Bonjour afin d'essayer de voir plus claire,
Pour pouvoir separer plusieurs postes clients faut t'il creer des sous reseaux ou bien des VLAN ?.
Est ce que la gestion des reseaux peut'il se faire uniquement avec des VLAN ?
Quel est le plus efficace entre ces 2 methodes, sous reseau ou VLAN ?
Merci de vos reponses

Les 2 biensûr

quel est l'intérêt d'utiliser les deux en même temps ?

Tu isoles au niveau 2 avec les vlan et tu isoles au niveau 3 via les sous réseaux.
 
Si tu fais pas de VLAN, que tu fais que des sous réseaux, il suffit de changer d'ip pour être dans l'autre réseau.
Inversement si tu fais différents VLAN mais avec le même réseaux, c'est comment dire sans queue ni tête

Disons que le probleme des VLANs, selon le matos utilisé, ca p-e etre tres chiant.

Si tu veux cloisonner ton réseau et réduire ton domaine de broadcast Ethernet, il te faut des VLAN qui fonctionnent comme des LAN et qui ne peuvent communiquer entre eux que grâce à du routage (niv 3).  
Ex :Si tu ne fais que des sous-réseaux IP, un utilisateur qui modifie manuellement son IP aura accès aux autres sous-réseaux alors que si tu as mis des VLAN, s'il modifie son adresse IP, elle ne sera plus routée.
 
Je sais pas si je suis clair  ??

Merci, j'ai bien compris le dernier message qui est tres clair :-)

Je viens me greffer à la conversation, moi j'ai pas compris...
 
Avec des VLAN par IP, si on change d'IP par celle d'un autre VLAN, on a bien accès au nouveau VLAN ? Non ?

 
Non car les Vlans peuvent etre fixer au niveau des ports de switchs.

oui, mais si on fait du niveau 3, on peut aussi faire du VLAN par port ?

Ouais mais c'est ridicule de faire du vlan par ip

Mais arretez avec votre fameux vlan niveau3.
Ca n'existe pas, c'est une legende, et c'est completement stupide. Le simple fait d'y penser est une aberration.
Reflehissez 2 sec et vous comprendrez .. quand je vois le nombre de fois ou on vois parler de cette connerie, j'arrive pas a comprendre ...

?????
Pourtant des switch implémentent les VLAN de niveau 3.

Ben moi j'arrive pas à comprendre pourquoi tu dis que ça n'existe pas  
Après savoir si c'est utile ou pas est un autre débat.

Le VLAN de niveau 3... toute une histoire...
 
genre le switch regarde la source du premier paquet qui vient et te met dans le bon VLAN. Il parait que c'est implémenté sur les switchs Nortel mais moi j'en ai jamais vu
 
En tous cas, je rejoins trictrac, c'est d'une débilité sans nom.
 
j'ai toujours pas vraiment compris l'utilité du Vlan de niveau 2 avec VMPS non plus ...

C'est à eux que je pensais mais ça ne doit pas être la seule marque.
Remarque l'attribution ne se fait pas forcément par l'adresse IP, mais peut se faire par protocole (un VLAN pour IP, un pour IPX, un pour Apple Talk, etc.)
 
Quand à la mise en oeuvre, j'ai jamais fait, je reste bêtement au ras des pâquerettes avec des VLAN par ports    

ça marche comment le VLAN de niveau 3 quand t'es en DHCP ?

Doit pas être très compliqué. Une trame Ethernet dans le switch est forcément dans un VLAN, donc quand elle ne répond à aucun des VLAN niv 3 du switch, elle sera placée dans un VLAN particulier, si le serveur DHCP est dans ce VLAN , il pourra y répondre, la machine récupère son IP et bascule dans le bon VLAN.

ça sent l'usine à gaz ce truc... au secours

Salut,
Je profite de votre topic pour poser une autre question :
Pour faire du VLAN au niveau des ports du switch, il faut un switch compatible, ça, ok, mais qu'en est-t'il des clients ? Il leurs faut une carte réseau/driver spécial ?
Merci

ps : je pose la question car j'ai entendu que le switch modifiait les entêtes ip, et donc la taille du mtu qui passerait à 1522...

Non, c'est le switch qui tag/détag. Après si tu veux envoyer des paquets déjà tagué aux clients il faut un petit support mais bon en général c'est le cas

Je crois ne pas vraiment cerner l'intéret/concept du  VLAN.

Prenons un exemple concret :
J'ai 3 passerelles et 3 sous-réseaux. J'aimerais isoler ces segements physiquement. Actuellement, j'ai prévu d'acheter 3 switch.
Puis j'ai entendu parler de VLAN, et je me suis dis que dans mon cas, ça me permettrait de prendre qu'un seul switch (je pensait à un ProCurve Switch 1800-24G) sur lequel je configurerait 3 plage de ports pour mes VLANs (genre 1-12/13-17/18-24). Ce serait possible ??

Mon fournisseur m'a dit que non, justement à cause du matériel qui doit aussi être compatible sur mes station.... (d'où ma question précédente).

Merci,

---
feature du hp -> http://www.hp.com/rnd/products/swi [...] atures.htm

Ton fournisseur s'est planté, les vlan servent explicitement à ça

Tu dis avoir 3 passerelles pour 3 sous-réseaux. Pourquoi ne pas avoir un seul routeur qui gére tes VLAN ? Ca serait plus simple tant au niveau de la configuration que de la maintenance.
 
