[SOLVED] PVE Config Netzwerk (interfaces) - VLAN, Bond, Trunk...

[Madtrick]

Hallo,
ich benötige doch etwas Hilfe bei der Konfiguration der Netzwerk-Schnittstellen.

Hier einmal die jetzige /etc/network/interfaces:

auto lo
iface lo inet loopback

### PVE GUI
### Bridge auf eno1 mit statischer IP für PVE
iface eno1 inet manual

auto vmbr0
iface vmbr0 inet static
    address 10.10.10.5/24
    gateway 10.10.10.1
    bridge-ports eno1
    bridge-stp off
    bridge-fd 0

### VMs SIP
### Bridge in VLAN10 auf eno2
iface eno2 inet manual

auto vmbr1.10
iface vmbr1.10 inet manual

iface vmbr1 inet manual
    bridge-ports eno2
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes

### VMs für verschiedene VLANs
### Bond mit 2 eth mit 7 VLANs/Bridges
iface eno3 inet manual
iface eno4 inet manual

Das was ich möchte habe ich soweit in die interfaces geschrieben.

Erste Netzwerkkarte eno1 soll eine Bridge bekommen. Der PVE soll über die statische IP 10.10.10.5/24 erreichbar sein.
Ausschließlich darüber, da dies das Admin-Netzwerk im IP-Adressbereich 10.10.10.0/24 ist.

Die zweite Netzwerkkarte eno2 soll ebenfalls mit Bridge sein. Zusätzlich soll sie mit dem VLAN10 getagged sein. Hier sind VMs im VLAN10 abgeschottet.

Die dritte und vierte eno sollen als Bond eingerichtet werden. Getagged mit 7 VLANs. Jedes einzelne VLAN sollte seine Bridge bekommen, so dass jede VM über die entsprechende Bridge im jeweiligen VLAN landet.

Der vor allen VLAN eno's sitzende Switch regelt die einzelnen VLANs und stellt auch das Bond bereit. Der Switch schottet die VLAN's bzw. die VMs gegeneinander ab oder gewährt Zugriff.

Ich bitte euch um Hilfestellung, wie die Konfig der interfaces des PVE aussehen müsste.

 

[Dunuin]

Hallo,
ich benötige doch etwas Hilfe bei der Konfiguration der Netzwerk-Schnittstellen.

Hier einmal die jetzige /etc/network/interfaces:

auto lo
iface lo inet loopback

### PVE GUI
### Bridge auf eno1 mit statischer IP für PVE
iface eno1 inet manual

auto vmbr0
iface vmbr0 inet static
    address 10.10.10.5/24
    gateway 10.10.10.1
    bridge-ports eno1
    bridge-stp off
    bridge-fd 0

### VMs SIP
### Bridge in VLAN10 auf eno2
iface eno2 inet manual

auto vmbr1.10
iface vmbr1.10 inet manual

iface vmbr1 inet manual
    bridge-ports eno2
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes

### VMs für verschiedene VLANs
### Bond mit 2 eth mit 7 VLANs/Bridges
iface eno3 inet manual
iface eno4 inet manual

Das was ich möchte habe ich soweit in die interfaces geschrieben.

Erste Netzwerkkarte eno1 soll eine Bridge bekommen. Der PVE soll über die statische IP 10.10.10.5/24 erreichbar sein.
Ausschließlich darüber, da dies das Admin-Netzwerk im IP-Adressbereich 10.10.10.0/24 ist.

Die zweite Netzwerkkarte eno2 soll ebenfalls mit Bridge sein. Zusätzlich soll sie mit dem VLAN10 getagged sein. Hier sind VMs im VLAN10 abgeschottet.

Wenn alles was an vmbr1 angeschlossen werden soll im VLAN 10 landen soll, dann sollte das so aussehen:

iface eno2 inet manual

iface eno2.10 inet manual

auto vmbr1
iface vmbr1 inet manual
    bridge-ports eno2.10
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware no

Das Linux VLAN Interface eno2.10 macht dann das tagging und alles was über die vmbr1 läuft ist dann ungetaggt, verlässt eno2 aber mit VLANID 10.

