Mettre en place un réseau privé pour serveurs dédiés (CentOS 7)

Avec un réseau privé, vous pouvez diviser votre réseau existant en plusieurs réseaux logiques. Les serveurs communiquent via des adresses IP locales qui ne sont pas routées sur Internet.

L'utilisation de réseaux privés vous offre les avantages suivants :

  • Vous pouvez organiser vos réseaux en fonction des aspects organisationnels.

  • Vous pouvez facilement ajouter ou supprimer vos serveurs.

  • Vous pouvez réduire la latence et la charge réseau.

  • Vous pouvez optimiser le trafic en donnant une priorité aux paquets de données.

  • Chaque serveur ne peut communiquer qu'avec des serveurs du même réseau privé.

L'utilisation d'un réseau privé peut être utile dans les cas suivants, par exemple :

  • Mise en place d'un réseau privé pour les services ou les équipes de projet

  • Mise en place d'un réseau privé connecté à un répartiteur de charge (Load Balancer)

  • Mise en place d'un réseau privé pour un serveur Web et un serveur de base de données

Vous pouvez créer un réseau privé composé de serveurs dédiés en configurant des VLAN balisés. Les VLAN sont des réseaux locaux virtuels. Ceux-ci sont combinés en un seul standard dans IEEE 802.1Q. Avec les VLAN, vous pouvez diviser un réseau physique existant en plusieurs réseaux logiques avec différents sous-réseaux. Le trafic de données est encapsulé de sorte que les données d'un ou plusieurs VLAN peuvent être transmises indépendamment les unes des autres.

Les VLAN balisés n'ont pas d'affectation fixe entre le réseau virtuel et un port. L'affectation se fait en marquant les paquets de données. Les paquets de données sont munis d'étiquettes dans lesquelles l'ID du VLAN est stocké. Ceci est fait selon IEEE 802.1Q par l'appareil terminal respectif. Dans ce cas, il s'agit des serveurs affectés au réseau privé. Grâce à l'ID du VLAN, un commutateur peut reconnaître à quel VLAN appartient le paquet de données. Cela permet d'utiliser plusieurs VLAN via un seul port de commutation.

Attention
  • Cet article suppose une connaissance de base de l'administration des serveurs sous Linux.

  • Si vous ne configurez pas le serveur correctement, il se peut qu'il ne soit plus disponible.

  • Pour utiliser le réseau privé pour les serveurs dédiés, vous devez configurer tous les serveurs affectés au réseau.

Voici comment configurer une interface Ethernet d'un serveur avec CentOS 7 comme VLAN trunk IEEE 802.1Q :

Conditions préalables
  • Vous avez créé au moins deux serveurs dédiés.

  • Vous avez affecté les serveurs dédiés à un réseau privé.

Déterminer l'ID du VLAN

L'ID VLAN est nécessaire pour configurer la carte réseau. Voici comment le déterminer :

  • Chez IONOS, rendez-vous dans la section Serveurs et Cloud (si vous possédez plusieurs contrats, sélectionnez celui contenant le serveur souhaité) :
    Me connecter et accéder à la section Serveurs et CloudAccéder à la section Serveurs et Cloud

  • Une fois dans le Cloud Panel, cliquez dans le menu à gauche sur Infrastructure > Serveurs puis sélectionnez le serveur souhaité.

  • Faites défiler la page jusqu'à l'élément de menu Réseau privé.

  • Notez l'ID du VLAN.
    Exemple : VLAN : 3509

Configurer l'interface réseau

Dans cette étape, vous devez configurer l'interface réseau pour le VLAN ou le réseau privé. Dans l'exemple ci-dessous, nous supposons qu'un hôte a besoin d'accéder à un VLAN connecté à l'interface réseau eth0. L'adresse IP attribuée à l'hôte est 192.168.2.3/24 pour le VLAN 3509. Pour les autres VLAN, la configuration est la même.

Remarque

Le nom de l'interface réseau doit être conforme à la convention d'appellation supportée par vconfig. Le format d'entrée utilisé et recommandé ici est ethx.y. Ici ethx est le nom de l'interface physique. Le caractère de remplacement y est l'ID du VLAN.

  • Connectez-vous au serveur en tant qu'administrateur.

  • Utilisez vi pour créer le fichier de configuration de l'interface réseau pour VLAN 3509 :
    root@example.com:~# vi /etc/sysconfig/network-scripts/ifcfg-eth0.3509

Remarque

L'éditeur vi a un mode insertion et un mode commande. Vous pouvez passer en mode insertion en appuyant sur la touche i. Dans ce mode, les caractères saisis sont immédiatement insérés dans le texte. Pour entrer en mode commande, appuyez sur la touche ESC. Lorsque vous utilisez le mode commande, votre saisie au clavier est interprétée comme une commande.

  • Insérez les informations requises dans le formulaire suivant :
    VLAN= yes
    DEVICE=[NOM-DE-LINTERFACE-PHYSIQUE-ET-ID-VLAN]
    BOOTPROTO=static
    ONBOOT=yes
    IPADDR=[ADRESSE-IP]
    NETMASK=[ADRESSE-MAC]

    Exemple :
    VLAN=yes
    DEVICE=eth0.3509
    BOOTPROTO=static
    ONBOOT=yes
    IPADDR=192.168.2.3
    NETMASK=255.255.255.0

  • Pour quitter vi et enregistrer le fichier, tapez la commande ci-dessous, puis appuyez sur Entrée :
    :wq

  • Pour redémarrer l'interface réseau du réseau privé, tapez la commande suivante :
    root@example.com: ifup [NOM-DE-LINTERFACE-PHYSIQUE-ET-ID-VLAN] Exemple :
    ifup eth0.3509

Tester la configuration du réseau

Pour tester la configuration réseau, tapez la commande suivante :
ifconfig[NOM-DE-LINTERFACE-PHYSIQUE-ET-VLAN-ID]
Exemple :
ifconfig eth0.3509

Par exemple, si l'interface réseau a été configurée avec succès, le message suivant s'affiche :
eth0.3509    Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr: 192.168.2.3  Bcast:12.168.2.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500 Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

Aide en cas de problèmes

L'interface réseau physique n'a pas été trouvée :

Après avoir entré la commande ifup eth0.3509, un message d'erreur s'affiche.
Exemple :

Device eth0.3509 does not seem to be present, delaying initialization.Ce message peut indiquer que le paramètre vlan=yes est manquant dans le fichier ifcfg-eth0.3509 ou que le nom du périphérique spécifié ne respecte pas la convention d'appellation vconfig.

Pour recharger le module du noyau, entrez la commande ifup.

 
Pas de prise en charge VLAN 802.1Q disponible dans le noyau :

Si vous recevez un message d'erreur identique ou similaire au message d'erreur ci-dessous, le module noyau requis pour déployer le support VLAN n'a pas été chargé :

No 802.1Q VLAN support available in kernel for device eth0.2

Pour recharger le module du noyau, entrez la commande ifup.

Pour vérifier si le module du noyau 802.1Q est actuellement chargé, tapez la commande suivante :

lsmod | grep 8021q

Si le module du noyau 802.1Q n'est pas listé, il n'a probablement pas été trouvé. Pour confirmer cela, entrez la commande suivante :

modprobe 8021q

Si vous recevez le message d'erreur ci-dessous, vous utilisez probablement un noyau différent de celui que vous avez installé à l'origine et vous n'avez pas chargé d'ensemble de modules du noyau correspondant :

FATAL: Could not open '/lib/modules/2.6.18-194.el5/kernel/net/8021q/8021q.ko': No such file or directorySi c'est le cas, il n'y a pas de répertoire dans /lib/modules qui correspond à la version actuelle du noyau.

Autrement, les situations suivantes peuvent être en compte :

  • Le fichier en question a été supprimé.

  • Vous utilisez un noyau dans lequel le module 802.1Q n'est pas listé.