[VLAN] Comment créer un Vlan de niveau 2 ?!

Comment créer un Vlan de niveau 2 ?! [VLAN] - Windows & Software

Marsh Posté le 05-06-2006 à 17:12:20    

Salut à tous , voici le truc :
J'ai 4 stations A,B,C,D sur mon switchs CISCO 2950.
J'ai réussi a créer des Vlan de niveau 1 mais je souhaiterais créer des Vlan de niveau 2 voir 3 afin de pousser encore plus loin le projet que je suis en train de réaliser :)
Le hic c'est que je n'ai pas les commandes pour faire ces Vlan de niveau 2 et 3 :/
Je cherche donc non pas 1 solution toute faite (quoique :whistle: ) mais plutôt un site sur lequel je vais pouvoir trouver les commandes qui me manque pour créer un vlan de niveau supérieur à 1 !
 
Merci à tous ! :hello:

Reply

Marsh Posté le 05-06-2006 à 17:12:20   

Reply

Marsh Posté le 05-06-2006 à 19:25:28    

Up plz :/

Reply

Marsh Posté le 05-06-2006 à 20:20:05    

cisco.com
 
et pour tes histoire de niveau de vlan, je sais pas ce que tu veux...

Reply

Marsh Posté le 05-06-2006 à 20:51:16    

C'est quoi des niveaux de VLAN ?

Reply

Marsh Posté le 05-06-2006 à 21:51:24    

Reply

Marsh Posté le 05-06-2006 à 21:59:26    

Merci jlighty :)

Reply

Marsh Posté le 05-06-2006 à 22:04:10    

Avec le 2950, tu peux faire que du N2 ... si tu veux faire du N3, faut un 3750 par exemple.

Reply

Marsh Posté le 06-06-2006 à 06:57:25    

et s'il avait un 3750, il aurait du faire comment ??
parce que je vois toujours pas de quoi il veut parler avec ses histoire de niveau de vlan...

Reply

Marsh Posté le 06-06-2006 à 07:41:16    

Tout est expliqué dans le lien donné par jlighty.
VLAN suivant les ports, les MAC ou les IP

Reply

Marsh Posté le 06-06-2006 à 08:26:30    

ok, c'est bien ca que je pensais, et on a deja abordé avec je sais plus qui le sujet dans un autre thread:
ca ne sert a rien. Et quand on dit qu'il faut un 3750 pour ca, j'aimerais bien connaitre les commandes, parce que pour moi ca a tellement peu de sens que j'ai du mal a croire que cisco l'ait implémenté.
Faire de la définition de vlan par autre chose que par port est une aberration en terme de sécu (hormais 802.1x, mais il n'en est pas question ici), d'autant qu'en tout autre temre d'ailleur.

Reply

Marsh Posté le 06-06-2006 à 08:26:30   

Reply

Marsh Posté le 06-06-2006 à 10:17:21    

En quoi c'est une aberration ? (mise à part le fait que ça viole un peu l'organisation des couches du modèle OSI)


Message édité par Pandinus2k4 le 06-06-2006 à 10:25:41
Reply

Marsh Posté le 06-06-2006 à 10:27:02    

parce que tu ne maitrise rien de l'affectation dans ce cas, parce qu'une adresse mac ca se spoof plus qu'aisément, foutant en l'air toute ta secu basée sur vlan+acl, parce qu'un admin a autre chose a faire qu'inventorier des adresses mac, parce qu'une IP ca se spoof encore plus facilement, et coment tu gère le DHCP si tu chopes le vlan en fonction de l'IP, mais que l'IP est attribuée en fonction du vlan dans lequel tu te situes (dhcp-relay/ip helper-address)

Reply

Marsh Posté le 06-06-2006 à 10:37:41    

En règle générale le VLAN par IP n'est pas utilisé seul. Il faut bien que tu configures ton switch pour laisser passer tel ou tel VLAN en fonction de tes besoins (ou trunk si nécessaire). Tu ne peux pas faire de VLAN L3 sans spécifier à ton switch dans quels VLANs tu places ses ports. Pour ce qui est du DHCP, il suffit de paramétrer ses plages d'adresses en fonction de chaque VLAN.  
 
Je ne vois pas ce que tu veux dire par "chopper le VLAN par l'adresse IP" ...
 
Pour ce qui est du VLAN en fonction des adresses MAC, tout dépend du besoin ... c'est sûr qu'en temps normal c'est peut être pas ce qu'il y a de plus utilisé, mais dans certains cas où la sécurité est critiques (voire des cas de paranoïa), il peut être préférable de cumuler les ports des vlans en switchport avec l'adresse MAC.

