Problème routage inter VLAN

Problème routage inter VLAN - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 01-03-2016 à 09:02:10    

Bonjour,
 
je suis en train de faire un lab pour mieux comprendre certaines commandes relatives aux VLANS. (Nous avons quelques problèmes pour le routage intervlan en situation réelle actuellement d'où le lab)
 
Situation initiale : Deux switchs sans configuration
 
Situation finale : - Deux vlans (10 et 33)
- Le port 1 fait la liaison entre les deux switchs et appartient au deux vlan
 
- Le port 2 doit pouvoir pinguer le vlan 10 et 33
 
- Le port 3 doit pouvoir pinguer le vlan 10 mais pas le 33.
 
Actuellement, Nous sommes en train de configurer le port 2. Le port 1 est configuré. Voici les commandes utilisées pour la configuration des deux ports :
 
Switch 1:
 
Enable
Configure
Hostname "SW-TE-60"
vlan 10
name "interne"
exit
vlan 33
name "Machines"
exit
interface vlan 10
ip address 192.168.10.60 /24
exit
interface vlan 33
ip address 192.168.33.60 /24
exit
interface gigabitethernet 1/0/1
switchport access vlan 10
exit
interface gigabitethernet 1/0/2
switchport access vlan 10
exit
do write
show vlan
show ip vlan
interface gigabitethernet 1/0/1
switchport mode trunk
switchport access vlan 33
interface gigabitethernet 1/0/2
switchport mode trunk
switchport access vlan 33

 
La configuration est similaire sur le switch 2.
 
A ce stade, si nous branchons un PC appartenant au VLAN 10 sur le port 2, nous pouvons pinguer le second switch avec son adresse 10.62 mais pas le vlan 33 (que ca soit sur le switch 1 ou sur le switch 2). Lors d'un show run, nous ne voyons que la ligne "switchport access vlan 33" et lorsque nous fiasons un "show vlan" nous voyons bien que le port apartient au deux vlans.
 
Nous avons donc changer la configuration de l'interface 2 :
 
interface gigabitethernet 1/0/2
no switchport mode trunk
no switchport access vlan 33
switchport mode general
switchport general pvid 10
switchport allowed vlan add 10

 
A ce stade-là, nous voyons via show vlan que le port n'est pas dans le vlan 33. Le PC branché sur ce port avec une IP en 10.xx arrive à pinguer le vlan 33...... Pourquoi? Le port n'appartenant même pas au vlan 33... Ceci est problématique si nous ne voulons pas que le port 3 ait accès au vlan 33.
 
Merci de votre aide...
 
PS : J'utilise deux switchs de la séries Dell N 20xx. Et si vous avez une idée des commandes à utilisée je suis preneuse


Message édité par melanie42 le 01-03-2016 à 09:03:54
Reply

Marsh Posté le 01-03-2016 à 09:02:10   

Reply

Marsh Posté le 01-03-2016 à 10:41:41    

je pense qu'il faut d'abord que tu comprennes les notions de vlan, access, trunk, vlan natif et comment ça se réfère au niveau 3.

Reply

Marsh Posté le 01-03-2016 à 11:06:38    

Bonjour,
C'est ce que j'essaie d'approfondire avec ce LAB... Car meme avec certaines explications parfois j'ai un peu de mal.
 
Pour moi (en gros) :
VLAN : Sous-réseau qui permet d'isoler certains ports des autres (et donc les communications et augmente donc la sécurité du réseau)
ACCESS : permet d'avoir accès à un et un seul vlan
TRUNK : permet d'avoir accès à deux ou plus VLAN.
 
Vlan natif : j'avoue que je ne sais pas...
 
J'ai essayé ceci :
Je viens d'essayer avec cette config sur le port 2 (en ayant supprimer l'ancienne config) :
 
(config-if-range)#switchport trunk encapsulation dot1q
(config-if-range)#switchport mode trunk
(config-if-range)#switchport trunk native vlan 10
(config-if-range)#switchport trunk allowed vlan 10, 33

 
 
J'ai configuré le port 3 comme suit :

(config-if-range)#switchport access vlan 10

 
avec un show vlan, je vois bien que le port est UNIQUEMENT dans le vlan 10.
 
