VLAN sur switch 3COM Fermé

Question

Bonjour,
j'ai un switch 3COM 2924 , je dois mettre des VLAN de sortes que :
Le port 1 et 2 soit ensembles (dans un VLAN)
Le port 3 et 4 soit ensembles (dans un VLAN)
Le port 5 doit pouvoir aller dans les 2 VLAN , et je n'y arrive pas.

Zrod · Answer

personne ?

kiki · Answer

Bonsoir,

https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/support.3com.com/infodeli/tools/switches/baseline/3Com_Baseline-Switch-2916-2924_User-Guide.pdf

Les VLAN c'est à la page 100 du PDF.

Ca va être difficile de vous donner les commandes car il ne se configure qu'avec l'interface http.

1- vous creez les VLAN 10 et 20
2- Vous configurez les portes 1 et 2 dans le VLAN 10 untagged
3- Vous configuez les portes 3 et 4 dans le VLAn 20 untagged
4- Vous configurez la porte 5 dans les VLAN 10 et 20 tagged

Dans les VLAN, un port untagged (vlan non taggé) correspond à un port access, il est associé à un seul VLAN.
Un port tagged (vlan taggé) correspond à un port trunk qui est associé à plusieurs VLAN.

Les ports trunk servent à l'interco des VLAN des switchs. Dans ce cas c'est VLAN ID (le numéro du VLAN) qui est utilisé, pas son petit nom.

Par contre le 2924 est un switch de niveau 2, il n'a pas d'interface de niveau 3. Donc pour sortir des VLAN, il faut un routeur supportant les VLAN ou avec plusieurs interfaces.

Cordialement,

Zrod · Answer

Hello et merci de ta réponse , mais je m'y connais pas tres bien , j'ai quelques questions :


D'abord , j'ai créé les VLAN comme tu as dit , sauf que quand je mettais :
Untagged port 1 et 2 dans le VLAN 10
Untagged port 3 et 4 dans le VLAN 20
Ici ça marchais , en VLAN par port , je pouvais pinger (commande ping d'un portable relié au port a un autre portable relié au port du Switch) du 1 au 2 , du 3 au 4 mais pas du 1 au 3 ect...jusque la c'est normal je crois.
MAIS !Quand j'ajoutais le port 5 Tagged au VLAN 10 et 20 , je pouvais pinger aussi du 1 au 3 , du 1 a 4 , et donc du 2 au 3 , 2 au 4 alors que je ne devrais pas pouvoir normalement j'me trompe ?


"Les ports trunk servent à l'interco des VLAN des switchs. Dans ce cas c'est VLAN ID (le numéro du VLAN) qui est utilisé, pas son petit nom. "
Ici je ne vois pas de quoi tu veux parler , est-ce que c'est VLAN ID de la page 107 en cliquant sur le port et en le tagguant a tous les VLAN ?


Et enfin , je ne savais pas qu'on ne pouvais pas faire de niveau 3 , c'est bien le VLAN par adresses IP c'est ça ? Je pensais que a la page 112 c'était ça , parce qu'on choisit le VLAN puis on lui choisit une IP , une MAC (celle du Switch) et l'ARP , que je ne pige pas non plus...

brupala · Answer

Salut,
MAIS !Quand j'ajoutais le port 5 Tagged au VLAN 10 et 20 , je pouvais pinger aussi du 1 au 3 , du 1 a 4 , et donc du 2 au 3 , 2 au 4 alors que je ne devrais pas pouvoir normalement j'me trompe ?

ça n'existe pas sur un switch digne de ce nom .
il doit ya avoir quelque chose que tu fais mal au niveau des vlan.

blablabla · Answer

essayer un router en guise de switch surprenant...

kiki · Answer

@ drupala
Exact !

On peut pinguer dans plusieurs vlan si le port est tagged dans les vlan et si l'interface ethernet du PC supporte les vlan taggés.

@zrod
Si la porte 1 est dans le vlan 10, elle ne peut pinguer la porte 3 qui est dans le vlan 20, même si la porte 5 tagged dans les vlan 10 et 20.

Un port trunk (donc tagged), permet de faire passer plusieurs vlan entre les switch.