Message cité 1 fois
Message édité par Pandinus2k4 le 06-06-2006 à 10:38:47
Reply

Marsh Posté le 06-06-2006 à 10:51:49    

"Tu ne peux pas faire de VLAN L3 sans spécifier à ton switch dans quels VLANs tu places ses ports."
Donc c'est une affectaion standard port/vlan, je vois pas ce que le niveau 3 vient faire la dedans.
 
"Pour ce qui est du DHCP, il suffit de paramétrer ses plages d'adresses en fonction de chaque VLAN"
dhcp-relay: le PC doit etre deja dans un vlan avant de recevoir une IP
 
"Je ne vois pas ce que tu veux dire par "chopper le VLAN par l'adresse IP" ..."
voir juste au dessus
 
"Pour ce qui est du VLAN en fonction des adresses MAC, tout dépend du besoin ... c'est sûr qu'en temps normal c'est peut être pas ce qu'il y a de plus utilisé, mais dans certains cas où la sécurité est critiques (voire des cas de paranoïa), il peut être préférable de cumuler les ports des vlans en switchport avec l'adresse MAC."
Le seul besoin, c'est le petit admin qui pense offrir plus de secu en faisant ca, ou en se disant que comme ca, son portable pourra toujours etre dans le vlan d'admin où qu'il se plug. Mais au niveau secu, on est loin de la paranoia, bien au contraire. Le premier qui choppe son adresse MAC a accès au vlan d'amin.
 
La seule regle valable: une porte = un vlan et ensuite, c'est la sécu physique qui doit faire le reste. (toujours en laissant de coté les concepts de NAC/802.1x)

Reply

Marsh Posté le 06-06-2006 à 10:59:53    

Admettons que j'ai deux VLANs administratif / usine sur un switch avec par exemple une 3750. Ces deux VLANs doivent communiquer ensemble de manière restreinte (uniquements certaines adresses de chaque VLAN ou autres ACLs). Il faut bien que switch travaille au niveau IP pour faire le routage entre VLANs (avec une IP par VLAN il sert de passerelle à chacun d'entre eux). Il est donc au niveau 3.  
 
Le problème, c'est comment tu fais pour différencier les machines administratives des machines usines ? tu seras bien obligé de dire sur ton switch tel port est dans le VLAN x tel port dans le VLAN y.  
 
Après c'est sûr qu'il y a des risques de spoofing MAC / IP, mais ça sauf si un système d'antispoofing est implémenté c'est valable pour bien d'autres choses.

Reply

Marsh Posté le 06-06-2006 à 11:17:12    

les vlans niveau 1 et 2 sont implémentés chez cisco.
 
les vlans niveau 3 sont une hérésie complète.

Reply

Marsh Posté le 06-06-2006 à 11:19:27    

Pandinus2k4 a écrit :

Tu ne peux pas faire de VLAN L3 sans spécifier à ton switch dans quels VLANs tu places ses ports.

en théorie, un vlan niveau 3 se fait par affectation du port dans un vlan donné en choppant l'adresse source du paquet IP contenu dans la première trame envoyée. ça c'est pour la "théorie".

Reply

Marsh Posté le 06-06-2006 à 14:00:28    

et l'hérésie continue si tu te dis que les premiers paquets sont certainement des requêtes ARP qui n'ont pas à proprement parler d'IP, voire des requetes DHCP.
Mais je pense, apres avoir lu sa reponse, que le monsieur n'avait pas lu de quoi il s'agissait, et que ayant lu niveau 3, il a dit qu'il fallait un 3750 conformément à ce que dit cisco (ie : pour le routage dans ce cas, quoiqu'un 3560 avec la bonne image le fait egalement)

Reply

Marsh Posté le 08-06-2006 à 12:05:10    

Bonjour, j'ai moi aussi un léger probléme de reseau avec 3 pc. Voila un dessin pour expliquer la situation:
http://faimg1.forum-auto.com/mesimages/226581/reseau%203%20pc.JPG
Les 3 pc tournent sous xp, les adresses ip sont fixes pour le reseau wifi et automatiques pour le reseau ethernet (MSHOME pour les 3).
Le ping du pc 3 vers le 1 fonctionne mais pas du 1 vers le 3.
Mon but serai de pouvoir acceder aux documents partager du pc 3 depuis le pc 1 ou l'inverse ("simuler" la connexion rouge du dessin en quelque sorte).
Quelqu'un aurait-il une idée?

Reply

Marsh Posté le 08-06-2006 à 13:35:41    

quel rapport avec le sujet ? :/

Reply

Marsh Posté le 08-06-2006 à 13:42:42    

aucun mais vous semblez etre calés en mise en reseau

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed