vlan par adresse mac - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 21-09-2014 à 12:30:29
bjr,
oui mais je n'arrive pas à trouver une commande spécifique,
par exemple faire un truc du genre dans chaque vlan, rajouter les @mac des machines
int vlan 10
mac-adress ....
sous cisco ya une solution qui consiste à mettre un serveur vmps (le client vmps interroge de ce serveur en lui fournissant une @mac et serveur repond en lui indiquant à kel vlan il appartient)
Marsh Posté le 21-09-2014 à 16:27:38
qu'as tu comme marque switch ?
Marsh Posté le 21-09-2014 à 19:43:58
je n'ai pas encore de switch, c'est à moi de trouver les équipements qu'il faudra utiliser
o fait voici mon pb
je souhaite brancher tt type d'eqt (pc, tel) sur n'importe kel port et faire partie du bon vlan, et ce en fonction de mon type d'equipement d'où faire des vlans par adresse mac puis qu'un serveur dhcp attribue une @ip au terminal en fonction du vlan auquel il appartient
de préférence switch cisco
g trouvé ce lien
http://alliedtelesis.com/manuals/A [...] l#Rcy74343
et voulais savoir si c t possible de faire qqc semblable à ceci sur un switch cisco
g cherché et g trouvé une solution en utilisant un serveur vmps mais je ne sais pas si avec cette solution je peux utiliser conjointement vmps et dhcp (comment le dhcp va distinguer l'appartenance à un vlan avant de lui adresser une IP)
Marsh Posté le 22-09-2014 à 09:47:57
Bonjour,
1 VLAN = 1 sous-réseau = 1 étendue DHCP
1 autre VLAN = 1 autre sous-réseau = 1 autre étendue DHCP
Et bien sûr le DHCP-relay si le DHCP n'est pas local.
Je précise :
Imaginons que tu utilises bien un serveur VMPS. Il attribuera donc un VLAN X à un port selon l'@MAC connectée. Ensuite, le poste va envoyer un broadcast sur son VLAN pour demander une adresse IP.
Selon ton cas, le paquet arrivera donc sur l'interface (virtuelle ou physique selon ton cas) correspondant au VLAN X sur la passerelle.
Le paquet est ensuite envoyé au serveur DHCP qui répond sur le sous-réseau correspondant et donne une adresse de l''étendue de ce sous-réseau
Petit schéma :
Marsh Posté le 22-09-2014 à 11:26:53
mon dhcp sera local, et je ne pense pas utiliser cette solution (vmps ) qui est assez coûteuse
mais merci kan même
Marsh Posté le 22-09-2014 à 11:43:44
1 VLAN = 1 sous-réseau = 1 étendue DHCP |
un serveur dhcp n'est pas obligatoire...
Marsh Posté le 22-09-2014 à 12:51:57
skoizer a écrit :
|
Je n'ai pas dit que c'était obligatoire, mais dodo15 explique bien qu'il souhaite utiliser un serveur DHCP, ce qui est préférable
Marsh Posté le 22-09-2014 à 13:07:35
dodo15 a écrit : mon dhcp sera local, et je ne pense pas utiliser cette solution (vmps ) qui est assez coûteuse |
C'est le même principe si le serveur DHCP est local. Et le principe que je t'ai énoncé ne concerne que l'attribution d'@ IP sur un environnement multi-vlan avec un seul serveur DHCP.
Sans parler de VMPS, pour répondre à ta question : "(comment le dhcp va distinguer l'appartenance à un vlan avant de lui adresser une IP)"
Vlan 1 : 192.168.10.0/24
Vlan 2 : 192.168.20.0/24
@ IP du serveur DHCP : 192.168.10.254
Avec cet exemple, le serveur DHCP est sur le vlan par défaut (vlan1)
Sur le routeur, tes 2 vlans doivent arriver, soit connectés sur une interface physique chacun ou bien sur une interface virtuelle comme c'est généralement le cas.
Sur l'interface du routeur correspondant au vlan 2, il faut rajouter le DHCP-relay vers ton serveur DHCP, car même si le DHCP est local physiquement, il est dans un autre sous-réseau.
interface Gi0/0.2
ip address 192.168.20.1 255.255.255.0
encpasulation dot1q 2
ip helper-address 192.168.10.254
N'oublie pas que le port du switch faisant l'interco avec le routeur doit être en trunk.
Ainsi, les postes appartenant au vlan 2, même s'il sont sur un sous-réseau différent du serveur DHCP, arriveront à lui demander un adresse IP.
l'ip helper-address (relais DHCP) n'est pas utile pour le vlan 1 dans l'exemple, car c'est le sous-réseau du serveur.
