Question VLAN ... on avance ! - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 02-04-2014 à 17:56:21
qu'est-ce que tu appelles "sortir" ? au niveau IP ça donne quoi ?
Marsh Posté le 02-04-2014 à 18:14:48
Tu fais 2 vlan mais tu fous le même réseau IP, ya un bleme là ...
Marsh Posté le 02-04-2014 à 18:58:35
il te faut deux réseaux IP distincts, et deux interfaces IP sur ton firewall (ou l'équipement qui fait du routage), une dans chaque réseau.
Marsh Posté le 03-04-2014 à 09:27:59
Ah il faut nécessairement un sous-réseau par VLAN ? C'est fâcheux
Marsh Posté le 03-04-2014 à 15:12:30
Pour moi le but c'était de segmenter le réseau.
Là, de ce que tu me dis, ça sert juste à faire des économies en switches, au lieu d'en avoir un par sous réseau, on peut mettre plusieurs sous-réseaux sur un.
Marsh Posté le 03-04-2014 à 15:38:37
les vlans/réseaux IP ça sert à segmenter le réseau, oui. Et ça n'aurait aucun sens de séparer au niveau ethernet mais pas IP.
Marsh Posté le 03-04-2014 à 16:49:50
Bonjour,
1 Vlan 192.168.1.X
1 Vlan 192.168.2.X
1 switch port mode-access pour laisser passer les trames sur chaque port sur lequel il y a un PC.
1 switch port mode-trunk sur les ports trunk.
Ensuite, tu as forcément un routeur sur ton réseau qui gère le routage inter-vlan sinon ça ne sert à rien.
C'est un sujet pro ? Je doute...
Marsh Posté le 03-04-2014 à 17:36:04
Merci.
Oui c'est un sujet pro, je vais pas m'emmerder à faire des VLANs chez moi
Marsh Posté le 03-04-2014 à 17:47:45
Misssardonik a écrit : il te faut deux réseaux IP distincts, et deux interfaces IP sur ton firewall (ou l'équipement qui fait du routage), une dans chaque réseau. |
Deux interfaces physiques tu veux dire ? On peut pas avoir un seul port sur le firewall, mais possédant 2 interfaces virtuelles (dans le cas où on a seulement 2 VLAN) ?
Genre :
- VLAN 1 : 192.168.1.0, passerelle : 192.168.1.1 (= ip de l'interface virtuelle no 1 sur le port 1 du firewall)
- VLAN 2 : 192.168.2.0, passerelle : 192.168.2.1 (= ip de l'interface virtuelle no 2 sur le port 1 du firewall)
?
Marsh Posté le 03-04-2014 à 18:55:17
bah non je te dis deux interfaces IP, justement en opposition à deux interfaces physiques
Marsh Posté le 04-04-2014 à 02:29:09
Et il faut pas oublier de configurer le firewall pour gérer le trunk me semble
Marsh Posté le 04-04-2014 à 10:13:44
Misssardonik a écrit : bah non je te dis deux interfaces IP, justement en opposition à deux interfaces physiques |
Marsh Posté le 05-04-2014 à 17:02:30
sandy kylo a écrit : Merci. |
D'accord. Ca peut servir à la maison. 1 Vlan parents, 1 Vlan enfants et pas besoin de surveiller les mômes la nuit. ^^
Marsh Posté le 08-04-2014 à 16:43:46
Je n'en suis pas là encore
Voilà ce que j'ai niveau configuration sur mon firewall :
Code :
|
J'ai pas touché aux switches donc tous les ports sont sur le VLAN1.
Pourtant je n'arrive pas à pinguer le firewall depuis le LAN (adressé en 192.168.1.0/24).
Une idée ?
Marsh Posté le 08-04-2014 à 17:54:25
J'ai trouvé ... pour une raison que j'ignore les ports de mon routeur étaient en mode trunk par défaut
Marsh Posté le 09-04-2014 à 11:45:28
Je reviens à la charge
Voici le schéma de mon archi :
Le but : faire cohabiter VLAN1 et VLAN2 (pas encore présent) sur mes switches.
Actuellement, tous les ports des switches sont mappés sur le VLAN1 et les postes connectés dessus ont pour passerelle par défaut le routeur en bas (qui ne gère pas les VLANs, donc le but est de le supprimer au profit du routeur du haut, qui lui les gère).
Les branchements sont pour l'instant ceux du schéma, et depuis n'importe quel poste pluggué sur mes switches j'arrive à pinguer l'interface virtuelle du VLAN1 sur le routeur du haut, c'est un bon début.
J'aurais donc trois questions :
1) Pour faire cohabiter plusieurs VLANS, il faut, si j'ai bien compris, que je passe tous les ports d'interconnexion des switches (port 2 sur le switch 1, port 1 sur le switch 2, et ports 1 et 2 sur le switch 3) en mode trunk ? C'est ça ?
2) En passant le port 2 du switch 1 en mode trunk, tous les postes présents sur ce switch ont été déconnectés du réseau (impossible d'atteindre la passerelle par défaut). Me confirmez-vous que c'est simplement car je n'ai pas configuré l'autre extrémité du branchement (le port 2 du switch 3 donc) en mode trunk ?
3) Suite à cette déconnexion, j'ai même perdu l'accès à la configuration du switch 1 depuis les postes connectés sur ce switch ?? Pourquoi ?
