Question Vlans sur Switch HP Procurve TAG - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 12-10-2015 à 17:43:41
tu mets le port 20 dans le VLAN4, tu fais du routage intervlan, et tu fous des acl pour bloquer 1/2, 2/3, 1/3.
Marsh Posté le 13-10-2015 à 07:14:14
kikeklaus n'oubli pas, si tu fais des vlan ça fonctionne de paire avec des plages d'adresse differente.
exemple
VLAN 1 (default) 192.168.1.0 / 24 passerelle exemple 192.168.1.1
VLAN 2 (Compta) 192.168.2.0 / 24 passerelle exemple 192.168.2.1
VLAN 3 (Direction) 192.168.3.0 / 24 passerelle exemple 192.168.3.1
Marsh Posté le 13-10-2015 à 17:20:47
Je@nb a écrit : tu mets le port 20 dans le VLAN4, tu fais du routage intervlan, et tu fous des acl pour bloquer 1/2, 2/3, 1/3. |
+1 ... Qui plus est le routage devrait être facile avec un mono-switch ... Tu devrais rien avoir à faire.
Balance la conf de ton switch.
Marsh Posté le 14-10-2015 à 18:30:22
ReplyMarsh Posté le 14-10-2015 à 18:42:59
le terme trunk ne fonctionne pas dans ce cas la chez HP
c'est plutot "tagged" quand on utilise le taggé des vlan sur les trames.
oui c'est possible,mais il faut que sur son serveur faire 3 cartes réseau virtuelle avec 3 ip differente et qu'il accepte les tad vlan... bref c'est pas la bonne façon..
faut garder le port en untagged mais sur le vlan4
Sinon kikeklaus n'a créé qu'un message sur le forum... je ne pense pas qu'il revienne.
Marsh Posté le 14-10-2015 à 20:30:30
Je comprends pas...
Nous chez nous, on a 5 vlans par exemple, et c'est le firewall qui fait le routage intervlan mais au niveau des switch les interconnexions laissent passer tous les vlan on est en tag vlan 100 200 etc
Marsh Posté le 14-10-2015 à 20:37:31
oui, ton firewall a une interface virtuelle par vlan et fait le routage (et surement filtrage).
un switch l3 peut faire du routage intervlan directement
Marsh Posté le 14-10-2015 à 22:15:53
exactement mais du cou dans son cas pourquoi lui faire faire un 4eme vlan c'est la ou je cherche a comprendre car vous etes bien meilleur que moi en réseau mais c'est comprendre pourquoi ce principe
(hs mais je@nb j'aurai bien aimé si tu as 5 min que tu passes sur le topic sccm pour mes problemes avec active setup j'ai du raté une étape et tu avais l'air de savoir de quoi tu parlais )
Marsh Posté le 15-10-2015 à 13:04:44
Matteu a écrit : exactement mais du cou dans son cas pourquoi lui faire faire un 4eme vlan c'est la ou je cherche a comprendre car vous etes bien meilleur que moi en réseau mais c'est comprendre pourquoi ce principe |
Ben il est pas obligé ... Mais faut savoir si le matériel peux créer des carte réseaux virtuelles (ou des VMSwitch par exemple dans le cas d'hyper-V) ... Imagine que sur la carte réseau d'un serveur arrive 8 VLAN ... Comment voudrais tu indiquer sur lequel il travail pour telle ou telle application ?
Marsh Posté le 16-10-2015 à 15:42:21
Son switch à l'air compatible Layer 3 :
http://whp-hou9.cold.extweb.hp.com [...] Chap08.pdf
Donc interface vlan sur le switch et ACL :-) du coup un petit vlan en plus pour le serveur ce serai plus propre effectivement.
Marsh Posté le 21-10-2015 à 10:08:11
Merci beaucoup pour vos réponses et désolé pour le retard, je pensais recevoir un mail en cas de réponse mais je n'ai rien reçu
Je ne pensais pas que le 2626 pouvait gérer les ACL, je n'ai rien vu dans l'interface WEB en tout cas, je vais regarder au niveau de la CLI, en effet un 4 ème VLAN pour le serveur et gérer cela grâce aux ACL, ça me semble assez clair si le Switch en est capable.