Cet exemple concerne seulement l'adressage IP dynamique des postes sur plusieurs VLANs différents. Ca n'a rien à voir avec l'attribution dynamique de vlan. Ce sera la même chose que tu fasse des vlan statique par port, que tu attribue les vlan par @MAC directement sur le switch ou que tu utilise un serveur VMPS
Si tu n'as pas la possibilité de configurer le routeur, fais le savoir, il existe d'autres solutions
Marsh Posté le 22-09-2014 à 14:34:00
merci !!
pensais plus faire le dhcp au niveau du routeur même
reprenons votre exemple avec
vlan 1 qui a pour nom data
vlan 2 qui a pour nom voix
et faire
ip dhcp pool data
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
ip dhcp pool voix
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
c bon au niveau du routeur mais je bloque tjs au niveau du switch pour faire des vlan/@mac parce que je ne sais pas encore quel eqt je vais connecter sur tel port, donc je veux ken fonction de la nature de l'eqt j'appartienne à tel ou tel vlan
Marsh Posté le 22-09-2014 à 15:52:02
dodo15 a écrit : |
ça va être plus compliqué de faire des vlan/@MAC. Avec Cisco en tout cas, même le serveur VMPS est considéré obsolète.
Ce qui est utilisé maintenant c'est l'authentification EAP avec 802.1x, qui permet entre autres l'assignation de vlan en fonction de l'authentification utilisateur.
Mais ça devient tout de suite plus compliqué et tu auras besoin d'un serveur d'authentification (Radius ou autre)
Il existe des solution libres qui te permettront de le faire, mais ça demande un travail supplémentaire pour la configuration /maintenance
Le plus simple, si tu veux gérer vlan/@MAC reste d'utiliser un switch qui le permet, comme celui de ton lien précédent. Mais ça veut dire aussi configurer manuellement avec toutes les @ MAC de tes machines . Je trouve ça compliqué à maintenir
Marsh Posté le 22-09-2014 à 16:45:28
oui g trouvé avec radius mais même avec ça il faudra quand même ke je rajoute les @mac de chaque machine pour les assigner à tel vlan (freeradius)
et avec cisco c'est assez compliqué je trouve
Marsh Posté le 23-09-2014 à 17:19:40
ça dépend, ton besoin c'est quoi exactement ?
séparer une vlan data du vlan toip ?
si oui, quel type d'équipement utilises tu ?
Si tes téléphones sont compatibles lldp, tu fais une network policy qui défini ton voice vlan.
ex sur cisco:
en global
lldp run
!
network policy 20
voice vlan 20
sous l'interface:
switchport acces vlan 10
switchport mode acces
network policy 20
c'est en partant du principe que tu ais du cisco, des téléphones IP qui font du lldp et que le vlan 10 soit ton vlan data, le 20 ton vlan toip.
Sinon effectivement tu peux aussi mettre en place du 802.1x avec un serveur radius, mais c'est moins simple
Marsh Posté le 24-09-2014 à 08:49:00
LLDP = Link Layer Discovery Protocol
C'est la standardisation du protocole propriétaire Cisco CDP
Donc CDP = Cisco seulement
LLDP = Ouvert à tous les constructeurs
Il n'a donc pas besoin de matériels Cisco pour faire du LLDP.
Ensuite, il n'est vraiment pas conseillé d'activer le LLDP sur tous les ports sur un réseau local, c'est une grosse faille de sécurité. Ca rend trop facile les attaques par déni de service, en plus de donner beaucoup d'informations à un potentiel attaquant.
Marsh Posté le 24-09-2014 à 14:58:29
finalement, je pense avec avec du radius mais :
radius + 802.1X il faudra login/mdp
donc ça sera vlan en fonction de l'user
radius avec une authentification par mac moins sécurisé et sur cisco g pa trouvé
Marsh Posté le 28-09-2014 à 23:24:15
je tiens à préciser que pour ce qui suit, c'est avec des équipements cisco
j'ai l'intention d'utiliser l'adresse mac pour l'authentification (pas de 802.1x) donc il y a une commande "mac-auth-bypass" qui permettrait d'activer ceci, est-ce qu'il est possible de passer automatiquement à une authentification par adresse mac seulement, g vu qu'on pouvait jouer sur les ordres de méthode d'authentification (authentication order mab dot1x) mais si l'authentification réussi avec l'adresse mac, est ce que je passerais quand même par dot1x ??
je veux que l'adresse mac pour authentifier les machines et à partir de l'adresse mac, attribuer ce port à tel ou tel vlan.
merci
Marsh Posté le 20-09-2014 à 17:40:16
bjr,
je souhaite réaliser des vlans/@mac et j'aimerais savoir s'il est possible de le faire au niveau d'un switch(pas de vmps)
merci