Die dritte und vierte eno sollen als Bond eingerichtet werden. Getagged mit 7 VLANs. Jedes einzelne VLAN sollte seine Bridge bekommen, so dass jede VM über die entsprechende Bridge im jeweiligen VLAN landet.

Der vor allen VLAN eno's sitzende Switch regelt die einzelnen VLANs und stellt auch das Bond bereit. Der Switch schottet die VLAN's bzw. die VMs gegeneinander ab oder gewährt Zugriff.

Ich bitte euch um Hilfestellung, wie die Konfig der interfaces des PVE aussehen müsste.

Würde ich jetzt nicht so machen, aber kann man theoretisch. Eleganter wäre es aber alle 7 VLANs nur über eine Bridge laufen zu lassen die VLAN aware ist. Dann leitete die Bridge alle 7 VLANs und welche virtuelle NIC dann in welchem VLAN sitzt kann man in den VM-Einstellungen auswählen, indem man dort der virtio NIC ein "VLAN Tag" setzt. Klappt gleich gut aber man muss nicht so viele Bridges haben. Sobald man einer virtuellen NIC ein VLAN setzt wird da auch automatisch das tagging übernommen und alles was die VM über die virtuelle NIC verlässt wird automatisch mit dem entsprechenden VLAN getaggt und die virtuelle NIC lässt nur Pakete in die VM durch die entsprechend getaggt sind und entfernt dann das Tag, dass da in der VM nur untagged Traffic ankommt.

Wenn du das trotzdem mit einzelnen Bridges machen willst würde das z.B. so gehen:

iface bond0 inet manual
        bond-slaves eno3 eno4
        bond-miimon 100
        bond-mode 802.3ad
        bond-xmit-hash-policy layer3+4

iface bond0.2 inet manual

auto vmbr2
iface vmbr2 inet manual
        bridge-ports bond0.2
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware no

iface bond0.3 inet manual

auto vmbr3
iface vmbr3 inet manual
        bridge-ports bond0.3
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware no

iface bond0.4 inet manual

auto vmbr4
iface vmbr4 inet manual
        bridge-ports bond0.4
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware no

...

Beim Bond bin ich jetzt einfach mal von LACP mit Layer 3+4 ausgegangen, da ich das am sinnvollsten finde, sofern der Switch das unterstützt. Gehen natürlich auch andere bonds wie active-passive, round-robin oder ähnliches.

 

[Madtrick]

@Dunuin
Herzlichen Dank. Das hilft mir schon einmal sehr.

Wenn alles was an vmbr1 angeschlossen werden soll im VLAN 10 landen soll, dann sollte das so aussehen:
Code:
iface eno2 inet manual

iface eno2.10 inet manual

auto vmbr1
iface vmbr1 inet manual
bridge-ports eno2.10
bridge-stp off
bridge-fd 0
bridge-vlan-aware no
Das Linux VLAN Interface eno2.10 macht dann das tagging und alles was über die vmbr1 läuft ist dann ungetaggt, verlässt eno2 aber mit VLANID 10.

Ohje. So hatte ich es schon vorher einmal geschrieben und dann wieder verändert, weil mich irgendetwas gestört hatte. Hätte ich es mal gelassen. ;-)
Jep. Genau so möchte ich das haben.

Würde ich jetzt nicht so machen, aber kann man theoretisch. Eleganter wäre es aber alle 7 VLANs nur über eine Bridge laufen zu lassen die VLAN aware ist. Dann leitete die Bridge alle 7 VLANs und welche virtuelle NIC dann in welchem VLAN sitzt kann man in den VM-Einstellungen auswählen, indem man dort der virtio NIC ein "VLAN Tag" setzt. Klappt gleich gut aber man muss nicht so viele Bridges haben. Sobald man einer.....

Alle VLANs zusammen über eine Bridge laufen zu lassen scheint mir nun auch der elegantere Weg zu sein. Dann muss ich nur beim Erstellen einer VM der Netzwerkkarte den entsprechenden Tag geben. Aus Sicht des VM Hosts liegt der Host dann im entsprechenden IP-Bereich des Vlans.
Sollte so gehen.