Marsh Posté le 09-04-2014 à 12:03:29
sandy kylo a écrit :
|
oui
sandy kylo a écrit :
|
oui
sandy kylo a écrit : 3) Suite à cette déconnexion, j'ai même perdu l'accès à la configuration du switch 1 depuis les postes connectés sur ce switch ?? Pourquoi ? |
les postes avaient toujours une adresse IP ? si le DHCP est sur le routeur ils l'ont peut-être perdue...
Marsh Posté le 14-04-2014 à 09:30:11
Bonjour,
Je reviens avec mes questions
Voilà où j'en suis :
Au niveau des VLANs, tout fonctionne : une machine plugguée sur un port "VLAN1" choppe un adressage par le DHCP du VLAN1, et idem pour une machine plugguée sur un port "VLAN2".
C'est au niveau des configurations des switches que je ne comprends pas pourquoi ça fonctionne
J'ai 2 Cisco et 1 HP.
Sur les ports trunk des 2 Cisco, j'ai bien sûr configuré le VLAN2 en "tagged" mais j'ai été obligé de laisser le VLAN1 en "untagged" sinon rien ne marchait. Pourquoi ?
Sur le HP c'est encore pire, tout est en "tagged", sinon pareil, ça ne fonctionne pas.
Sauriez-vous pourquoi ?
Marsh Posté le 14-04-2014 à 12:08:40
Bonjour,
Fais attention aux protocoles que tu utilises. En effet, certains sont propriétaires cisco et ne sont pas forcément compatibles avec les switchs/routeurs hp and co. ^^
Dans un environnement multi-marques, il faut utiliser les protocoles standards. Je pense en particulier aux RIP/BGP/OSPF ...
Marsh Posté le 14-04-2014 à 14:04:22
sandy kylo a écrit : Bonjour, |
le vlan 1 est un vlan spécial, dès le moment où tu as plusieurs vlans il est conseillé de ne pas l'utiliser. En tout cas tu ne peux pas le mettre en trunk.
Marsh Posté le 14-04-2014 à 17:24:00
Bon bah si tout plante je saurai d'où ça vient.
Je touche du bois en attendant.
Marsh Posté le 17-04-2014 à 17:19:21
Bon j'en rajoute une couche
Le "DHCP du VLAN1", d'IP 192.168.1.60, attribue des adresses de 192.168.1.100 à 192.168.1.150.
Une borne wifi, branchée en trunk, et possédant elle aussi un DHCP, attribue des adresses de 192.168.1.180 à 192.168.1.200.
Elle irradie les SSID suivants :
- "reseau1" sur VLAN1
- "reseau2" sur VLAN2
Problématique : bloquer le "DHCP du VLAN1" pour que les clients wifi "reseau1" utilisent le DHCP de la borne (le DHCP du VLAN2 passe lui aussi, mais c'est exactement ce que je veux).
J'ai tenté un truc comme ça sur le port sur lequel est branché la borne, mais ça suffit visiblement pas :
Une idée ?
Marsh Posté le 17-04-2014 à 17:25:35
stop, ce n'est pas une bonne façon de faire. Plutôt que de bloquer les messages, il faut penser un système dans lequel ils ne sont pas envoyés/transmis, puisqu'ils sont inutiles.
Tu as deux serveurs DHCP qui attribuent des IPs sur le même réseau ? c'est pas bon.
Tu dis que tu as deux réseaux wifi différents, mais tu ne donnes qu'un range pour le deux ? précise.
Sauf bonne raison de faire autrement, fais un seul serveur DHCP avec un range bien défini par réseau.
Marsh Posté le 17-04-2014 à 17:38:55
Oué mais je voudrais justement pouvoir faire des ACL différentes selon que la personne est connectée en filaire ou pas sur le VLAN1, c'est pour ça que j'ai 2 DHCP ...
Le DHCP du VLAN2 dessert le reseau2, et voilà le range : 192.168.2.100 à 192.168.2.150 mais c'est clairement pas lui qui pose problème
Marsh Posté le 17-04-2014 à 17:50:37
si le fait d'être connecté en filaire ou pas à une importance, sépare en deux réseaux, un filaire, un wifi.
Marsh Posté le 17-04-2014 à 17:52:16
Genre un 3ième VLAN 192.168.3.0/24 pour le wifi "reseau1" ?
Marsh Posté le 17-04-2014 à 18:02:23
par exemple oui.
Marsh Posté le 17-04-2014 à 18:05:21
Ca m'arrange pas
Mais je vais suivre ton conseil, je vire le DHCP de la borne, j'étends celui du "serveur DHCP VLAN1", et je fais des réservations DHCP pour les 3 péquins connectés en wifi à qui je dois restreindre les accès ...
Marsh Posté le 02-04-2014 à 17:17:38
Bonjour,
J'aurais besoin d'un coup de main pour configurer mon switch. Je souhaiterais que la machine VLAN2 ne puisse accéder à aucun port du switch, si ce n'est celui qui mène au firewall (boite du haut), c'est à dire le port numéro 1.
Tous les ports du switch connectés à des machines sont en Access, les VLANs semblent correctement configurés puisque la machine VLAN2 n'accède à rien, et les VLAN1 se voient entre elles. J'ai mis le port 1 en mode Trunk, mais visiblement ça ne suffit pas, la machine VLAN2 n'arrive pas à sortir.
Toutes les IPs sont dans le même sous-réseau 192.168.1.0.
Une idée ?
Message édité par sandy kylo le 14-04-2014 à 09:30:58