Souci DHCP VLAN Firewall / Switch Cisco

Souci DHCP VLAN Firewall / Switch Cisco - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 24-10-2012 à 14:50:45    

Bonjour à toutes zet tous.
Merci d'avance pour votre aide, j'espère être le plus clair possible pour avancer rapidement avec vous.
En résumé : je n'arrive pas à obtenir d'IP de la part du serveur DHCP lorsque je suis sur un VLAN alors que ça marche sur un autre VLAN, configuré de façon similaire...
 
Infrastructure :

  • Routeur/Firewall Cisco SA 520, firmware 2.1.71
  • Switch Cisco SG200-18, firmware 1.0.0.19


Les 2 équipements gèrent les VLAN.
 
Configuration :
Le port 1 du firewall est configuré pour le VLAN 10 (192.168.10.1), le port 2 pour le VLAN 20 (192.168.20.1). Le port WAN est branché à la box pour l'accès Internet.
Il existe un VLAN 1 (par défaut) qui n'est pas utilisé (a priori en tout cas :o )
Le Vlan 10 est configuré avec un serveur DHCP (192.168.10.[x-y]), qui fonctionne très bien. Mode Access
Le Vlan 20 est configuré aussi avec son propre serveur DHCP (192.168.20.[xx-yy]), qui ne semble pas marcher. Mode Access
 
Pour le switch (en simplifié) :
Port 1 branché au port 1 du firewall (VLAN10 du FW).
Port 10 branché au port 2 du firewall (VLAN20 du FW).
 
Au niveau du switch, on a redéfini des vlan : un vlan10 comprenant le port 1 (jusqu'à 9), un vlan 20 comprenant le port 10 (jusqu'à 19).
Le Vlan 10 est défini comme VLAN par défaut (si l'on n'attribue pas explicitement un vlan à un port, alors le port est dans le vlan 10, par défaut)
Tous les ports du switch sont en mode Trunk.
 
Symptômes :
Si je connecte une machine sur le port 5 du switch, j'obtiens une IP en 192.168.10.x, conforme au vlan 10 défini sur le FW. J'ai accès à Internet.
Si je connecte une machine sur le port 15 du même switch, je n'obtiens pas d'IP par DHCP ! En revanche la configuration manuelle fonctionne (Windows ne met plus "connectivité limitée" ). Mais je n'ai pas accès à Internet...
 
Tentatives de résolution :
Au niveau du firewall : changer le "dhcp server" en "dhcp relay" et en indiquant comme gateway le serveur DHCP du Vlan 10, 192.168.10.1. Ca n'a pas marché (ptet à cause du mode access, j'y pense en l'écrivant ?)
Au niveau du switch : changer les ports en mode "access" ou "general" au lieu de "trunk". Rien n'a changé.
 
Là où vous pouvez m'aider, c'est donc pour localiser l'origine du défaut : est-ce au niveau du firewall ou du switch ? Et comment faire pour obtenir 2 serveurs DHCP distincts, sachant que je ne veux pas que mes Vlan communiquent entre eux (la machine 192.168.10.150 ne doit pas pouvoir "pinger" la machine 192.168.20.240, par exemple).
 
N'hésitez pas à demander des précisions supplémentaires si ça peut vous permettre de répondre, ou formulez des idées de test pertinentes.
Je compte sur vous *.* (et sur moi aussi heing, faut pas croire :D )
 
 
------------
Tags : parefeu, firewall, routeur, switch, commutateur, gateway, cisco small business, security appliance, vlan, dhcp, attribution ip


---------------
Feedback/Ventes/Divers/Estim -- www.laquadrature.net
Reply

Marsh Posté le 24-10-2012 à 14:50:45   

Reply

Marsh Posté le 24-10-2012 à 16:31:06    

MasterSam a écrit :


Tous les ports du switch sont en mode Trunk.


 
 :heink: C'est pas plutot en Access qui faut les mettrent ?

Reply

Marsh Posté le 24-10-2012 à 18:27:08    

Bah pour effectivement cloisonner les vlan, oui :D
Mais j'ai essayé, ça change rien à mon problème :spamafote:
 
Histoire de pas re-chercher 107 fois :

Citation :


General—The interface can support all functions as defined in the IEEE 802.1q specification. The interface can be a tagged or untagged member of one or more VLANs.
Access—The interface is an untagged member of a single VLAN. A port configured in this mode is known as an access port.
Trunk—The interface is an untagged member of one VLAN at most, and is a tagged member of zero or more VLANs. A port configured in this mode is known as a trunk port.