Was sich mir nicht erschließt ist, wie ich die 7 VLANs an der Bridge definieren muss.

Zuerst steht da das iface bond0 mit Definition:

iface bond0 inet manual
        bond-slaves eno3 eno4
        bond-miimon 100
        bond-mode 802.3ad
        bond-xmit-hash-policy layer3+4

Dann die bridge2...
hmmm, muss das dann so ähnlich aussehen?

iface bond0 inet manual
        bond-slaves eno3 eno4
        bond-miimon 100
        bond-mode 802.3ad
        bond-xmit-hash-policy layer3+4

iface vmbr2.11 inet manual
iface vmbr2.12 inet manual
iface vmbr2.40 inet manual
iface vmbr2.60 inet manual
iface vmbr2.61 inet manual
iface vmbr2.70 inet manual
iface vmbr2.71 inet manual

auto vmbr2
iface vmbr2 inet manual
        bridge-ports bond0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes

Beim Bond bin ich jetzt einfach mal von LACP mit Layer 3+4 ausgegangen, da ich das am sinnvollsten finde, sofern der Switch das unterstützt. Gehen natürlich auch andere bonds wie active-passive, round-robin oder ähnliches.

Jep. LACP sollte es werden. Welcher Layer und welche Einstellungen sonst noch muss ich mal sehen. Das ist mein erstes Bond und der Switch bietet einiges. Ich packe mal einen Screenshot mit dran.

Zum einen möchte ich, dass eine Nic für die ganzen VMs nicht zum Nadelöhr werden. Zum anderen möchte ich aber auch einfach wieder etwas dazulernen und austesten.

Ich freue mich über jeden Tip...
Das ganze ist alles auf einmal. Homelab mit jede Menge Anforderungen. Hobby und Co, usw...

 

[Dunuin]

iface vmbr2.11 inet manual
iface vmbr2.12 inet manual
iface vmbr2.40 inet manual
iface vmbr2.60 inet manual
iface vmbr2.61 inet manual
iface vmbr2.70 inet manual
iface vmbr2.71 inet manual

Die brauchst du eigentlich alle nicht definieren. Im Endeffekt sagst du damit deinem Host nur das er ein Interface in jedem VLAN haben soll, die er dann ja aber garnicht nutzt, da du für all die Interfaces keine IP verteilst. Würde ich nur machen wenn du auch echt eine IP in einem VLAN auf der Bridge haben willst.

auto vmbr2
iface vmbr2 inet manual
bridge-ports bond0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes[/CODE]

Bei einer vlan aware bridge solltest du dann noch die VLAN IDs angeben, welche die Bridge leiten darf.
Also sollte bei der vmbr2 noch ein bridge-vids 11 12 40 60 61 70 71 rein.

 

[Madtrick]

Ich sehe gerade, dass PVE selber bei der eno2 mit vlan10 ein "bridge-vids 2-4094" reingeschrieben hat. Was bedeutet den das 2-4094?

 

[Dunuin]

Alle vlans von VLANID 2 bis VLANID 4096 erlaubt. Also quasi alles außer VLANID1 was ja normalerweise für untagged Traffic als VLAN benutzt wird.

 

[Madtrick]

hmmm, also ich bekomme es nicht zum laufen...
Hier einmal die /etc/network/interfaces im ganzen:

auto lo
iface lo inet loopback

#Adm
iface eno1 inet manual

auto vmbr1
iface vmbr1 inet static
        address 10.10.10.5/24
        gateway 10.10.10.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0


#SIP
iface eno2 inet manual
iface eno2.10 inet manual

auto vmbr2
iface vmbr2 inet manual
        bridge-ports eno2.10
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware no
        bridge-vids 10


#VLANs
auto eno3
iface eno3 inet manual

auto eno4
iface eno4 inet manual

iface bond0 inet manual
        bond-slaves eno3 eno4
        bond-miimon 100
        bond-mode 802.3ad
        bond-xmit-hash-policy layer3+4

auto vmbr3
iface vmbr3 inet manual
        bridge-ports bond0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 11 12 40 60 61 70 71