Je suis encore novice côté VLAN, concrètement aujourd'hui nous utilisons un Switch dédié à chaque "service" DATA, VOIP ... je suis arrivé c'était déjà comme ça, ça me parait un peu lourd !
Je vais vérifier pour les ACL, et puis vous me parlez de routage inter-vlan, mais... il ne faut pas un routeur justement pour faire ça ? une patte du routeur branché sur chaque port de chaque VLAN ?
J'étais resté là dessus moi, mon routeur cœur de réseau est le routeur opérateur, je ne peux pas le bidouiller, j'aimerai que la config soit uniquement au niveau du Switch.
Des vlans qui ne communiquent pas entre eux, mais tous les vlan peuvent communiquer avec le serveur, le principe est simple dit comme ça
Merci encore je vous tiens au courant
Marsh Posté le 21-10-2015 à 11:58:14
kikeklaus a écrit : Je ne pensais pas que le 2626 pouvait gérer les ACL, je n'ai rien vu dans l'interface WEB en tout cas, je vais regarder au niveau de la CLI, en effet un 4 ème VLAN pour le serveur et gérer cela grâce aux ACL, ça me semble assez clair si le Switch en est capable. |
CLI tu feras beaucoup plus de choses ... L'interface WEB c'est ultra limité
kikeklaus a écrit : crètement aujourd'hui nous utilisons un Switch dédié à chaque "service" DATA, VOIP ... je suis arrivé c'était déjà comme ça, ça me parait un peu lourd ! |
C'est pas forcément idiot de vouloir séparer ... Maintenant techniquement y a aucune raison, mais ca peut parfois éviter des problèmes. Reste que c'est assez marginal de séparer de la TOIP (VOIP c'est sur le réseau publique, en interne on parle plus de TOIP) car les coût sont plus conséquents. Mais pour la gestion .... normalement ça change pas grand chose.
kikeklaus a écrit : Je vais vérifier pour les ACL, et puis vous me parlez de routage inter-vlan, mais... il ne faut pas un routeur justement pour faire ça ? une patte du routeur branché sur chaque port de chaque VLAN ? |
Un switch de niveau 2+ (ton cas) fait du routage static de niveau 2 .... En gros tu n'as pas de protocole de routage, mais tu peux tout à fait router des ip. Un switch de niveau 3 t'apporte des protocole (RIP par éxemple) qui dans ton cas ne sont pas nécessaire.
On peut dire qu'un switch de niveau 2 est un routeur basique.
kikeklaus a écrit : J'étais resté là dessus moi, mon routeur cœur de réseau est le routeur opérateur, je ne peux pas le bidouiller, j'aimerai que la config soit uniquement au niveau du Switch. |
Tu inscrit ton switch comme passerelle sur tes PC et sur ton switch tu inscris la route par défaut sur ton routeur opérateur.
kikeklaus a écrit : |
C'est ce que t'a proposé JeanB
Marsh Posté le 21-10-2015 à 16:13:05
Super, merci pour cette réponse bien complète, je regarde ça demain quand j'aurai à nouveau accès au Switch. An effet, l'interface Web c'est vraiment light ! Je vais regarder comment mettre en place les ACL, je vais garder vos propositions, un nouveau VLAN pour le port du serveur et le reste en ACL.
Puis oui TOIP / VOIP Ça n'a jamais été très clair pour moi, merci.
Marsh Posté le 21-10-2015 à 21:57:02
@ ChaTTon2 : un switch de niveau 2 ne fait pas de routage. Un switch qui sait faire du routage même seulement statique est un switch de niveau 3.
Marsh Posté le 21-10-2015 à 22:22:11
Ouais mais ce qu'il dit et qui est pas faux c'est que souvent les switch de niveaux 3 embarquent qq algos de routage type OSPF/RIP alors que le sien fait juste du routage intercalé, qq routes statiques et défault Gateway d'où son "2+"
Marsh Posté le 21-10-2015 à 22:34:22
Tu diras ça aux fabricants, un switch 2+ ne fait pas de routage (tu pourras toujours essayer).