 
 
Accessoirement, j'ai avancé :
- en se branchant directement au firewall, finalement le DHCP fonctionne (ai-je changé un truc sans le savoir :heink: ) et j'ai accès à internet.
Le souci se situe donc au niveau du switch !
 
J'ai l'impression qu'il n'aime pas être relié 2x au même équipement, surtout que forcément le serveur DHCP du Vlan20 peut pas lui attribuer une IP si celui du Vlan10 l'a déjà fait. M'enfin à ce que je sache ça n'a jamais posé problème, je vois ça couramment comme config...


---------------
Feedback/Ventes/Divers/Estim -- www.laquadrature.net
Reply

Marsh Posté le 24-10-2012 à 23:25:35    

Les ports du switch doivent être en access. Ensuite vu que tu as pas bidouillé, vérifies le PVID des ports du switch (il serait à 1 que je ne serais pas complètement surpris).


---------------
Zostere
Reply

Marsh Posté le 25-10-2012 à 09:55:15    

Je vais essayer de tout mettre en access pour voir ce que ça donne.
En revanche, le PVID des ports correspond bien aux VLAN assignés (10 ou 20).

 

Merci de porter de l’intérêt à mon pb :jap:

 

*edit*
Je ne crois pas l'avoir dit, mais il y a un souci de reconnaissance qq part :
le pare-feu a 2 ports reliés au switch, le switch indique bien que les 2 ports sont actifs, mais lorsqu'on va regarder la table d'adresses MAC dynamique, seul le 1er port apparait... keskispass avec le 2e :??: ?


Message édité par MasterSam le 25-10-2012 à 10:03:00

---------------
Feedback/Ventes/Divers/Estim -- www.laquadrature.net
Reply

Marsh Posté le 26-10-2012 à 10:05:35    

J'ai mis les ports des VLAN utilisés en Access : youpi ! Le DHCP fonctionne à travers le switch. Mais toujours pas d'accès Internet..je n'ai pourtant pas mis de règle de filtrage empêchant un VLAN d'accéder au WAN :heink:

 

Je me prends le chou à monter un tunnel VPN par la même occasion, ce souci de non-accès à Internet n'aide pas à déterminer ce qui cloche (mauvais réglage (très probable) ou connexion bloquée ?)

 

*edit* en fait non, je m'étais trompé (j'avais laissé une IP fixe [:tinostar]). Retour à la case départ, avec un switch en Access ou Trunk ça change pas le problème apparemment :spamafote:


Message édité par MasterSam le 26-10-2012 à 19:08:22

---------------
Feedback/Ventes/Divers/Estim -- www.laquadrature.net
Reply

Marsh Posté le 26-10-2012 à 21:27:30    

Tip of the day : Read The F** Logs !
J'ai pas eu le temps de regarder en détails, mais ça fait des lustres que le conflit de VLAN apparait dans les logs du switch...Reste à comprendre le code d'erreur et pourquoi ce conflit, mais ça fait une grosse avancée déjà :D


---------------
Feedback/Ventes/Divers/Estim -- www.laquadrature.net
Reply

Marsh Posté le 27-10-2012 à 23:22:15    

Salut,
 
les logs donnent quoi ? Est-ce que le VLAN 20 pose problème ?

Reply

Marsh Posté le 28-10-2012 à 16:55:11    

:hello:
 
Le VLAN20 pose le même souci que le VLAN21 (que je vous ai épargné puisque c'est pareil), à savoir qu'il n'existe pas vraiment puisqu'il n'est pas initialisé (pas d'adresses donnée par le FW aux machines branchées sur les ports du switch correspondant).
 
Ptet que la création de VLAN par le FW ET par le switch entre en conflit...chépa.
 
Malheureusement je n'ai pas les logs sous le coude (j'ai recopié une partie seulement, et pas dispo là), et je n'y aurai pas accès avant un moment. C'est en stand-by forcé, donc :/
 


---------------
Feedback/Ventes/Divers/Estim -- www.laquadrature.net
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed