v5  
Interface LAN   192.168.0.254 255.255.255.0  

j'ai ajouté une route par défaut dans le switch:  
ip route 0.0.0.0 0.0.0.0 gi0/10 192.168.0.254  

Je pense que le problème vient du fait que la freebox, ne connaissant pas les reseaux 192.168.1.0 et 192.168.2.0 elle n'arrive pas à renvoyer les paquets!  

Est-il possible d'activer le ripv2 sur une freebox ou lui entrer des routes par defaut? 

Voila la conf du switch: 
Building configuration... 

Current configuration : 1991 bytes 
! 
version 12.1 
no service pad 
service timestamps debug uptime 
service timestamps log uptime 
service password-encryption 
! 
hostname Switch 
! 
enable secret 5 $1$iId5$B/7jmmEoVLcluDOlZORV0/ 
! 
ip subnet-zero 
ip routing 
! 
! 
spanning-tree mode pvst 
spanning-tree extend system-id 
! 
! 
! 
! 
! 
interface Port-channel1 
 description etherchannel_save 
 no switchport 
 ip address 192.168.1.254 255.255.255.0 
! 
interface Port-channel2 
 description etherchannel_client1 
 no switchport 
 ip address 192.168.2.6 255.255.255.248 
! 
interface GigabitEthernet0/1 
 no switchport 
 no ip address 
 duplex full 
 channel-group 1 mode active 
 spanning-tree portfast 
! 
interface GigabitEthernet0/2 
 no switchport 
 no ip address 
 duplex full 
 channel-group 1 mode active 
 spanning-tree portfast 
! 
interface GigabitEthernet0/3 
 no switchport 
 no ip address 
 duplex full 
 channel-group 2 mode active 
 spanning-tree portfast 
! 
interface GigabitEthernet0/4 
 no switchport 
 no ip address 
 duplex full 
 channel-group 2 mode active 
 spanning-tree portfast 
! 
interface GigabitEthernet0/5 
 no switchport 
 no ip address 
 spanning-tree portfast 
! 
interface GigabitEthernet0/6 
 no switchport 
 no ip address 
 spanning-tree portfast 
! 
interface GigabitEthernet0/7 
 no switchport 
 no ip address 
 spanning-tree portfast 
! 
interface GigabitEthernet0/8 
 no switchport 
 no ip address 
 spanning-tree portfast 
! 
interface GigabitEthernet0/9 
 no switchport 
 no ip address 
 spanning-tree portfast 
! 
interface GigabitEthernet0/10 
 description routeur Adsl 
 no switchport 
 ip address 192.168.0.249 255.255.255.0 
! 
interface GigabitEthernet0/11 
 switchport mode dynamic desirable 
! 
interface GigabitEthernet0/12 
 switchport mode dynamic desirable 
! 
interface Vlan1 
 no ip address 
 shutdown 
! 
ip classless 
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/10 192.168.0.254 
ip http server 
! 
no cdp run 
! 
line con 0 
line vty 0 1 
 password 7 070B285F5A081711 
 logging synchronous 
 login 
 transport input telnet 
line vty 2 4 
 login 
line vty 5 15 
 login 
! 
! 
end 

Switch#

lsda26 · Answer

Au fait bonne année vous et bonne santé!!! 
je veut bien le faire en statique mais comment? je ne vois nulle part une option sur la console de conf du site de free? 

Si on passe la freebox en bridge (non routeur) puis-je configurer le switch pour gérer l'adresse publique fixe que j'ai? peut-il remplacer le routeur pour se raccorder au wan?

Je devrais faire ma demo le jour de l'exam sur une livebox! peut-on ajouter des route statique dessus?

lsda26 · Answer

Voilà, j'ai finit par mettre en place mes acl! 
Je voudrais avoir votre avis! 
Peut-on simplifier cela ou pas 

Nouveau taleau d'adressage: 
                                       @IP                 Masque            @Passerelle 
Serveur sauvegarde 192.168.2.1 255.255.255.248  192.168.2.6 
Server Web 1            192.168.2.9 255.255.255.248  192.168.2.14 
Server Web 2            192.168.2.17 255.255.255.248 192.168.2.22 

Switch 3550 L3 
Interface gi0/1          192.168.2.6 255.255.255.248 
Interface gi0/2 

Interface gi0/3          192.168.2.14 255.255.255.248 
Interface gi0/4 

Interface gi0/5          192.168.2.22 255.255.255.248 
Interface gi0/10        80.0.0.2 255.255.255.252  