Marsh Posté le 22-10-2015 à 08:41:23
Zostere a écrit : @ ChaTTon2 : un switch de niveau 2 ne fait pas de routage. Un switch qui sait faire du routage même seulement statique est un switch de niveau 3. |
Non. Les 2960 de cisco par exemple fobt du routage statique ... C'est pourtant du niveau 2.
Marsh Posté le 22-10-2015 à 08:44:15
Je@nb a écrit : Ouais mais ce qu'il dit et qui est pas faux c'est que souvent les switch de niveaux 3 embarquent qq algos de routage type OSPF/RIP alors que le sien fait juste du routage intercalé, qq routes statiques et défault Gateway d'où son "2+" |
"2+" c'est une interprétation personnelle merci de l'avoir relevé.
Marsh Posté le 22-10-2015 à 09:41:39
On appel souvent ces switch, switch with light layer 3 fonctions.
Ils ne font que du routage statique.
Exemple d'ACL:
conf t
ip access-list Homer
10 permit ip 10.10.47.10 0.0.0.0 10.10.47.5 0.0.0.0
20 permit ip 10.10.47.10 0.0.0.0 10.10.47.51 0.0.0.0
30 permit ip 10.10.47.10 0.0.0.0 10.10.47.75 0.0.0.0
int b10
ip access-group Homer in
end
write mem
Marsh Posté le 22-10-2015 à 11:42:27
Hello, j'ai cherché à mettre en place les ACL en passant par TELNET, impossible de trouver la commande !
Normalement c'est, "ip access-list" comme vient de citer @Lex19801 lorsqu'on est en "conf t", mais la commande n'existe pas sur le 2626.
j'ai fouillé la DOC :
http://whp-aus2.cold.extweb.hp.com [...] 1-0904.pdf
ça ne parle pas d'ACL non plus, je ne suis pas sûr qu'il les gère malheureusement.
Niveau VLAN, je pensais que le simple fait de mettre un port en "tagué" dans chaque VLAN aurai suffit pour que ce port communique avec tout les VLAN, ma logique est-elle débile ? En tout cas je pensais que ça fonctionnerai de cette façon sur un HP.
Je vais vérifier pour le routage inter VLAN, c'est bien un Switch Layer 2 en tout cas, pas 3.
Marsh Posté le 22-10-2015 à 11:56:02
Ouais pas d'ACL apparemment donc ton switch de niveau 3 ne fait pas ça
Mettre le port en taggué permet de transporter plusieurs vlan oui. Après faut que l'équipement en face du port tagué désencapsule les trames de chaque vlan sur une interface virtuelle.
Marsh Posté le 22-10-2015 à 13:18:09
kikeklaus a écrit : Hello, j'ai cherché à mettre en place les ACL en passant par TELNET, impossible de trouver la commande ! |
préfères toujours la doc constructeur : http://h18000.www1.hp.com/products [...] 94_na.HTML
Effectivement ... Pas d'ACL apparemment
Marsh Posté le 12-10-2015 à 17:27:03
Bonjour tout le monde,
J'ai besoin d'un petit coup de main pour la configuration d'un Swith HP Procurve 2626. je vais devoir mettre des Vlans dans ma société, j'ai créé une petite maquette pour tester le bon fonctionnement. Voici la topologie :
3 VLANS
VLAN 1 (default)
VLAN 2 (Compta)
VLAN 3 (Direction)
Tous les Vlans doivent pouvoir contacter le serveur présent sur le port 20
En revanche, il ne faut pas que les autres ports puissent communiquer en dehors de leur Vlan.
Je pense avoir toute essayé mais ça fonctionne pas Pour empêcher la communication entre les Vlans 1 2 et 3 je met les ports de chaque Vlan en untagged
En effet, ça fonctionne ! Le problème se situe au niveau du port 20, je veux qu'il puisse communiquer avec le Vlan 1, 2 et 3
Pour le coup je le met en "taggué" dans tout les vlans, hélas ça ne fonctionne pas, je ne pense pas que ce soit la bonne métohde, quelque peut-il m'aider ?
J'ai même essayé avec Packet tracer (Cisco) ça ne ping pas, personne ne peut contacter le serveur. toutes les IP sont statiques, sans les Vlans toutes les machines se ping sans problème.
Bonne soirée,
Andy