J'ai également configuré le port 10 comme suit :
 
(config-if-range)#switchport access vlan 33
 
avec un show vlan, je vois bien que le port est UNIQUEMENT dans le vlan 33.
 
Les deux PC (branchés respectivement sur le port 3 et 10) arrivent à communiquer !!!! Pourquoi? La logique voudraient qu'ils n'y arrivent pas (où alors j'ai très mal compris la notion de VLAN)
 
EDIT : Il faut un routeur pour faire du routage intervlan du coup? Une question me turlupine : Si on fait deux vlans pour isolé les réseaux (machines et utilisateurs par exemple), et qu'on que certains utilisateurs pouvant se connecter n'importe ou puisse avoir accès aux deux VLAN (enfin à certaines machines en particuliers) il faut donc que les tous les ports (l'utilisateur doit pouvoir se connecter à partir de n'importe où) soit dans les 2 vlans ? Ce qui reviendrait à annuler l'effet des vlans ?
 

Message cité 1 fois
Message édité par melanie42 le 01-03-2016 à 11:43:18
Reply

Marsh Posté le 02-03-2016 à 06:07:59    

Tu as beaucoup de chose à apprendre !

melanie42 a écrit :

Bonjour,
C'est ce que j'essaie d'approfondire avec ce LAB... Car meme avec certaines explications parfois j'ai un peu de mal.

 

Pour moi (en gros) :
VLAN : Sous-réseau qui permet d'isoler certains ports des autres (et donc les communications et augmente donc la sécurité du réseau)


Ce n'est pas un sous-réseau (au sens IP, dire ça c'est un raccourci dangereux), un VLAN est un LAN virtuel, bref un cloisonnement au niveau 2 du modèle OSI des trames Ethernet au sein d'un switch. En vite fait, une machine dans le VLAN A ne pourra pas parler à une machine dans le VLAN B directement en restant au niveau 2 (sauf bidouille permise par certains équipements).

 

Dans le cas général pour faire dialoguer deux LAN physiques, on fait du routage si on utilise TCP//IP, on passe donc par le niveau 3 du modèle OSI et chaque LAN a son propre sous-réseau IP.
C'est pareil pour les VLAN, sauf que souvent on préfère utiliser une switch de niveau 3 comme routeur.

 
melanie42 a écrit :


ACCESS : permet d'avoir accès à un et un seul vlan
TRUNK : permet d'avoir accès à deux ou plus VLAN.

 

Vlan natif : j'avoue que je ne sais pas...

 

voir ici : http://forum.hardware.fr/hfr/syste [...] tm#t137026

 
melanie42 a écrit :


EDIT : Il faut un routeur pour faire du routage intervlan du coup? Une question me turlupine : Si on fait deux vlans pour isolé les réseaux (machines et utilisateurs par exemple), et qu'on que certains utilisateurs pouvant se connecter n'importe ou puisse avoir accès aux deux VLAN (enfin à certaines machines en particuliers) il faut donc que les tous les ports (l'utilisateur doit pouvoir se connecter à partir de n'importe où) soit dans les 2 vlans ? Ce qui reviendrait à annuler l'effet des vlans ?


Comme dit au-dessus, pour le routage inter-vlan on utilise le plus souvent un switch niveau 3 comme le tien.
Du moment que tu as défini une interface IP par VLAN et que les PC sont correctement configurés (@ IP dans la plage correspondante au VLAN et @ de passerelle égale à l'interface IP du VLAN), toutes les machines se voient (directement au niveau 2 si elles sont dans le même VLAN, en faisant du routage IP si elles ne sont pas dans le même VLAN).

 

Pour faire des interdictions particulières entre machines qui ne sont pas dans le même VLAN, il faut passer par des ACL (règles de filtrage) à implémenter sur l'équipement qui fait du routage.


Message édité par Zostere le 02-03-2016 à 06:13:43

---------------
Zostere
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed