Home Cisco Hôtes virtuels pour labo Cisco réel … suite et fin

Hôtes virtuels pour labo Cisco réel … suite et fin

Posted on Publié dans Cisco, La pratique Étiquetté avec , , , , , , , , , , , , ,

Dans l’article précédent j’expliquais la manière dont j’ai enrichi mon labo Cisco de quelques machines virtuelles afin de pouvoir faire « vivre » les topologies de configuration. Après quelques tests il s’est avéré que quelques améliorations étaient encore nécessaires…

Comme le principe général fonctionnait bien (voir article précédent), j’ai entrepris de multiplier les machines virtuelles afin de pouvoir commencer à en profiter. Pour tester le tout, j’ai raccordé le tout à un switch (un c3750 pour l’histoire) afin de m’assurer que tout se passait comme prévu.

vhosts2

Et en effet, je pouvais déjà associer une machine virtuelle à une interface physique du switch et donc la brancher physiquement où je le souhaitais dans une topologie.

Toutefois en y regardant de plus près, un détail m’ennuyait… sur le switch de topologie (renseigné « SWITCH » dans le schéma) la table d’adresse MAC m’indiquait deux entrées… l’une étant celle de la machine virtuelle et l’autre une des adresses MAC utilisées par le C2950.

Bien que ce ne soit pas grave en soi, cela peut s’avérer problématique pour des configurations de type « port-security » etc. où le nombre d’adresses MAC associées à chaque interface peut jouer un rôle.

 

Pourquoi l’adresse MAC du c2950 apparaissait-elle ?

De base plusieurs protocoles sont actifs sur les interfaces d’un switch, comme par exemple CDP, DTP (Dynamic trunking Protocol), Spanning-Tree etc. Chacun de ces protocoles est à l’origine de trames émises et donc une raison potentielle de voir l’adresse MAC du c2950 apparaître dans la table d’adresse MAC du c3750.

Il restait donc à rendre le c2950 complètement muet au niveau des interfaces utilisées pour les machines virtuelles (Fa0/20-23).

Mais ce n’est pas tout, une autre fonctionnalité, les « keepalives » doit être désactivée. Le switch génère ces trames particulières afin de vérifier la présence d’un « quipement à l’autre bout de la liaison. Encore une chose à éliminer.

 

Configuration finale des interfaces dédiées aux machines virtuelles

Voici donc la configuration appliquée aux interfaces Fa0/20-23…

interface FastEthernet0/20
 switchport access vlan 100
 switchport mode access
 switchport nonegotiate
 no keepalive
 no cdp enable
 spanning-tree bpdufilter enable
!
interface FastEthernet0/21
 switchport access vlan 110
 switchport mode access
 switchport nonegotiate
 no keepalive
 no cdp enable
 spanning-tree bpdufilter enable
!
interface FastEthernet0/22
 switchport access vlan 120
 switchport mode access
 switchport nonegotiate
 no keepalive
 no cdp enable
 spanning-tree bpdufilter enable
!
interface FastEthernet0/23
 switchport access vlan 130
 switchport mode access
 switchport nonegotiate
 no keepalive
 no cdp enable
 spanning-tree bpdufilter enable

Et cette configuration a pour effets…

  • Associer une interface à un vlan dédié à une machine virtuelle
  • Désactiver la négociation du mode opérationnel trunk/access (donc désactiver DTP)
  • Désactiver les keepalives
  • Désactiver CDP sur l’interface (évite les messages de type « Vlan Mismatch »)
  • Désactiver l’émission et la réception de BPDU spanning-tree sur l’interface

Maintenant mon c2950 est totalement transparent pour les liaisons entre les machines virtuelles et le reste de la topologie. La table d’adresse MAC ne présente plus que les traces des machines virtuelles…

3750-2#sh mac address-table dynamic
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   5    0015.5d01.0e00    DYNAMIC     Fa3/0/1
   5    0015.5d01.0e02    DYNAMIC     Fa3/0/2
   5    0015.5d01.0e03    DYNAMIC     Fa3/0/3
   5    0015.5d01.0e04    DYNAMIC     Fa3/0/4
Total Mac Addresses for this criterion: 4
3750-2#