Noch als Zwischenbemerkung zum Einspielen einer neuen Konfig in den PVE...
Ich verändere die interfaces mit nano. Speichere natürlich und lasse den PVE rebooten.
Wenn ich nach dem Reboot in die interfaces sehe, ist sie wie von mir geändert. Was ich aber in der GUI festgestellt habe ist folgendes:
In der interfaces für vmbr2 die Option bridge-vlan-aware no. In der GUI wird diese Option aber als "Ja" angezeigt. Entweder ist es ein Bug oder die GUI bezieht sich nicht direkt auf die interfaces... Kann das?

Oder anders gefragt, wie sollte ich eine neue Konstellation für die Netzwerk Konfig in den PVE bringen?
Vielleicht einen Wert in der GUI verändern, so dass eine interfaces.new erzeugt wird. In der per nano die Veränderungen einbringen und speichern. In der GUI wird dann durch wiederholtes laden der Seite die neue Konfig auch wie gespeichert angezeigt und ich kann über den Button "Konfiguration anwenden" die neue Konfig übernehmen. Die interfaces.new ist dann weg und alles wurde in die interfaces geschrieben. Mit klick auf den Button wird der Service auch neu gestartet.
Was aber auf jeden Fall passiert ist, dass die Konfig durch den PVE neu "sortiert" wird und ggf. Optionen zusätzlich gesetzt werden, die vorher nicht in der interfaces.new standen, oder das welche weg gelassen wurden.
Z. B. wird aus einem bridge-vids 10 ein bridge-vid 2-4094. Oder ein bridge-vid 10 wird weg gelassen. Schon alles mögliche gesehen...

Eine reine Konfiguration über die GUI klappt auch nicht ohne weiteres. Manche Optionen werden einfach nicht akzeptiert, die über die interfaces auf jeden Fall übernommen werden. Oder ich konfiguriere in der falschen Reihenfolge?

Aber zum Thema zurück...
Im Switch sehe ich, dass das bond aktiv ist. Wie kann ich das im PVE feststellen?

Testweise habe ich eine VM im VLAN70 und statischer IP im korrekten Adressbereich erzeugt. Einstellungen der Netzwerkkarte als Screenshot im Anhang.
Die VM sollte nun über die vmbr3 durch den bond0 im Netzwerk im VLAN70 erreichbar sein. ein Ping läuft aber ins Leere.
Eine zweite Test VM ohne Tag hängt mit statischer IP über die vmbr2 im VLAN10. Hier klappt alles wie gewünscht. Aber die vmbr2 läuft auch nicht über den Bond, sondern über die 2. Netzwerkkarte des PVE zum Switch und ins richtige VLAN. Hier ist also alles gut.
Ebenfalls bei der vmbr1, wo nur der PVE administativ über das Admin-VLAN erreicht werden kann.

Es klemmt also in erster Linie am bond0 und der vmbr3 mit mehreren VLANs.
Wie müsste ich vielleicht Schritt für Schritt vorgehen, um erst den nach erfolgreichem Schritt zum nächsten zu kommen?

 

[Madtrick]

Okay... Kommando zurück...

Gerade habe ich noch einen Ping auf die VLAN70 VM abgesetzt und bekomme zum ersten mal eine Antwort... Komisch... Jetzt ging es einfach ohne das irgendetwas verändert wurde...
Okay... Nicht das das nun eine Eintagsfliege war... Erst mal weiter und ausführlicher testen.
Wie könnte ich ggf. weiter testen, ob die Konfig nun wirklich zuverlässig läuft?

Als 2. Punkt bleibt dann noch die Frage, wie man solche eine Konfig am besten in den PVE rein bringt. Eben auf Grund meiner gemachten Erfahrungen wie im Posting zuvor beschrieben.
Über die GUI oder über die interfaces. Oder vielleicht noch ganz anders?

NACHTRAG:
Ein Ping in Richtung der VM wird beantwortet und geht.
Ein Ping aus der VM auf den Gateway, was ja der Switch ist jedoch nicht.

