Connexion inter-vlan par Switch Cisco - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 07-06-2010 à 12:06:40
Hum, il me semble que la solution c'est de router les trames d'un vlan sur l'autre.
Tu peux ajouter une règle sur le routeur (pas le switch) qui permet de routeur du vlan X vers le vlan Y pour une ou plusieurs adresses sources IP.
Ainsi tu permets à des machines identifiées du vlan X d'accéder au vlan Y.
Il faut que les adresses IP des machines vlan X soit fixées.
@+
Marsh Posté le 07-06-2010 à 13:15:12
s@mus a écrit :
VLAN1: 192.168.0.101/24 Le préfixe réseau faisant que l'adresse réseau des adresses de VLAN est identique, de ce fait je ne peux pas router deux adresses d'un même réseau, évidemment.... la solution seraient de mettre les VLAN dans deux réseau (ou sous réseau) différents, mais dans ce cas je ne vois plus l'intêret de faire des VLAN's... à moins que je me trompe et que je ne vois pas que c'est la solution ? |
Ben oui il faut mettre les deux VLANs dans deux réseaux IP différents, le but c'était bien de les séparer non ?
Parce que séparer des réseaux au niveau ethernet mais pas au niveau IP ça n'a pas grand sens à mon avis...
Marsh Posté le 07-06-2010 à 17:07:47
Misssardonik a écrit : Ben oui il faut mettre les deux VLANs dans deux réseaux IP différents, le but c'était bien de les séparer non ? |
Il me semble pourtant que c'est tout l'intêret du VLAN de séparer des machines autre que par l'IP... ça évite du matériel en plus justement... Si je les mets dans deux réseaux différents et aussi dans deux VLAN non seulement je perds tout l'intérêt du VLAN mais ça fait clairement double emploi.
m3z a écrit : Hum, il me semble que la solution c'est de router les trames d'un vlan sur l'autre. @+ |
Je sais que je peux normalement router un VLAN vers un autre, mais je le sais qu'en théorie, normalement il faut sub diviser une interface de mon routeur en autant d'interface que j'ai de VLAN, sur chacune de ces sous-interfaces il faut que j'active le trunk et ensuite router chacune de ces interfaces vers les VLAN correspondant, ça c'est la théorie, mais en pratique je bloque si quelqu'un l'a déjà fait ou connait un peu les commandes pour faire ça ça m'aiderai grandement.
Marsh Posté le 07-06-2010 à 17:22:25
s@mus a écrit :
|
OK, si tu le dis... faire deux VLANs différents dans le même plan d'adressage IP ou l'inverse pour moi ça n'a aucun sens : les deux vont de paire, le but étant de séparer les deux réseaux à tous les niveaux (ethernet et IP).
Et je ne vois pas en quoi tu perdrais tout l'intérêt des VLANs, ni pourquoi il te faudrait du matériel en plus.
Marsh Posté le 07-06-2010 à 17:40:26
Non mais je me trompe peut être je veux juste savoir pourquoi c'est tout
Si on met deux machines, dans deux réseaux différents, à quoi bon faire des VLAN ?
EDIT: si on part de la définition du VLAN qui est de limiter les domaines de diffusion, deux réseaux différents ont déjà deux domaines de broadcast différents...
Marsh Posté le 07-06-2010 à 17:48:46
s@mus a écrit :
|
s@mus a écrit :
|
Oui mais c'est au niveau de switch que c'est bloqué pas sur les interfaces machines. La "ligne" est donc libre plus souvent d'ou un meilleur perf réseau
Un petit tour par Wikipedia au sujet des vlan ...
et par ici pour le Cisco IOS
@+
Marsh Posté le 07-06-2010 à 18:08:37
s@mus a écrit : |
Outre l'aspect "limitation de la diffusion des boradcasts" dont parle m3z il y a aussi l'aspect sécurité : si tu fais juste plusieurs réseaux IP dans le même VLAN, la première personne qui change son adresse IP a accès à l'autre réseau...
Marsh Posté le 07-06-2010 à 19:41:57
le principe des vlans permets d utiliser 1 seul materiel pour plusieurs reseaux distincts.
De plus, si tu n as plus l aspect de vlan lieu geographique, mais au niveau utilisateur (par exemple eleve prof), cela te permet qu il se connecte sur n importe quel port il seront dans le bon vlan.
Marsh Posté le 07-06-2010 à 20:07:32
ok j'ai bien cerné le sujet
en faite pour donner un exemple simple de ce que je voudrais faire: (en faite je me pose énormément de question)
un réseau basé sur une simple IP: 192.168.0.0/24
admettons que sur un switch, 24 ports je mette:
1-5: SALLE 1
6-10: SALLE 2
11-20: SALLE SERVEUR
chacune des salles dans un vlan différent.
je voudrais que la salle 1 et la salle 2 soient isolées et ne puissent en aucun cas communiquées, mais chacune peut par contre communiquer avec la salle serveur.
Il me faut bien un routeur ? mais pourtant je garde un seul réseau
Marsh Posté le 07-06-2010 à 22:30:16
si tu veux differencier les 2 réseaux, il te faudra trop sous-réseau comme par exemple :
192.168.1.0 / 24 salle 1
192.168.2.0 / 24 salle 2
192.168.0.0 / 24 salle serveur
le traffic entre les switchs et le routeur passe par un port trunk, physiquement c est sur une interface du switch, mais il y a autant d interfaces virtuels que tu le souhaites (3 dans ton exemple)
Pour isoler les salles 1 et 2 suffit de regler le routeur en consequence.
Marsh Posté le 08-06-2010 à 08:28:27
ok ça marche, donc si je développe un peu:
mon routeur est connecté au switch par une de interfaces de mon routeur, le port de mon switch auquel est connecté le routeur est réglé en trunk.
L'interface du routeur est divisé en sous interface, admettons que c'est mon interface f0/0 et que j'ai donc 3VLANS:
mes sous interfaces seront: f0/0.1, f0/0.2 et f0/0.3.
Ensuite je dois faire une manip pour raccorder ces interfaces à mes VLAN et c'est là que je ne sais pas (encore) faire, quelqu'un aurait les commandes ?
EDIT: Voilà un exemple de schéma:
explication brève: switch server utilise un domaine VTP pour les 3 switchs en dessous. le mode trunk est actif sur les liens entre les switch salle-switch server et entre routeur-switch server.
mes questions:
-je ne peux pas faire de connexion entre les vlan's si j'utilise pour mes 3 switch de mes salles la même plage ip, par exemlpe 192.168.0.0/24 ? ils seront forcemment isolés entre eux sans possibilité de routage ?
-si j'utilise 3 plages d'adressage différent, quelle ip dois je mettre à l'interface de mon routeur auquel est branché mon switch server ?
Marsh Posté le 08-06-2010 à 10:09:40
En fait l'interface du router fonctionne en mode (équivalent) trunk avec une encapsulation dot1q. Elle dispose d'une adresse ip par VLAN.
Regarde ce doc c'est expliqué.
@+
ps : Renseignent prit, les Cisco 3750 et supérieur dispose de capacité de routage L3 permettant de se passer du router.
ps: Tu peux aussi utiliser un firewall plutôt qu'un routeur. Dans ce cas tu contrôles avec précision tout ce qui est autoriser.
Marsh Posté le 08-06-2010 à 12:57:13
A mon avis, mets les ports du switch reliés au salles dans des vlans différents (par exemple 2, 3 et 4) en mode access, et tu mets le port sur lequel est relié le routeur dans les vlans 2, 3 et 4 aussi, en mode trunk cette fois. Le routeur a donc bien 3 adresses IP, une dans chaque VLAN.
Ensuite, il ne reste plus qu'à bien paramétrer le routeur pour qu'il ne route pas les paquets entre les différentes salles.
Marsh Posté le 09-06-2010 à 08:29:33
m3z a écrit : |
Je n'ai pas trouvé comment mettre l'interface du routeur en mode trunk, j'ai cherché partout et je pense que ce n'est pas possible, une adresse IP par VLAN ? pourrais tu être un peu plus explicite ? j'ai encore un peu de mal
Un firewall peut faire office de routeur en même temps ? Comment fonctionne un firewall par rapport au routeur niveau topologie ?
Misssardonik a écrit : A mon avis, mets les ports du switch reliés au salles dans des vlans différents (par exemple 2, 3 et 4) en mode access, et tu mets le port sur lequel est relié le routeur dans les vlans 2, 3 et 4 aussi, en mode trunk cette fois. Le routeur a donc bien 3 adresses IP, une dans chaque VLAN. |
Dans ce cas il faudrait supprimer le switch server ? ou alors mettre 3 câbles du switch server au routeur ?
