Comprendre les VLAN
Une appliance NetScaler prend en charge le port de couche 2 et les VLAN marqués IEEE 802.1q. Les configurations VLAN sont utiles lorsque vous devez restreindre le trafic à certains groupes de stations. Vous pouvez configurer une interface réseau dans le cadre de plusieurs VLAN à l’aide du balisage IEEE 802.1q.
Vous pouvez configurer des VLAN et les lier à des sous-réseaux IP. Le NetScaler effectue ensuite le transfert IP entre ces VLAN (s’il est configuré comme routeur par défaut pour les hôtes de ces sous-réseaux).
NetScaler prend en charge les types de VLAN suivants :
-
VLAN basés sur les ports. L’appartenance à un VLAN basé sur des ports est définie par un ensemble d’interfaces réseau qui partagent un domaine de diffusion de couche 2 commun et exclusif. Vous pouvez configurer plusieurs VLAN basés sur des ports. Par défaut, toutes les interfaces réseau du NetScaler sont membres du VLAN 1.
Si vous appliquez le balisage 802.1q au port, l’interface réseau appartient à un VLAN basé sur le port. Le trafic de couche 2 est ponté au sein d’un VLAN basé sur un port, et les diffusions de couche 2 sont envoyées à tous les membres du VLAN si le mode de couche 2 est activé. Lorsque vous ajoutez une interface réseau non balisée en tant que membre d’un nouveau VLAN, elle est supprimée de son VLAN actuel.
-
VLAN par défaut. Par défaut, les interfaces réseau de NetScaler sont incluses dans un seul VLAN basé sur les ports en tant qu’interfaces réseau non balisées. Ce VLAN est le VLAN par défaut. Il possède un ID VLAN (VID) de 1. Ce VLAN existe en permanence. Il ne peut pas être supprimé et son VID ne peut pas être modifié.
Lorsque vous ajoutez une interface réseau à un autre VLAN en tant que membre non balisé, l’interface réseau est automatiquement supprimée du VLAN par défaut. Si vous dissociez une interface réseau de son VLAN basé sur les ports actuel, elle est de nouveau ajoutée au VLAN par défaut.
-
VLAN taggés. Le balisage 802.1q (défini dans la norme IEEE 802.1q) permet à un périphérique réseau (tel que NetScaler) d’ajouter des informations à une trame au niveau de la couche 2 afin d’identifier l’appartenance au VLAN de la trame. Le balisage permet aux environnements réseau de disposer de réseaux VLAN couvrant plusieurs appareils. Un périphérique qui reçoit le paquet lit la balise et reconnaît le VLAN auquel appartient la trame. Certains appareils réseau ne prennent pas en charge la réception de paquets balisés et non balisés sur la même interface réseau, en particulier les commutateurs Force10. Dans ce cas, vous devez contacter le service client pour obtenir de l’aide.
L’interface réseau peut être un membre étiqueté ou non d’un VLAN. Chaque interface réseau est un membre non balisé d’un seul VLAN (son VLAN natif). Cette interface réseau transmet les trames du VLAN natif sous forme de trames non balisées. Une interface réseau peut faire partie de plusieurs VLAN si les autres VLAN sont balisés.
Lorsque vous configurez le balisage, veillez à ce qu’il corresponde à la configuration du VLAN aux deux extrémités du lien. Le port auquel NetScaler se connecte doit se trouver sur le même VLAN que l’interface réseau NetScaler.
Remarque : Cette configuration VLAN n’est ni synchronisée ni propagée. Vous devez donc effectuer la configuration sur chaque unité d’une paire HA indépendamment.
Application de règles pour classer les cadres
Les VLAN ont deux types de règles pour classer les trames :
-
Règles d’entrée. Les règles d’entrée classent chaque trame comme appartenant uniquement à un seul VLAN. Lorsqu’une trame est reçue sur une interface réseau, les règles suivantes sont appliquées pour classer la trame :
- Si la trame n’est pas balisée ou si sa valeur de balise est égale à 0, le VID de la trame est défini sur le port VID (PVID) de l’interface de réception, qui est classé comme appartenant au VLAN natif. (Les PVID sont définis dans la norme IEEE 802.1q.)
- Si le cadre possède une valeur de balise égale à FFF, le cadre est supprimé.
- Si le VID de la trame indique un VLAN dont l’interface réseau réceptrice n’est pas membre, la trame est supprimée. Par exemple, si un paquet est envoyé depuis un sous-réseau associé à l’ID VLAN 12 vers un sous-réseau associé à l’ID VLAN 10, le paquet est abandonné. Si un paquet non balisé avec VID 9 est envoyé depuis le sous-réseau associé à l’ID VLAN 10 vers une interface réseau PVID 9, le paquet est supprimé.
-
Règles de sortie. Les règles de sortie suivantes sont appliquées :
- Si le VID de la trame indique un VLAN dont l’interface réseau de transmission n’est pas membre, la trame est supprimée.
- Au cours du processus d’apprentissage (défini par la norme IEEE 802.1q), le Src MAC et le VID sont utilisés pour mettre à jour la table de recherche de pont du NetScaler.
- Une trame est supprimée si son VID indique un VLAN qui ne possède aucun membre. (Vous définissez les membres en liant les interfaces réseau à un VLAN.)
VLAN et transfert de paquets sur NetScaler
Le processus de transfert sur l’appliance NetScaler est similaire à celui de n’importe quel commutateur standard. Toutefois, NetScaler effectue le transfert uniquement lorsque le mode de couche 2 est activé. Les principales caractéristiques du processus de transfert sont les suivantes :
- Les restrictions de topologie sont appliquées. L’application implique la sélection de chaque interface réseau du VLAN en tant que port de transmission (en fonction de l’état de l’interface réseau), des restrictions de pontage (ne pas transférer sur l’interface réseau réceptrice) et des restrictions MTU.
- Les trames sont filtrées sur la base des informations figurant dans la table de la table de transfert de la base de données de transfert (FDB) de NetScaler. La recherche dans la table de pont est basée sur le MAC de destination et le VID. Les paquets adressés à l’adresse MAC du NetScaler sont traités au niveau des couches supérieures.
- Toutes les trames de diffusion et de multidiffusion sont transférées vers chaque interface réseau membre du VLAN, mais le transfert n’a lieu que si le mode L2 est activé. Si le mode L2 est désactivé, les paquets de diffusion et de multidiffusion sont supprimés. Cela est également vrai pour les adresses MAC qui ne figurent pas actuellement dans la table de transition.
- Une entrée VLAN possède une liste d’interfaces réseau membres qui font partie de son ensemble de membres non balisés. Lors du transfert de trames vers ces interfaces réseau, aucune balise n’est insérée dans la trame.
- Si l’interface réseau est un membre étiqueté de ce VLAN, le tag est inséré dans le cadre lorsque le cadre est transféré.
Lorsqu’un utilisateur envoie des paquets de diffusion ou de multidiffusion sans que le VLAN ne soit identifié, c’est-à-dire lors de la détection d’adresses dupliquées (DAD) pour NSIP ou ND6 pour le saut suivant de la route, le paquet est envoyé sur toutes les interfaces réseau, avec un balisage approprié basé sur les règles d’entrée et de sortie. Le ND6 identifie généralement un VLAN, et un paquet de données est envoyé uniquement sur ce VLAN. Les VLAN basés sur les ports sont communs à IPv4 et IPv6. Pour IPv6, NetScaler prend en charge les VLAN basés sur des préfixes.