Pc représentant une connexion par internet 
PC 80.0.0.1 255.255.255.252 80.0.0.0 80.0.0.3 

Pour les ACLs: 
- le serveur de sauvegarde ne peut se connecter au serveurs web que par le port 445 pour les transfère par robocopy (batch). 
- Les serveur web peuvent se connecter au serveur de sauvegarde par le port 445 et répondre sur le port 80 à n'importe quelle @ip sauf une @ip appartenant à 192.168.2.0/24 pour autoriser la consultation des sites web qu'ils hébergent  à un client venant du net mais pas d'un autre serveur web hébergé par ACOREL. De même l'accès vers des site web sur le net est autorisé pour pouvoir naviguer sur le net depuis les serveurs web. 

access-list etendue 110 : Autoriser l'accès du serveur sauvegarde aux serveurs Web par le port 445 + le ping et bloquer tout le reste: 
Switch (config)# access-list 110 permit tcp host 192.168.2.1 192.168.2.1 0.0.0.255 eq 445 
Switch (config)# access-list 110 permit tcp host 192.168.2.1 eq 445 192.168.2.1 0.0.0.255 
Switch (config)# access-list 110 permit icmp host 192.168.2.1 192.168.2.1 0.0.0.255 

 access-list etendue 120 : Autoriser l'accès des serveurs Web 1 au proxy et au 
serveur sauvegarde et bloquer tout le reste: 
Switch (config)# access-list 120 permit tcp host 192.168.2.9 host 192.168.2.1 eq 445 
Switch (config)# access-list 120 permit tcp host 192.168.2.9 eq 445 host 192.168.2.1 
Switch (config)# access-list 120 permit icmp host 192.168.2.9 host 192.168.2.1 
Switch (config)# access-list 120 permit tcp host 192.168.2.17 host 192.168.2.1 eq 80 
Switch (config)# access-list 120 deny tcp host 192.168.2.9 192.168.2.1 0.0.0.255 eq 80 
Switch (config)# access-list 120 permit tcp host 192.168.2.9 any eq 80 
Switch (config)# access-list 120 permit tcp host 192.168.2.9 eq 80 any gt 1023 

access-list etendue 121 : Autoriser l'accès des serveurs Web 2 au proxy et au 
serveur sauvegarde et bloquer tout le reste: 
Switch (config)# access-list 121 permit tcp host 192.168.2.17 host 192.168.2.1 eq 445 
Switch (config)# access-list 121 permit tcp host 192.168.2.17 eq 445 host 192.168.2.1 
Switch (config)# access-list 121 permit icmp host 192.168.2.17 host 192.168.2.1 
Switch (config)# access-list 121 permit tcp host 192.168.2.17 host 192.168.2.1 eq 80 
Switch (config)# access-list 121 deny tcp host 192.168.2.17 192.168.2.1 0.0.0.255 eq 80 
Switch (config)# access-list 121 permit tcp host 192.168.2.17 any eq 80 
Switch (config)# access-list 121 permit tcp host 192.168.2.17 eq 80 any gt 1023 

Application de la liste de règles 110 à l'interfaces port channel 1 : 
Switch (config)# interface port-channel 1 
Switch (config-if)# ip access-group 110 in 

Application de la liste de règles 121 à l'interfaces port channel 2 : 
Switch (config-if)# interface port-channel 2 
Switch (config-if)# ip access-group 120 in 

Application de la liste de règles 121 à l'interfaces port channel Gi0/5 : 
Switch (config-if)# interface Gi0/5 
Switch (config-if)# ip access-group 121 in 


Merci d'avance pour vos conseils!

lsda26 · Answer

Bonjour, 
je revient sur le Switch de niveau 3 et le routage.  
Sans parler d'agrégation de lien.

Ne peut-on pas utiliser un routeur type cisco 1921 par exemple, et lui créer autant d'interfaces virtuelles que de serveurs clients + 1 interface virtuelle pour le serveur de stockage et router tous cela avec des ACLs? 

La différence que je vois comparé à au switch L3, c'est qu'avec le routeur 1921 j'aurais seulement 1 port physique pour 6 ou 7 sous-réseaux => bande passante partagé. Mais si mes transfert des ghost se font en décalé j'aurais bien 1Gigabit de dispo pour un prix 4x moindre?