Cette remarque est aussi valable pour tes switchs. Tu as raison d'acheter un seul switch, en supposant que tu aies suffisamment de ports pour relier tous tes postes.
 
Un schéma simple serait celui-ci:
 
routeur --- switch --- les postes des 3 sous-réseaux
 
Au niveau du routeur tu affectes un vlan par sous-réseaux, exemple:
- vlan10: 192.168.10.0/24
- vlan20: 192.168.20.0/24
- vlan30: 192.168.30.0/24
 
Au niveau du switch tu affecte un vlan par port, exemple:
- port2: vlan10
- port3: vlan10
- port4: vlan20
- port5: vlan30
 
Entre le routeur et le switch tu devra affecter un vlan spécial qui te permettra de véhiculer tous tes vlan (c'est un trunk).

+1 avec addyll
 
Et dans cette config, c'est ton routeur qui permettra d'éventuels dialogues entre les vlan (via le routage, qui peut être inter vlan ou ip).
 
Et à mon avis, ton fournisseur a confondu avec le protocole 802.1Q, qui est utilisé par les liaisons trunk, et qui véhicule les informations relatives aux vlan (infos VTP, etc ...). Si tu connectes un host (serveur par exemple) sur un port trunk, il faut que la carte réseau et le pilote supportent ce protocole, ce qui n'est pas forcément la cas.
 
Mais dans ton cas de figure tu n'as pas à te préoccuper de ça puisque tes hosts seront connectés sur des ports en mode access, pas en mode trunk.
 

Ok, je commence à comprendre...
 
Quelqu'un aurais une doc sur la matière, histoire d'approfondir un peu ??
 
Merci,
 
A+

Voilà 2 liens:
 
http://christian.caleca.free.fr/lansecure/vlans/
 
http://www.linux-france.org/prj/in [...] nter-vlan/
 
Amuse toi bien.

 
cela fonctionne très bien.    
 
Un cas concret :
 
tu as un reseau local de pc sous Xp tous pluggués dans un domaine 2003. Chaque station est en DHCP, et tu souhaites qu'en fonction du login utilisateur, la station se voit attribuer une ip qui la positionne dans un Vlan donné. Ainsi une personne faisant partie d'un groupe de sécurité X sous l'Active directory, ne verra que les ressources du VLan X et cela quelque soit la station de travail a laquelle la personne se signe.
 
Cette configuration fonctionne parfaitement avec des switch cisco (dans le cas de mon client des switch de la série 4500), un domaine sous 2003 (2003 enterprise) et un serveur de certificat fonctionnant sous 2003.  
 
au moment de l'authentification (login/mot de passe), le switch Cisco interroge l'A.D. qui va lui renvoyer l'ID du Vlan associé au groupe de sécurité de l'utilisateur. Les trames sont alors tagguées avec le bon VLan et la négociation avec le serveur DHCP peut re-commencer. Celui-ci associera à cette station une IP de la bonne plage d'adresse du Vlan. (car il est possible de déclarer sous windows 2003, une plage d'adresse ip par Vlan dans les options du DHCP).
 
 
 
 

ce que tu me racontes c'est du 802.1x avec av-pair et assignation automatique de vlan, pas du vlan de niveau 3 et c'est déconseillé par cisco si t'as pas de supplicant dédié d'ailleurs car il y a tout un tas de "race condition" au boot de windows qui fait qu'on ne peut pas garantir le bon fonctionnement à 100%

Et ? 802.1x. On voit que tu as bien compris la config de ton client, bravo. Ou tu vois un vlan niveau 3 la dedans ??
 
"(car il est possible de déclarer sous windows 2003, une plage d'adresse ip par Vlan dans les options du DHCP)"
unbelievable .. ils sont trop fort chez MS...

Si je ne me trompe pas, un Vlan de niveau 3 est un Vlan dynamique, qui dépend de l'adressage IP.   Et dans le cas de mon client, c'est ce qui se passe ? non ??.

PS/ pour affecter un bon Vlan et la bonne IP a un client, si je ne m'abuse, on utilise l'option 82  (DHCP Relay) sur le serveur 2003.

le vlan est pas affecté en fonction de l'adresse de la machine mais du login/password du l'utilisateur, c'est pas du vlan de niveau 3 mais de l'AAA le vlan est fixe en fonction de l'adressage du réseau qui lui est associé

t'as vraiment rien compris a la config de ton client alors, c'est rassurant (surtout pour lui).
Dans ton cas, l'IP est attribuée en fonction du vlan (dhcp-relay / ip helper-address, comme tu veux) qui lui est attribué en fonction de l'auth user (802.1x / AAA)
 
Donc non, c'est pas ce qui se passe... non, les vlan layer3, c'est de la connerie encyclopédique

ok, je vais me coucher moins bête ce soir....  
 
excusez moi de m'etre fourvoyer.
 
   
 

 
Merci beaucoup.
A+

.

 
plait-il ?  

 
Qu'est que t'entend par vlan special, il suffit juste d'indiquer sur le port d'interconnexion que tous les trames de n'importe quel vlan peuvent passer (dmode trunk sur cisco, tagall sur nortel).  
Je vois pas ce que ferai un vlan en plus

mort de rire,   j'espère qu'en 8 mois de temps il a réussi à ressoudre son problème.