Outils pour utilisateurs

Outils du site


Panneau latéral

Vie de l'asso

Outils de travail

Bureau

Communication

Adminsys

Réseau

Services

ADSL/VDSL

WiFi

VPN

Hébergement de machines

Législatif et politique

Matériels

Transparence

Café vie privée

projets:wifi:ateliers:2_vlans_et_dhcpv6

Atelier wifi n°2 : VLANS et DHCPv6 (27/03/2014)

Dans notre épisode précédent, nous interconnections une babasse à l'internet v6 (wa-hou) à travers un pont wifi constitué de 2 nanostation M5 à travers un réseau de niveau 2 entre la babasse « cliente » et le routeur.

L'objectif de second atelier est de fournir une authentification (faible…) et une isolation des abonnés en utilisant des VLAN. Le principe est simple : chaque adhérent est dans un VLAN numéroté. Le préssuposé est que chaque abonné est derrière une antenne qui lui est propre dans le réseau.

Par ailleurs, un DHCPv6 tournant sur le routeur est censé attribuer en fonction de son vhost un préfixe /56 à chaque « routeur domestique » en faisant la demande.

VLAN

<pre>
 
            Sous responsabilité FAIMaison                      Sous responsabilité abonné
/------------------------------------------------------\ /-----------------------------------\
 
                                                                   +------------------------+
                                             +--------+      /-[U]-| Routeur « domestique » |
+---------+           +--------+          /--| NSM5#1 |------      +------------------------+
|         |           |        |  /--[1]--   +--------+
| Routeur |--[1]-[2]--| NSM5#0 |--
|         |           | #0     |  \--[2]--   +--------+
+---------+           +--------+          \--| NSM5#2 |-----\      +-------------------------+
                                             +--------+       -[U]-| Routeur « domestique »  |
                                                                   +-------------------------+
 
             ethernet             wifi                   ethernet
 
</pre>

Légende

  • NSM5#1 Nanostation M5 numéro 1
  • [U] Paquets non tagués
  • [1] Paquets tagués "1"

Configuration testée :

Dans la configuration testée, nous n'avions que 2 NSM5, jouant le rôle respectif de NSM5#0 et NSM5#2.

Sur le routeur

(le routeur est une VM, dont l'eth0 est bridgé sur l'interface de son hôte, lui-même relié à NSM5#0).

Interfaces :

  • Interface eth0 reliée à NSM5#0
  • Interface eth0.2 (vconfig add eth0 2)

Sur NSM5#0

  • eth0 reliée au routeur
  • wlan0 associée avec NSM5#2
  • eth0.2 interface taguée
  • wlan0.2 interface taguée
  • br1 bridge réunissant eth0.2 et wlan0.2 pour propager le VLAN 2
  • br0 bridge réunissant eth1 et wlan0 (pour administration/au cas où)

Sur NSM5#2

  • eth0 reliée à un laptop
  • wlan0 associée avec NSM5#2
  • eth0.2
  • wlan0.2
  • br0 bridge réunissant eth0 et wlan0.2
  • br1 bridge réunissant eth1 et wlan0 (pour administration/au cas où)

Sur le laptop

Le laptop joue un rôle de routeur domestique (sans connaissance des VLAN donc).

Son rôle se borne donc à être relié au eth0 de NSM5#1, et à être raccordé à internet via l'infra, et (pour ce qui concerne DHCPv6), à faire une requête pour obtenir une délégation de /56.

Comportement attendu

Une requête DHCPv6 part de laptop non taguée, arrive à NSM5#2 qui la tague avec le VLAN 2 avant de la transmettre à NSM5#0 qui la transmet taguée au routeur

Le routeur transmet une réponse taguée 2 via NSM5#0 , qui la transmet toujours taguée 2 à NSM5#0 qui le remet au laptop.

Comportement constaté (27/03/2014)

Tests avec un dhcpcd -6 côté laptop, et des commandes tcpdump pour diagnostiquer sur chacun des équipements.

  • Le paquet part bien non tagué de laptop
  • Le paquet est bient tagué en sortie de NSM5#2
  • Le paquet passe bien dans br1 sur NSM5#0
  • Le paquet est bien reçu sur le routeur mais il est non tagué (pas de paquet de réponse envoyé donc)

Choses apprises/déduites

  • La configuration sur NSM5#2 semble bon
  • Bridger eth0 et wlan0 ne suffit pas à faire passer les paquets tagués de l'un à l'autre, seuls les paquets non tagués semblent passer par le bridge

Commandes :

<pre>
# Créer une interface taguée avec l'identifiant de VLAN 2
vconfig add eth0 2
 
# La détruire
vconfig rem eth0.2
 
 
# Filtrer par numéro de vlan avec tcpdump
 
tcpdump -ni eth0 vlan 2
 
</pre>

Points à éclaircir/pistes

  • Est-ce que vraiment les paquets arrivent non tagués sur le routeur, ou est-ce un biais d'observation connu ?
  • y-a-t-il un moyen plus simple que de faire un bridge par vlan (cf br1 sur NSM5#0) pour switcher les vlans d'une interface à l'autre en préservant leur tag.
  • Est-ce que sur NSM5#1 la présence des interfaces non taguées (eth0, wlan0…) dans un second bridge ne rentrerait pas en conflit dans le packet switching ?
  • Essayer avec un setup « full-vlan » (pas de vlan par défaut) qui aurait le mérite d'être plus clair.

Reste à traiter

  • Le setup du serveur DHCPv6 a été fait par lidstah, mais non testé en raison du problème constaté. Une question reste entière : comment attribuer un /56 en fonction du VLAN ?
projets/wifi/ateliers/2_vlans_et_dhcpv6.txt · Dernière modification: 2015/03/27 18:43 de jocelynd