---
EDIT:
J'ai créé 3 sous-interfaces, avec pour chacune une IP différente qui est utilisée comme passerelle par mes PC
ROUTEUR
____________|___________
| | | 192.168.2.254 192.168.3.254 192.168.4.254
|___________|___________|
|
|
|
SWITCH
mes PC ont respectivement les IP:
192.168.2.1 192.168.3.1 192.168.4.1
Chacune de mes sous-interfaces de routeur est encapsulée en dot1q et mise dans un VLAN (le même que la valeur du 3eme octet de l'IP).
Ensuite je fais les routes de cette manière:
ip route 192.168.2.0 255.255.255.0 f0/0.2
ip route 192.168.3.0 255.255.255.0 f0/0.3
ip route 192.168.4.0 255.255.255.0 f0/0.4
---
et ça fonctionne ! ^^
Marsh Posté le 09-06-2010 à 09:34:02
Ben oui ca parait normal ! non ?
Sauf que tous les pc se voit entre eux !
Marsh Posté le 09-06-2010 à 10:25:46
oui mais c'était mon but pour l'exercice, juste pour comprendre le fonctionnement
Marsh Posté le 09-06-2010 à 13:47:36
Oki
Eh bien à titre d'exercice essai d'isoler les vlans des salles de formation entre eux maintenant
Un indice au prochain message
@+
Marsh Posté le 09-06-2010 à 13:59:42
ReplyMarsh Posté le 09-06-2010 à 14:08:36
s@mus a écrit : oui il suffit que je ne crée pas la route entre mes deux salles non ? |
Si tu fais ca tu empêches TOUTES les trames d'atteindre un sous-réseau (même les bonnes) !
Si tu relis tes lignes tu routes les trames en fonction du sous réseau sur une sous interface. =>
ip route 192.168.2.0 255.255.255.0 f0/0.2 = route toutes les trames qui vont vers le sous-réseau 192.168.2.0/24 sur l'inteface f0/0.2
Comme f0/0.2 est dans le vlan 2, ça part sur le vlan 2 et donc vers ta salle qui va bien.
Si tu vires cette ligne il ne sera plus possible d'atteindre une machine dans le vlan 2 depuis un autre vlan.
Idem pour les autres vlans.
Non maintenant que tu as posé les routes et que ca fonctionne, le but va être de limiter les accès.
Il faut donc trouver le mécanisme qui permet ca.
Mais je ne te dis rien hein
slywalker a écrit : l'indice est : acl |
cafteur
@+
Marsh Posté le 09-06-2010 à 14:46:49
oh oh jvais aller voir ça de suite je vous tiens au courant
EDIT:
Alors j'ai vu les ACL c'est en effet super intéressant et super précis on peut tout filtrer au protocole prêt et surtout à la machine prêt.
Si je comprends bien là on dispose d'une triple sécurité d'accès ? les réseaux différents, les VLAN ainsi que les ACL ?
Marsh Posté le 09-06-2010 à 16:16:56
jme suis déjà basé là dessus justement m3z il est super bien fait j'ai appris avec ça
Marsh Posté le 09-06-2010 à 16:28:04
s@mus a écrit : oh oh jvais aller voir ça de suite je vous tiens au courant EDIT: Alors j'ai vu les ACL c'est en effet super intéressant et super précis on peut tout filtrer au protocole prêt et surtout à la machine prêt. Si je comprends bien là on dispose d'une triple sécurité d'accès ? les réseaux différents, les VLAN ainsi que les ACL ? |
Les sous-réseau découpe le réseau pour permettre une gestion adapté aux volumétries requises.
Les Vlans sont là pour limiter le volume du trafic et isoler les sous-réseaux sur le plan sécuritaire (on ne peut pas écouter ce qui n'est pas dans son vlan)
Les ACL permettent d'affiner les règles de routage et d'augmenter la sécurité.
C'est complémentaire.
Marsh Posté le 10-06-2010 à 08:36:27
Je vois qu'on peut faire un routage classique avec:
ip route add_source mask_source add_dest mask_dest
mais à la place de add_destination, il est possible de mettre un numéro de VLAN ? dans quel intérêt ? comment cela fonctionne t'il ?
Marsh Posté le 10-06-2010 à 10:03:46
Idem tu tag le paquet sur le Vlan.
Marsh Posté le 10-06-2010 à 10:11:35
et quelle est la différence ou les avantages/inconvénients plutôt que de mettre l'IP de la passerelle (çad l'interface du routeur) du VLAN ?
