> Tech > LAN virtuel

LAN virtuel

Tech - Par iTPro - Publié le 24 juin 2010
email

  Les possibilités LPAR et LAN virtuel de la V5R1 de l'OS/400 permettent à  de multiples partitions de partager une même carte LAN (une interface Ethernet, par exemple). On peut associer la carte physique à  la partition OS/400 ou à  une partition Linux. Après quoi, les autres partitions accèdent à  la

carte physique par l’intermédiaire de la fonction LAN virtuel. Les systèmes LAN virtuels semblent être physiquement reliés à  un LAN réel. Le LAN virtuel émule les adaptateurs Ethernet gigabit en fournissant jusqu’à  16 voies de communications TCP/IP haute vitesse entre les partitions et en utilisant le bus mémoire de l’iSeries. Le LAN virtuel supporte les voies de communications d’OS/400 à  OS/400, de Linux à  OS/400, et de Linux à  Linux. Ainsi que la communication entre Linux et IXS.

  Configurer Linux pour l’accès LAN virtuel est un peu plus compliqué que de configurer une boîte Linux autonome parce qu’il faut attribuer des adresses IP uniques, en interne, à  chaque système d’exploitation communiquant via le LAN virtuel. On peut également dédier une carte LAN physique à  une partition Linux donnée. Dans ce cas, on configurera TCP/IP comme s’il s’agissait d’une boîte Linux autonome. Pour la plupart des sites, l’option la plus souple et la moins coûteuse est celle de partitions multiples partageant une carte LAN unique. Le seul inconvénient de ce choix est la configuration TCP/IP plus complexe. Cependant, les cartes LAN dédiées s’avèrent plus performantes en cas de trafic élevé, parce que les paquets peuvent être traités en parallèle.

  La V5R1 offre deux technologies TCP/IP avancées : Network Address Translation et Proxy ARP (Proxy Address Resolution Protocol), qui permettent aux systèmes sur le LAN virtuel d’apparaître comme s’ils étaient rattachés physiquement à  un LAN réel. NAT (Nertwork Address Translation). Il n’est pas facile de se connecter directement à  Linux sur un LAN virtuel, parce que la plate-forme est dépourvue d’une interface sur le réseau externe qui lui permettrait de répondre aux requêtes provenant du réseau. NAT utilise la fonction de translation d’adresses d’Operation Navigator pour associer de multiples adresses IP externes (Internet Public) avec une interface réseau iSeries unique et pour traduire ces adresses en adresses privées uniques sur le LAN virtuel ou sur le réseau interne protégé de l’entreprise.

  NAT présente une limitation : le système d’exploitation invité (guest) (c’est-à -dire, celui dont NAT traduit les adresses) ne connaît pas son adresse véritable. Cette ignorance peut entraîner la défaillance de certains protocoles de réseau, comme IPSec (IP Security). Il faut donc s’assurer que les protocoles que l’on envisage d’utiliser sur une interface NAT ne sont pas sensibles à  la traduction d’adresses (address translation).

  Proxy ARP (Address Resolution Protocol). Proxy ARP permet à  l’iSeries de répondre aux requêtes ARP pour les adresses IP sur un subnet spécial que CFGTCP (Configure TCP) définit (figure 3). L’iSeries agit comme un routeur pour toutes les requêtes d’adresses sur le subnet. Proxy ARP résout à  merveille les problèmes liés à  l’association d’adresses IP multiples avec une seule interface physique et au bon acheminement du trafic pour une partition particulière. Proxy ARP remplace avantageusement NAT en permettant d’ignorer ses limitations. Avec Proxy ARP, chaque partition a une adresse véritable. Les protocoles de réseau (IPSec, par exemple) qui valident les adresses d’origine et de destination fonctionneront parfaitement dans un environnement Proxy ARP alors qu’ils auraient des difficultés dans un environnement NAT.

  On peut établir Proxy ARP avec l’adaptateur de réseau hébergé par la partition primaire de l’OS/400 ou par l’une des partitions guest de Linux. Dans le premier cas, il faut attribuer un bloc d’adresses IP consécutives au système. Le bloc d’adresses doit couvrir l’intervalle des partitions que Proxy ARP sert, plus deux autres pour les diffusions IP (IP broadcasts). Toutefois, si l’une des partitions guest Linux héberge l’adaptateur de réseau, on peut attribuer des adresses IP individuelles disséminées à  partir du subnet du réseau pour chacune des partitions servies par Proxy ARP. Avec cette configuration, on n’a pas besoin d’une adresse de broadcast ou de root.

Téléchargez gratuitement cette ressource

Chiffrement des Données en mode SaaS

Chiffrement des Données en mode SaaS

La protection de vos données est une priorité. Mais pour répondre aux attentes de vos équipes IT et de vos collaborateurs, il devient capital de s’appuyer sur des solutions qui allient ergonomie et facilité d’utilisation. Découvrez comment répondre à ces enjeux avec Stormshield Data Security, la solution de chiffrement de données.

Tech - Par iTPro - Publié le 24 juin 2010