L'avantage du switch est de pouvoir faire de pouvoir transferer en simultané à 1Gb/s les ghosts de tout les serveur. Mais pour celà il faut encore que le debit des disque sur le serveur de stockage soit assez rapides et d'avoir suffisamment de carte réseau.

Donc si, je ne mettait pas d'etherchannel est-ce que la solution du routeur de serait pas la meilleur?

lsda26 · Answer

Euh je crois que j'ai encore dit une connerie!!! Il me faudra bien un switch pour tout raccorder au routeur!!! 

Par contre j'ai quand même encore un peut de mal à justifier un choix entre le VLAN et le routage inter réseau dans mon cas présenté! 

Vlan: permet d'empêcher, quelqu'un de joindre un autre serveur client en changeant seulement @IP 
routage+acl: Idem en bloquant tout sauf l'adresse du serveur 

Vlan:arret des broadcast =>idem avec un sous réseau+ ACLs

Vlan plus rapide que le routage: interessant pour le transfert des ghosts vers le serveur de stockage. routage vers le net largement suffisant.

Donc d'après vous vaut-il mieux: 
Rester en L2 avec des Vlan entre les serveurs client et avec le serveur de sauvegarde appartenant à tout les vlans (plusieurs interface virtuelles) et router les serveurs client pour accéder au net ou bien faire du routage de sous réseaux avec Acls (un peu plus compliquées car faut filtrer gérer le serveur de stockage dans les acls)? 

PS: pour utiliser plusieurs interfaces sur le serveur de stockage il faut utiliser les vlans de niveau 2 sur le switch non? car en vlan N1 je crois que l'on ne peut pas attribuer un port à plusieurs VLAN?

lsda26 · Answer

Merci pour ces précisions.

"un vlan , c'est un vlan, les niveaux 1 , 2 ou 3 ça n'existe pas, ça ne concerne que l'affectation des machines dans les vlans, pas le fonctionnement des switchs.
mais les vlans autrement que par port sont très difficiles à administrer, les constructeurs abandonnent les autres notions au profit du routage L3."
 je voulait justement parler des autres attribution des port à un vlan. Mais je doit pas employer les bons termes :)

Je voulait parler de vlan dynamique
"VLAN dynamique : L'appartenance d'un port à un VLAN dynamique se configure à l'aide d'un serveur spécial appelé serveur VMPS (VLAN Membership Policy Server). Avec le serveur VMPS, vous affectez dynamiquement les ports de commutateur aux VLAN, en fonction de l'adresse MAC source du périphérique connecté au port. L'avantage de ce mode apparaît lorsque vous déplacez un hôte à partir d'un port se trouvant sur un commutateur du réseau vers un port se trouvant sur un autre commutateur du réseau : le commutateur affecte dynamiquement le nouveau port au VLAN correspondant à cet hôte." (source ccna3 cisco :) )

En fait, si je comprend ce qui est dit c'est que c'est les port du switch qui sont attribués à un vlan et pa la ou les machines qui sont derrière le port?
Ce qui veut dire que l'on ne peut pas mettre dans 2 vlan différents 2 pc branchés sur le même port du switch?

lsda26 · Answer

ok merci pour ton avis éclairé!
juste une question! tu as quoi comme formation et tu bosse dans koi pour avoir autant de connaissance dans tout les domaines? :)

lsda26 · Answer

Bonjour brupala,

J'abuse encore un peu de ton aide précieuse :)

Ya eu quelque changement dans le réseau de ma boite, depuis nos conversations et j'ai un gros dilème sur le choix de solution pour mon projet.

En effet, pour remplacer le routeur sagem qui permettait l'accès au net à mes 6 serveurs, on va mettre un netasq U70 (je rappel que pour le momment mes serveur web sant touts dans un même sous réseau et que je vais mettre en place un serveur de stockage de ghost +dump des bdd de chaque serveur web).

