[VLAN] Mise en place entre diff 2810-48G

[tifounon]

Bonjour à tous,

Mon 2ème message sur ce forum, émotion.

Bon, après avoir parcouru quelques sujets là dessus sur ce forum, je vous soumet ma problèmatique. J'ai retourné la chose plusieurs fois et faits des tests mais bon j'ai du louper une chose surtout que niveau VLAN je n'ai que la théorie et pas pratiqué depuis des lustres.

Voila la chose :

4 baies serveurs avec chacune 1 switch HP 2810-48G (firmware 11.52).

Chaque baie est relié entre elles via une liaison Gigabit :

switch01 (port 46/trunk1) <===> (port 46/trunk1) switch02 (port 47/trunk2) <===> (port 46/trunk2) switch03 (port 47/trunk3) <===> (port 46/trunk3) switch04

Comme vous le voyez, la 04 ne retourne pas à la 01. Tout ça est stacké et le switch01 est Commander.

Il est prévu de doubler voire tripler les dessertes entre les baies, donc les trunk auront chacun 3 liens et le LACP (actif/actif) est activé, de même que le Spanning Tree.

Toutes les machines sont sur le même réseau : 10.11.12.0/24 et jusqu'ici ça tient seulement voilà : il va y avoir de l'ESXi 5.1 là dessus avec :

• un réseau dédié pour le stockage IP (les datastores seront des NAS) et servira aussi pour vMotion, y aura donc 3 interfaces réseaux en agrégat de liens (trunk+lacp)
  
• un réseau dédié pour la communication avec le vCenter (le port VMKernel de chaque ESXi sera sur ce réseau)
  

histoire que les accès aux datastore et vMotion ne transitent pas par le LAN actuel, de même que la communication entre le vCenter et les hôtes ESXi 5.1

d'où l'idée d'utiliser du VLAN, on aurait donc

• le réseau historique : 10.11.12.0/24 qui lui est toujours sur le VLAN1 (celui par défaut des switches HP 2810-48G)
  
• le réseau IP STOCKAGE/vMotion : 10.11.14.0/24
  
• le réseau admin vCenter : 10.11.15.0/24
  

Seulement voilà, comme dit au début, je n'ai que la théorie, j'ai donc essayer ceci

• sur le switch01 :
  

1. j'ai crée un vlan (vlan 100 name "VLAN100")
   
2. j'ai taggué le port 30 sur ce VLAN (vlan 100 tagged 30)
   
3. j'ai taggué le port 46 sur ce VLAN pour que le TAG de ce VLAN soit porté par ce trunk (vlan 100 tagged 46)
   
4. j'ai connecté un serveur au port , configuré son eth0 en 10.11.14.10/24
   

• sur le switch02
  

1. j'ai crée un vlan (VLAN100)
   
2. j'ai taggué le port 24 sur ce VLAN
   
3. 
   j'ai taggué le port 46 sur ce VLAN pour que le TAG de ce VLAN soit porté par ce trunk
   
4. 
   j'ai connecté un serveur au port , configuré son eth0 en 10.11.14.11/24
   

A chaque fois j'ai taggué le port de trunk de chacun des switches sur ce VLAN pour que ça passe entre les switches (en théorie)

Après quoi, je me suis dit, bon ça doit le faire ... et bien non, les machines ne se voient pas entre elles (ping...)

J'ai essayé aussi sur un ESXi 4.1 déjà existant en ajoutant un switch virtuel portant le tag 802.11q : 100 mais rien à faire.

Où j'ai loupé quelque chose dans ma réflexion ou alors j'ai rien compris aux VLAN. (j'ai pas testé avec le GVRP ce qui aurait permit de diffuser les VLAN à tous les switches parce que visiblement c'est pas bien ???)

En vous remerciant par avance de l'aide que vous pourrez m'apporter.

(J'essaierais de faire un schéma dès que j'aurais compris comme me servir proprement de DIA).

[Killator]

Hu hu hu

On voit rarement des problèmes de ce genre sur PCI, mais c'est toujours un plaisir... En plus c'est bien expliqué

Perso, je vois très bien ta problématique mais j'interviens rarement sur du réseau pur... Et jamais sur du HP en plus

Bon, ceci dit... L'approche me semble bonne dans le découpage: un VLAN par /24... (Tu n'as pas de 10.11.13.0/24 ?)