 

[Dunuin]

#SIP
iface eno2 inet manual
iface eno2.10 inet manual

auto vmbr2
iface vmbr2 inet manual
bridge-ports eno2.10
bridge-stp off
bridge-fd 0
bridge-vlan-aware no
bridge-vids 10

Die Bridge kann keine VLANs leiten, das "bridge-vids 10" ist also falsch (oder wenigstens überflüssig). Alles was als VLAN 10 getagged über eno2 ankommt wird von eno2.10 zu untagged traffic umgewandelt und dann die vmbr2 weitergeleitet, dass da vmbr2 nichts mehr mit VLANs am Hut hat.

In der interfaces für vmbr2 die Option bridge-vlan-aware no. In der GUI wird diese Option aber als "Ja" angezeigt. Entweder ist es ein Bug oder die GUI bezieht sich nicht direkt auf die interfaces... Kann das?

Versuch das "bridge-vlan-aware no" sonst mal überall zu entfernen und nur das "bridge-vlan-aware yes" in der vmbr3 zu lassen. Ich meine wenn man nichts angibt sollte das ebenfalls einem deaktivierten "vlan aware" entsprechen.

Oder anders gefragt, wie sollte ich eine neue Konstellation für die Netzwerk Konfig in den PVE bringen?

Ich habe meine Konfig immer über die WebUI gemacht, dass diese dann genau das erzeugt, was ich in der /etc/network/interfaces haben will.
Geht alles über die WebUI. Die "eno1.10" etc kann du hinzufügen indem du ein neues "Linux VLAN Interface" hinzufügst. Für dein Bond0 ein "Linux Bond" hinzufügen. Und die ganzen Parameter gehen über die Felder in der WebUI.

Eine reine Konfiguration über die GUI klappt auch nicht ohne weiteres. Manche Optionen werden einfach nicht akzeptiert, die über die interfaces auf jeden Fall übernommen werden. Oder ich konfiguriere in der falschen Reihenfolge?

Doch das geht. Habe gleiches bei mir über die WebUI erzeugt. Bei den "Linux VLANs" ist es wichtig, dann du "eno2.10" etc als Namen eingibst und das VLAN feld und interface Feld leer lässt. Interface und VLAN werden dann aus dem Namen heraus erzeugt.

Aber zum Thema zurück...
Im Switch sehe ich, dass das bond aktiv ist. Wie kann ich das im PVE feststellen?

Testweise habe ich eine VM im VLAN70 und statischer IP im korrekten Adressbereich erzeugt. Einstellungen der Netzwerkkarte als Screenshot im Anhang.
Die VM sollte nun über die vmbr3 durch den bond0 im Netzwerk im VLAN70 erreichbar sein. ein Ping läuft aber ins Leere.
Eine zweite Test VM ohne Tag hängt mit statischer IP über die vmbr2 im VLAN10. Hier klappt alles wie gewünscht. Aber die vmbr2 läuft auch nicht über den Bond, sondern über die 2. Netzwerkkarte des PVE zum Switch und ins richtige VLAN. Hier ist also alles gut.
Ebenfalls bei der vmbr1, wo nur der PVE administativ über das Admin-VLAN erreicht werden kann.

Es klemmt also in erster Linie am bond0 und der vmbr3 mit mehreren VLANs.
Wie müsste ich vielleicht Schritt für Schritt vorgehen, um erst den nach erfolgreichem Schritt zum nächsten zu kommen?

Ich würde tippen da ist dann was im Switch nicht korrekt eingestellt was das tagged VLAN und den bond betrifft.

Vielleicht erstmal den Bond ohne VLANs testen und dem Bond selbst eine temporäre statische IP verpassen?

Okay... Kommando zurück...

Gerade habe ich noch einen Ping auf die VLAN70 VM abgesetzt und bekomme zum ersten mal eine Antwort... Komisch... Jetzt ging es einfach ohne das irgendetwas verändert wurde...
Okay... Nicht das das nun eine Eintagsfliege war... Erst mal weiter und ausführlicher testen.
Wie könnte ich ggf. weiter testen, ob die Konfig nun wirklich zuverlässig läuft?