Contrainte:
- Je voudrais empêcher qu'une personne piratant un des serveurs web, ne puisse joindre un autre serveur web (les serveurs hébergent des base de données de nos clients (qui son concurrents)).
- Les serveur WEB devront pouvoir déposer des ghosts et dump de leur base de donnée sur le serveur de sauvegarde et etre accéssibles par le net.
-  Un netasq U70 est prévus d'être installé

Je n'arrive pas à trancher entre un isolement des serveurs par VLAN (couche2) comme tu m'avais expliqué ou par sous-réseau(couche 3)!!!
Et je ne sais pas encore ce qu'est capable de faire le U70 (d'après les pdf du site de netasq, apparament: jusqu'à 32 VLAN, rip, ospf, firwall, antivirus

Je pensais donc à 2 solutions:

1) vlan statique par port (couche 2): 1 switch de niveau 2 gérant les vlans, et le routage vers le net se ferais grâce netasq par l'intermédiaire (port trunkentre le netask et le switch?).
Sur le serveur de sauvegarde, il faudrait créer comme tu me le disais plu haut: 1 interface virtuel par serveur web situé chacun dans un vlan différent à joindre=> 6 interface virtuel et les attribuer chacune aux vlan concernés.
Sur le Netasq, créer des règles ACL pour interdire le routage entre les différent VLAN et laisser passer le traffic pour accéder au net.
coût de la solution: prix d'un switch gigabit gérant les vlans+ netasq déjà commandé par ma boite.

2) routage de niveau 3: Un switch de niveau 3 + ACLs qui autorisent le traffic de uniquement de 1 serveur avec son IP par le port et mettre chaque serveur dans un sous réseau différent.
Et relier le switch au netasq en gérant du routage RIP entre les 2.

=>Question prix, la solution pencherait plus en la faveur de la première solution (environ 1200€ pour un switch L2 et 2500€ pour un L3), en supposant que le netasq sache faire tout ça!
Mais question pertinence des 2 solutions, je n'arrive pas à faire la différence et justifier mon choix. Dans quel cas on utiliserais plutôt l'une que l'autre.
Car

Merci pour ton aide.

lsda26 · Answer

oui mais pour que le firewall du netasq puisse filtrer, Ne faut-il pas que chaque serveur web ai une entrée attitré sur le netasq?
Si c'est le cas, je n'aurais pas assez de port sur le netasq (6 port uniquement et 2 seront déjà occupé par d'autre choses). D'où utilisation des vlans+le le firewall du netasq (si c'est faisable et si on reste au niveau 2), ou ou bien des sous réseaux avec un switch de niveau 3+ACLs.

Je ne pense pas que le firwall puisse etre utilisé pour bloquer le traffic entre les serveur. Si c'est possible je voudrais bien que tu m'explique comment et quelle solution et câblage il faut faire.
L'utilisation du firewall du netasq si tout les sous réseaux des serveurs web arrivent du switch l3 sur un seul port du netasq n'empchera pas le fait qu'au niveau du switch il faudra bloquer le routage entre les serveur web par des acls? Et ne faut-il pas que le trafic entre par un port du netasq et sorte par un autre pour pouvoir filtrer?

Pour ce qui est de la souplesse d'utilisation: Est-ce que ce que je dit te semble correcte ou bien j'oublis des choses?
Le jour ou un nouveau server client arrive, qu'est-ce qui est le plus simple à changer?
 D'un coté avec la solution en VLan que tu m'avais proposé au debut du post, il faudra ajouter une interface virtuelle sur le serveur de sauvegarde (=>7interface virtuelles) pour le trunk avec le switch+créer un nouveau vlan sur le switch L2 et l'attribuer à un port+une interface virtuelle sur le netasq pour le trunk avec le switch L2 et modifier les ACLs (ou les règles du firewall si c'est possible) pour empêcher le trafic entre serveurs.

De l'autre coté: avec le routage avec un switch L3 il faut revoir les ACLs.

En sachant que les personnes qui auront à faire les manip ne connaisse pas les commandes cisco, il faudrat que je fasse une procédure de modification.

Pour la présentation de mon projet final, il faut bien que je compare techniquement les 2 solutions avec leurs avantages et inconvénients. Et justement j'ai du mal à dire si l'un est plus viable que l'autre.
Maintenant si les 2 solutions sont opérationnelles, Le coût va être un point clé pour convaincre ma direction d'une solution plutôt qu'une autre. Car quand on leur parle de facture de 2500€ pour un switch L3 (x2 pour en garder un de secours prêt à remplacer le premier) ca fait un peut tiquer :)

lsda26 · Answer

Pour protéger les serveur des attaque venu du web surement que ça a dû pesé dans la décision de le prendre, mais c'est aussi parce qu'il fallait pouvoir joindre tous nos serveur par le port 80 et plus sur les port 8080 ou autres, avec redirection nat/pat comme on fait pour le moment. Donc faire du nat statique (1 ip publique=1 server web  
Mais c'est aussi pour offrir un accès VPN à des télétravailleurs.  