Par contre, c'est le report du VLAN dans le port truncké vers son voisin qui me fait tiquer...

Tu es sur que c'est aussi simple que ça ? Tu taggues et le VLAN traverse le trunck ?

Après, je connais pas les éléments de conf chez HP... Ni même la "philosophie" du constructeur...

Mais je pense que tu devrais t'assurer que c'est bien la façon de faire dans cette circonstance

Par contre, question bonus: pourquoi le GVRP c'est "pas bien" ?

PS: J'ai passé 2 jours full-time à monter un PRA suite à un incident de prod... A m'arracher les cheveux sur un Infoblox récalcitrant... Et pourtant, je réfléchi à ton truc presque avec joie... C'est grave docteur ?

[tifounon]

Bonjour,

Pour les adressages IP en 10.11.*.* , c'est purement arbitraire en fait.

Pour le tag des ports Trunk, d'après ce que j'ai compris des docs HP, c'est nécessaire, à vrai dire, si le port de trunk n'est pas taggué sur les VLAN, comment les trames pourraient-elles passer ?

Quand au GVRP, c'est globalement et diagonalement ce que j'en ai compris c'est un possible rattachement sauvage de machines sur les VLAN (sachant que les devs sont admins sur les serveurs), et une "perte de controle" sur la diffusion des VLAN, par ex si ne je veux pas que des VLAN soient dispos sur tous les switches.

Je vais essayer de chopper un admin réseau de chez nous pour des détails mais ils sont toujours fourrés à droite et à gauche donc c'est pour ça que je fais appel à la communauté INpactienne.

[Killator]

Pour le tag des ports Trunk, d'après ce que j'ai compris des docs HP, c'est nécessaire, à vrai dire, si le port de trunk n'est pas taggué sur les VLAN, comment les trames pourraient-elles passer ?

J'ai pas dis que c'était inutile, mais je soupçonnais qu'il y a besoin d'une manip en plus...

J'ai posé le prb à un ami plus réseau... Il m'a confirmé qu'il y avait une subtilité sur le sujet et que de mémoire, tu ne devais pas/plus utiliser le VLAN par défaut...

Il creuse un peu... Je te tiens au courant si j'ai plus d'info

[Cyduck]

Salut,

Je suis Cisco à la base, mais j'imagine que les concept de base reste les même.

- 1ere remarque mais qui n'inpacte pas le problème, je suis surpris que tes 4 switchs soit "stackés", à mon avis ce n'est pas le cas étant donné ce que tu dis (lien Ethernet classique entre tes switchs avec trunk). Un stack (ou "pile") chez Cisco est une technologie particulière qui se fait via un module de stack spécifique, pas par les ports normaux, et qui aux permet aux swicth faisant partie de la pile de n'apparaitre comme un unique switch, avec une unique IP administrative et un unique fichier de configuration. (exemple, 2 switch 48 ports stackés apparait de manière logique (=/= physique) comme un unique switch de 96 ports).

L'intêret est une administration simplifiée (IP unique, conf unique), un débit entre switch équivalent en général au débit de fond de panier des switchs (genre 96Gbits/sec, ce qui limite les longueurs de câbles de stack à moins d'un mètre en général), une meilleure continuité de service lors de certaines pannes sur un des éléments de la pile, et une plus grande facilité de remplacement d'un élément défectueux de la pile (on remplace le switch en panne sans s'occuper de la configuration, la pile gère ça toute seule)

Chez HP c'est p-e différent, mais déjà le fait que tu sois obligé de créer tes VLAN sur tes différents switch me fait dire qu'il ne sont pas en stack.

Parenthèse refermée.

- Pour l'instant je vois que tu n'en es pas encore au routage intervlan, juste faire communiquer deux machines faisant partie de la même plage IP donc même vlan à travers à lien trunké.

Par rapport à ça,

Tes deux machines sont bien sur la même plage IP, OK

Les deux ports switch des deux machines semblent être configurés sur le VLAN 100, ça semble ok (ça serait bien de vérifier dans le fichier de conf)

Ce qui me choque plus, c'est que tu as l'air d'utiliser la même commande pour faire en sorte que ton trunk transporte le VLAN 100, chez Cisco ça ne fonctionne pas comme ça, on configure les deux ports d'uplink en mode Trunk et on indique la liste des VLAN autorisés à transiter sur ce Trunk, on ne tague pas le port en lui même. Après c'est du HP, tes commandes suffisent p-e mais c'est à vérifier!