Ich mag ipref3 für sowas.

 

[Madtrick]

Ich habe da noch eine Frage.
Was bewirkt das Autostart bei der Netzwerkkarte des PVE?
Wann sollte der Parameter gesetzt sein?

 

[Dunuin]

Ich habe da noch eine Frage.
Was bewirkt das Autostart bei der Netzwerkkarte des PVE?
Wann sollte der Parameter gesetzt sein?

Das besagt, dass das Interface automatisch nach dem reboot hochgefahren wird. Ansonsten müsstest du das Interface immer erst manuell per CLI starten damit es nutzbar wäre (von down auf up wechselt).

Bei PVE 6 hatte ich bei mir keine Probleme wenn einfach alle interfaces auf auto gestellt waren. Nach dem Update von Debian Buster auf Bullseye musste ich aber fast überall das "auto" entfernen weil die Interfaces sonst nicht starten wollten, wenn schon ein Eltern-Interface per auto gestartet wurde.
Also z.B. bei eno1 + eno2 -> bond0 -> vmbr0 dürfte nur für vmbr0 das auto gesetzt sein, weil vmbr0 als tiefstes Kind-Interface nicht starten könnte wenn eno1,eno2 oder bond0 bereits gestartet wären. Wenn man vmbr0 automatisch startet würde vmbr0 auch bond0, eno1 und eno2 mitstarten, weil dessen Funktion ja von diesen abhängig ist.

 

[Madtrick]

Abschließend poste ich euch noch meine Konfiguration.
Ich habe mich für ein einzelne Brücken pro VLAN entschieden. Dann brauche ich beim Erstellen einer VM nicht mehr darauf zu achten, dass ich den entsprechenden Tag setzte.
Nun komme ich auch mit der Konfiguration des Netzwerks über die WebGUI zurecht.

Ganz herzlichen Dank für die Hilfe und Geduld!

# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!

auto lo
iface lo inet loopback

iface eno1 inet manual

iface eno2 inet manual

auto eno3
iface eno3 inet manual

auto eno4
iface eno4 inet manual

iface eno2.10 inet manual

iface bond0 inet manual
        bond-slaves eno3 eno4
        bond-miimon 100
        bond-mode 802.3ad
        bond-xmit-hash-policy layer3+4

iface bond0.11 inet manual

iface bond0.12 inet manual

iface bond0.40 inet manual

iface bond0.60 inet manual

iface bond0.61 inet manual

iface bond0.70 inet manual

iface bond0.71 inet manual

auto vmbr1
iface vmbr1 inet static
        address 10.10.10.5/24
        gateway 10.10.10.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0
#vlan1_Adm

auto vmbr10
iface vmbr10 inet manual
        bridge-ports eno2.10
        bridge-stp off
        bridge-fd 0
#vlan10_Sip

auto vmbr11
iface vmbr11 inet manual
        bridge-ports bond0.11
        bridge-stp off
        bridge-fd 0
#vlan11_Int

auto vmbr12
iface vmbr12 inet manual
        bridge-ports bond0.12
        bridge-stp off
        bridge-fd 0
#vlan12_Pub

auto vmbr40
iface vmbr40 inet manual
        bridge-ports bond0.40
        bridge-stp off
        bridge-fd 0
#vlan40_Lan

auto vmbr60
iface vmbr60 inet manual
        bridge-ports bond0.60
        bridge-stp off
        bridge-fd 0
#vlan60_GameInt

auto vmbr61
iface vmbr61 inet manual
        bridge-ports bond0.61
        bridge-stp off
        bridge-fd 0
#vlan61_GamePub

auto vmbr70
iface vmbr70 inet manual
        bridge-ports bond0.70
        bridge-stp off
        bridge-fd 0
#vlan70_Tau-DoInt

auto vmbr71
iface vmbr71 inet manual
        bridge-ports bond0.71
        bridge-stp off
        bridge-fd 0
#vlan71_Tau-DoPub