14 Aug
2019
14 Aug
'19
12:24 p.m.
Salut
Le 14/08/2019 à 11:50, SERRUT Arnaud a écrit :
Salut
Sur un pare-feu, j'étais tombé sur un paramètre activé par défaut qui, si un paquet arrivait d'un vlan qui ne lui était pas connu, il le broadcastait à l'ensemble des ports.
je n'ai aucun firewall dans la maquette.
Tes ports acceptent les vlan 10 et 66 tagués (donc pas par défaut), mais tes Vm font elles bien l'effort d'envoyer des paquets tagués à ton vswitch ?
Les VM envoient des paquets non tagués. C'est l'OVS qui doit mettre les tag, comme sur un switch normal.
cordialmeent
Le mer. 14 août 2019 à 11:45, Florent Nolot <fnolot@gmail.com mailto:fnolot@gmail.com> a écrit :
Bonjour justement, je n'ai pas de routage en place, pas de proxy arp et les trames de broadcast atteigne VM3 depuis VM1 Sur mon host : toto@ubuntu:~$ ip route show default via 10.22.9.254 dev ens160 onlink 10.22.9.0/24 <http://10.22.9.0/24> dev ens160 proto kernel scope link src 10.22.9.75 net.ipv4.ip_forward = 0 net.ipv4.conf.all.proxy_arp = 0 Sur les VM, je n'ai pas de route par défaut. Chaque VM est lancé ainsi qemu-system-x86_64 -machine accel=kvm:tcg -cpu host -m 256 -hda alpine-lab1.img -net nic,macaddr=52:54:00:12:12:02 -net tap,script=no,ifname=lab1vm1 -vnc :2 -name lab1vm1 -localtime --daemonize Ce que je n'explique pas, si je down eth0 eth1 de la VM2, les ping continue à marcher ! VM2 ne fait donc pas le routage. Visiblement, c'est le kernel du host qui relai les paquets. Mais pourquoi les tag vlan ne jouent pas leur rôle ? Cordialement Le 14/08/2019 à 04:44, VALOIS, Pascal a écrit :bonjour, Dans ton cas, je pense que tes vm1 2 et 3 ont chacune une route par défaut positionnée, et que l'équipement qui assure leur routage fait le lien entre les deux vlans. en gros, au niveau 2 tu est bien isolé, mais comme tu es dans un contexte de ping et de routage ip, et non plus d'une transation pure ethernet (niveau 2), ben tu as un chemin qui existe entre des vms. A ce niveau la, il faut ajouter des ACLS sur ton équipement de routage, pour filtrer le niveau 3 (comme le ferai un firewall) Cordialement. Le 13/08/2019 à 23:23, Florent Nolot a écrit :Bonjour J'ai un problème d'isolation entre des VM connectés à un OpenVSwitch et utilisant des VLAN. Les vlan ne jouent pas leur rôle de cloisement. Je copie ci-dessous le post stackoverflow que j'ai effectué, resté sans réponse à ce jour. I have 3 VM (qemu with tap interface), 2 on vlan 10 and 1 on vlan 66 on the same lab1 OpenVSwitch. The first VM is connected via a tap interface on port lab1vm1. The second has 2 network interfaces connected on port lab1dhcp and lab1dhcpmaster and the third VM on port dhcpmaster. |------------- ----------------------- -------------- | VM 1 | | VM2 | | VM3 | |10.10.10.3 | |10.8.6.1 10.10.10.13| | 10.10.10.2 | ------------- ----------------------- -------------- | | | | | | | | ------------------------------------------------------------------ |lab1vm1 lab1dhcp lab1dhcpadm dhcpmaster OVS lab1| |tag 10 tag 10 tag 66 tag 66 | ------------------------------------------------------------------ | The OpenVSwitch is configured as follow : |Bridge"lab1"Port"lab1vm1"tag:10Interface"lab1vm1"Port"lab1"tag:10Interface"lab1"type:internal Port"lab1dhcp"tag:10Interface"lab1dhcp"Port"lab1dhcpadm"tag:66Interface"lab1dhcpadm"Portdhcpmaster tag:66Interfacedhcpmaster ovs_version:"2.9.2"| The problem: VM1 can ping VM3! * If I power off VM2 or shutdown lab1dhcp or lab1dhcpadm interface, the ping doesn't work. * If I shutdown the two network interfaces of VM2, ping works ! Why VM2 relay ICMP packet from VM1 to VM3 ? The broadcast send by VM1 reach also VM3 ! for example, if I ask an address from dhcp client on VM1, VM3 receive the dhcp discover. Merci pour votre aide. Florent _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/