Exemple chez Cisco avec VLAN différents pour que ça soit plus parlant :

VLAN 10 : 10.0.10.0/24 , machine A : 10.0.10.1/24 , sur port 1 tagué 10 du switch 1

VLAN 20 : 10.0.20.0/24 , machine B : 10.0.20.1/24 , sur port 1 tagué 20 du switch 2

Un lien trunk entre switch 1 et 2 , ports 46 , configuré pour autoriser VLAN 10 et 20 à transiter

Machine A tagué Vlan 10 <-> Trunk Vlan autorisé 10 + 20 <----------------------> Trunk Vlan autorisé 10 + 20 <-> Machine B tagué Vlan 20

La couche 3 du switch s'occupant du routage intervlan.

Un autre truc, tu ne configures pas d'adresse IP sur ton VLAN visiblement. Je ne sais pas si ça pose problème lors d'une communication entre deux machines faisant partie du même VLAN, mais c'est sur que ça ne fonctionnera pas quand tu seras à l'étape de faire communiquer tes différents VLAN.

Après, avis perso sur deux points ne concernant pas le pb, histoire de discuter :

- Mettre un uplink de 1Gbits , en topologie "cascade" qui plus est d'après ton schéma, entre chaque baie gérant à priori tes serveurs, me parait bien bien léger niveau architecture. Une archi étoile serait bien meilleure (tes 3 switchs connectés sur un seul, pas à la queue), avec un agrégat de lien par dessus, (ce que vous souhaitez mettre en place et ca parait plus que nécessaire en effet). Après si tes 4 switchs sont dans la même salle serveur, c'est dommage de ne pas avoir opté pour un vrai stack, qui vous aurait affranchi de toutes contraintes de bande passante interswitch, en plus de t'épargner les liens trunks entre eux.

- Deuxième point, je suis très surpris que ce ne soient pas les admins réseaux de ta boite qui s'y collent. On parle tout de même de passer d'une unique plage IP avec VLAN unique par défaut à plusieurs plages / différents VLAN, avec tout ce qui va avec, routing, trunk, + agrégat LACP, dans un environnement de prod hébergeant une architecture virtualisée. Tout cela est très loin d'être un sujet mineur niveau réseau et ça mérite toute leur implication de mon point de vue!

[Killator]

C'est avec des retours comme celui-là qu'on voit que le réseau, c'est bien un métier à part entière !

Merci pour le retour Cyduck

[tifounon]

Woot Merci Cyduck pour ton retour.

Les HP 281048G sont des switches de niveau 2 donc y a pas de routage inter vlan possible avec ces modèles, et de toute manière, le but est juste de faire passer les VLAN à travers les switches du réseau, ces VLAN sont strictement internes et il n'y a pas besoin que ça sorte vers un autre réseau.

- Concernant le stack, dans la console Web de gestion (et même en CLI), c'est bien ainsi que c'est appelé, et les switches ne disposent pas de module de stacking, il y a bien un switch dit "Commander" qui dispose de son IP et tous les autres sont des switches membres (qui peuvent disposer ou non d'une IP). . Par conséquent, le seul moyen de faire passer un VLAN d'un switch à l'autre est de tagguer le port de trunck des switchs.

A la lumière de tes explications, il y a une différence nette entre les notions HP et Cisco (peuvent pas s'harmoniser entre eux non ? ), et effectivement du vrai stacking sera un plus je pense, mais ce n'est pas le cas ici.

Un autre truc, tu ne configures pas d'adresse IP sur ton VLAN visiblement. Je ne sais pas si ça pose problème lors d'une communication entre deux machines faisant partie du même VLAN, mais c'est sur que ça ne fonctionnera pas quand tu seras à l'étape de faire communiquer tes différents VLAN.

Ça par contre je n'ai pas vérifier, et c'est ptet effectivement un des points de blocage oui. Je vais vérifier ça la semaine prochaine.

Ce ne sont pas les admins réseaux de la boîte qui s'y collent car cela concerne un datacenter et des serveurs hors de leur périmètre (pas la même division ... c'est fort), mais je devrais en avoir un en tête à tête la semaine prochaine aussi.

En tout cas merci pour vos réponses, ouais, admin réseau, c'est bien un métier à part :).

Je vous tient au courant des avancées du bouzin.