VLAN et L2VSN
Comment propager un VLAN grâce au L2VSN au sein d'une Fabric SPB Extreme Networks ?
Introduction
La Fabric SPB (Shortest Path Bridging) repose sur l’utilisation de services, que l’on appelle des VSN pour Virtual Services Network. Dans le cas d’un VLAN nous parlons de L2VSN, et le VLAN sera associé à un numéro de service que l’on appelle l’I-SID (Service Instance Identifier).
Approche conventionnelle et VTP
Dans un réseau classique, si vous avez un VLAN à propager à travers 5 switchs, vous devez vous connecter aux 5 switchs, créer le VLAN, le tagger sur les uplinks, et l’ajouter sur les ports sur lesquels vous souhaitez qu’il soit disponible.
Si vous utilisez des liens trunk sur lesquels tous les VLANs sont autorisés, vous vous affranchissez de configurer les switchs intermédiaires, mais au détriment de la sécurité de votre réseau.
Enfin, si vous utilisez une technologie comme le VTP de Cisco (ou équivalent), vous avez besoin de définir un VTP serveur, des VTP clients, et votre gestion des VLANs devient alors une gestion centralisée qui repose sur le VTP serveur. Vos VTP clients ne peuvent pas annoncer un nouveau VLAN dont ils auraient besoin, c’est le VTP serveur qui les distribue dans le réseau. On peut aussi mettre en place du VTP pruning pour s’assurer qu’uniquement les VLANs présents sur un switch sont présents sur ses uplinks afin d’éviter d’agrandir inutilement le domaine de broadcast de chaque VLAN.
Dans la Fabric SPB le principe est différent, la gestion n’est pas centralisée et chaque switch faisant partie de la Fabric va indiquer aux autres switchs les services (ici VLAN, mais nous verrons dans un autre article que le principe est le même pour les VRF) dont il a besoin.
Sécurité
La Fabric est sécurisée par défaut. Grâce à l’encapsulation MAC-in-MAC utilisée et au fonctionnement intrinsèque de la Fabric, le trafic d’une extrémité à une autre de celle-ci est encapsulé et envoyé directement au switch de destination concerné. Les switchs intermédiaires (Default-1, 2 et 3 dans notre cas), ne verront pas le trafic car ils n’en sont pas la destination.
Dans un environnement de niveau 2 sans Fabric (avec ou sans VTP), chaque switch intermédiaire « voit » le trafic même si celui-ci ne lui est pas destiné.
Quelques lignes de commande
Maintenant que nous avons compris comment la Fabric fonctionne, comment alors configurer notre VLAN pour que nos 2 PC puissent communiquer ensemble ?
Pour cela rien de plus simple, notre configuration tient en 3 lignes, et nous n’avons besoin de configurer le VLAN que là où il est utile : aux extrémités de la Fabric.
- On crée ici notre VLAN, comme on le fait habituellement pour n’importe quel constructeur, mais avec la syntaxe Extreme Networks.
- On associe ce VLAN (VLAN ID 10) à un numéro de service (l’I-SID 1010) afin que celui-ci puisse être propagé dans la Fabric.
- On ajoute le VLAN au port sur lequel est notre PC virtuel.
vlan create 10 type port-mstprstp 1
vlan i-sid 10 1010
vlan member add 10 1/1
Ces 3 lignes suffisent à permettre une communication en niveau 2 à travers la Fabric, et je vous propose de voir ça en vidéo.
Que vous ayez 5 switchs comme dans cet exemple, ou 100, le principe est le même avec la Fabric SPB : Vous configurez les services uniquement là où vous en avez besoin. L’infrastructure, le routage, le plus court chemin, tout cela est géré par la Fabric de manière transparente.
Nous avons vu à travers cet article comment la Fabric SPB pouvait vous aider à répondre rapidement aux nouvelles demandes du métier de manière simple, rapide et sécurisée.
Protocole de test
Switch : Extreme Networks 5420F-48P-4XE
OS : FabricEngine 9.1.0.0.
Sources externes
Documentation Extreme Networks : https://documentation.extremenetworks.com/Fabric%20Engine%20v9.1%20User%20Guide/downloads/Fabric_Engine_9_1_User_Guide.pdf
Lien vers la vidéo : https://www.youtube.com/watch?v=-e8fXQLwxQ0
Contactez-nous pour savoir comment mettre en place ces fonctionnalités.
Suivez-nous sur LinkedIn pour ne pas manquer nos prochaines vidéos.