Possible que le Netask soit sur-dimensionné par rapport aux besoin urgent qu'on avait et qu'il ai succombé au champs des sirènes (commercial).  

"il est plus là pour protéger les serveurs des attaques venues du web que pour bloquer le trafic entre les serveurs (qui n' a pas lieu d'être). "  
Pourquoi tu dit que ça n'a pas lieu d'être? Si qq'un prends le contrôle d'un des serveurs web (ça doit bien pouvoir se faire non. Les attaque dont tu parle n'en font pas partis?) il aurait accès après à tous les autre serveurs...  Mais si c'est pas possible d'accéder au système du serveur à partir du site qu'il héberge et que ça ne craint rien, alors, il vaut mieux que laisse tombé cette partie de mon projet plutôt que présenter quelque chose qui ne sert a rien et qui aura coûté 6000€ à ma boite pour rien. Je pensais que c'était utile, et c'est pour ça que je pensais le proposer à ma boite. Mais comme personne ne s'y connais assez dans ma boite, je ne suis plus sur de l'utilité maintenant. 

Mais si dans un contrat client on te demande à ce que le serveur soit dans un réseau séparé. tu le met dans un vlan ou un sous réseau?  
Pour moi je pensais que le fait de cloisonner les serveurs dans un vlan ou un sous réseau répondait à la clause.

lsda26 · Answer

Ouf tu me rassure en me confortant dans l'idée qu'il n'est pas normal de laisser les serveurs dans un même sous réseau! 

Désolé d'être aussi lourd, mais les questions que je me poses restent sans réponses.

Le fait qu'il faille un routeur pour faire communiquer 2 vlan, ça ok j'avais compris. 
Le fait que pour routé des vlans entre eux, il fallait un réseau différent par VLAN, ok ça aussi j'avais compris. 

J'aurais besoins d'un dernier avis sur ces solutions svp. après promis je ne t'embête plus!  
Merci de m'aider à compléter les avantages et inconvénients de chacune des 2 solutions si j'oublie des choses pour justifier la solution a prendre: 

http://lsda26.free.fr/solution%20routage.pdf 

Solution 1:des VLAN+sous réseaux avec un switchL2 et le routage par le netasq, avec communication entre le serveur sauvegarde et les serveurs web uniquement en L2 ou alors en L3 (routage inter-vlan) si le serveur de sauvegarde est placé dans un VLAN. Solutions dont tu m'avait parlé plus haut dans le post). 

-Avantage: switch de niveau 2 suffisant, plus rapide que la solution 2 car transfert vers le serveur de sauvegarde uniquement en L2 si il n'est pas mis dans un Vlan. 
-Inconvénients: Plus lourd à mettre en place et maintenance ou extension pas simple pour qq'un qui ne maitrise pas la notion de vlan. 

Solution 2: Tous les serveurs se trouvent dans des sous réseaux seul et sans VLAN. routé obligatoirement par un switch L3 avec ACLs. 

-Avantages: plus simple à comprendre, à mettre en place, et à faire évoluer. 
-Inconvénients: nécessite d'un switch L3 plus cher 2500€. 

Merci pour ton aide est encore désolé de te monopoliser ton temps et surtout tes nerfs!

lsda26 · Answer

les 2 pages du pdf sont inversées:  

Page 1 correspond à la solution avec routage pur de sous réseau grace à un switch L3 et du rip.  

Page 2: avec des vlans (encore 2 solutions)  
 - solution a (tel que tu m'avais parlé):  
Serveur de sauvegarde avec plusieurs 1 interfaces virtuelles (1 par vlan de serveur web), d'où le tad 802.1q entre le serveur de sauvegarde et le switch + un switch L2 et le routage vers le net se fera par le netasq en bloquant la communication entre les vlan des serveur web, (transfert des sauvegardes en full L2 et accès au net  en L3)  

-solution b: On place le serveur de sauvegarde dans un vlan séparé et le netasq s'occupe de router inter-vlan en empêchant la communication entre les vlan des serveur wen mais en autorisant vers le serveur de sauvegarde et le net.   
=>transfert des sauvegardes et accès au net en par routage inter-vlan.  

J'espère avoir été clair.  
Donc j'attends tes commentaires sur ces 3 solutions.  
merci

Routage inter-vlan,switch N3, etherchannel

27 réponses

Discussions similaires

Newsletters