Marsh Posté le 10-06-2010 à 10:57:41
c'est peut être plus souple et moins fixe de mettre avec un VLAN que de mettre une IP fixée :x
Marsh Posté le 12-06-2010 à 22:58:19
les routes que tu mets sont inutiles puisque elles sont déjà connues par le routeur. Il faut juste activer le routage ip (mais bon c'est par défaut je pense sur un routeur )
Marsh Posté le 14-06-2010 à 09:48:12
Je@nb a écrit : les routes que tu mets sont inutiles puisque elles sont déjà connues par le routeur. Il faut juste activer le routage ip (mais bon c'est par défaut je pense sur un routeur ) |
Ah ben oui c'est vrai ca
Marsh Posté le 14-06-2010 à 09:58:29
le routeur les connait car ce sont des réseaux connectés directement je suppose ?
Mais si je n'ai pas envie qu'ils soit routés entre eux ? il faut créé une ACL ?
Marsh Posté le 14-06-2010 à 10:13:45
Et bien il déduit la route par défaut de l'adresse et du masque du vlan.
Oui les ACL sont obligatoires pour bloquer les paquets entres tes vlan users (salle 1 et 2)
@+
Marsh Posté le 14-06-2010 à 10:19:17
ok ça roule j'ai bien compris
me manque juste le loadbalancing avec les adresses mac sur mon autre post
Marsh Posté le 14-06-2010 à 10:33:22
Oui j'ai vu, mais je ne sais pas.
Je voulais poser la question à un ingé réseau, mais y'en avais pas au café ce matin.
J'te jure quelles fégnasses ces gars là
Marsh Posté le 14-06-2010 à 10:35:02
c'est pas comme si jme destinais à faire ça plus tard
Parce que le loadbalancing associé au failover c'est quand même terrible, on cumule sécurité et rapidité pour une interconnexion, mais le fait qu'il me demande une adresse MAC pour configurer le loadbalancing me pose un problème dans le sens où je ne vois pas de quel adresse ils peuvent parler...
Marsh Posté le 06-06-2010 à 16:10:00
Bonjour à tous,
Voilà en ce moment je bosse sur l'utilisation des VLAN's, j'ai déjà lu un bon nombre d'information à ce sujet, notamment un post de ce forum assez bien expliqué, mon problème à l'heure actuelle est que je voudrais faire communiquer deux VLAN's entre eux (non non me tapez pas !), je sais des VLAN dans le principe ne sont pas fait pour communiquer entre eux, sauf que dans mon cas précis cela peut se révéler utile, je m'explique:
J'ai une salle serveur (VLAN0) et deux autres salles de cours par exemple (VLAN1 & 2 respectivement), le principe étant que les salles de cours soient dans leur VLAN et ne puissent pas communiquer entre elle, mais par contre il faut qu'elle puisse accéder aux serveurs eux-mêmes et que les serveurs aient accès aux machines.
Pour celà je bosse sur du matériel Cisco, sur des 2900XL et sur des 2950 il y avait un mode appelé "multi", qui permettait de mettre un port physique du switch dans deux VLAN différents, maintenant je bosse sur un 2960, modèle plus récent, mais je n'ai plus accès à ce mode, il a été remplacé par "dynamic" (en plus des deux déjà existant à savoir "access" et "trunk" ).
Ma première question (je pense que j'en aurai d'autres par la suite) est donc comment puis je faire pour que mon schéma expliqué plus haut soit fonctionnel ?
Merci d'avance !
EDIT: j'ai trouvé la solution du routage de vLAN, je donne donc une IP à chacun de mes VLAN, le problème est que je ne dois pas les mettre dans le même réseau, exemple:
VLAN1: 192.168.0.101/24
VLAN2: 192.168.0.102/24
Le préfixe réseau faisant que l'adresse réseau des adresses de VLAN est identique, de ce fait je ne peux pas router deux adresses d'un même réseau, évidemment.... la solution seraient de mettre les VLAN dans deux réseau (ou sous réseau) différents, mais dans ce cas je ne vois plus l'intêret de faire des VLAN's... à moins que je me trompe et que je ne vois pas que c'est la solution ?
Message édité par s@mus le 06-06-2010 à 23:35:24
---------------
Mon Blog aux USA | L'interface chaise-écran est la cause de 99% des problèmes...