Par exemple avec 2 switch (A et B) ayant la même config. On relie les 2 switch par leur porte 5 respective.
les portes 1 et 2 des switch A et B pourront se pinguer car elles seront dans le même VLAN ID.
idem pour les portes 3 et 4 des switch A et B (vlan 20)
La porte 5 permet de faire passer les 2 vlan, mais ne les mélanges pas.

On pourrait se passer de vlan taggués, mais il faudrait relier chaque vlan de chaque switch par une porte dédiée. Au dela de 2 vlan, cela devient vite couteux en porte et en cablage.

Un vlan est un lan de niveau 2. C'est un domaine de broadcast. Comme il faut bien donner une limite au lan, c'est le routeur qui joue ce rôle et on utilise l'interface IP et le routage pour interconnecter les lan.
Dans un switch de niveau 3 (bien mal nommé), on a en fait un switch de niveau 2 et un routeur de niveau 3.

Cordialement,

Zrod · Answer

Bah la j'ai rééssayé :
D'abord il y a le VLAN de defaut , celui ou tous les ports sont Untagged .
Je crée le VLAN10 , je met Untagged port 1 et 2 , donc ils ne sont plus Untagged dans le VLAN de defaut.
De meme pour le VLAN20 avec les ports 3 et 4 , puis je vais dans "Modify port" , je clique sur le port 5 , je met Taggued et je clique sur "All Existing VLANs", du coup , les VLANs 10 et 20 ont le port 5 taggued (mais le VLAN de defaut n'a pas taggué le port 5 , dans le VLAN de defaut le port 5 est toujours Untaggued ! C'est peut etre important de le souligner).
Bref , quand je teste , ça marche pour le port 1&2 , 3&4 , ça ne marche pas pour 1&3 , 1&4 , 2&3, 2&4 , jusque la c'est normal , mais ça ne marche pas non plus pour le 5 , il ne peut communiquer avec aucun des 4 premiers ports !!
La je pige vraiment pas , j'ai réglé un probleme sans vraiment savoir comment j'ai fait , par contre j'ai l'impression qu'un Untaggued ne passe pas avec un Taggued !

Zrod · Answer

Hello brupala , j'ai rééssayé et cette fois le probleme est résolu au niveau du ping de d'un VLAN a un autre (port 1 au port 3 par eemple).
Mais meme comme ça , et toujours avec le port 5 Taggé sur 2 VLAN il ne peut pas voir les Untagged que j'ai...

Zrod · Answer

Je viens juste de voir le message de kiki , j'ai un ordi un peu pourri il me montre pas le derniers messages du topic , bref.

Kiki :
En faite je crois que j'ai mal compris , toi tu m'explique comment faire en sorte que le port 1 d'un Switch et le 2 d'un autre Switch communiquent , mais moi j'ai qu'un Switch en faite .
Je veux juste que le port 5 puisse communiquer avec tous les autres ports , mais sans que les ports du VLAN10 (1&2) communiquent avec ceux du VLAN20 (3&4) , je precise que j'ai pas de DHCP , j'ai pas encore de routeur (a part si c'est intégré au Switch , deja c'est quoi un routeur ?) pour l'instant c'est qu'un exercice que je dois savoir faire , et j'ai beaucoup de mal a comprendre...

Cocodenso · Answer

Un routeur est un matériel de communication permettant de passer d'un réseau à un autre (fonction routage RIP par exemple). Imagine toi qu'un VLAN est un réseau donc les VLANs 10 et 20 sont des réseaux différents.

J'ai travaillé sur le même matos que toi. Jai donc créer en plus un VLAN 100 qui représentera mon trunk. Après cela il faut que tu mette en untagged le port 5 sur le VLAN 100. ensuite tu tagged ce port sur les vlans 10 et 20 mais pas en cliquant sur all existing VLANs. J'avais fait la meme manipe que toi et ca marchait pas. en le faisant à la main ca fonctionne (ne me demande pas pourquoi je ne sais pas).


Voila

kiki · Answer

Tous les ports d'un vlan doivent être dans le même réseau IP. autrement ils seront des réseaux isolés.
Ce modèle de switch n'a pas d'interface VLAN (de niveau 3) donc pas possible de faire communiquer 2 vlan ensemble sans un routeur.

Sur la porte 5 avec tagged pour tous les vlan, il est possible de brancher un PC, mais il faut que le pilote de sa carte ethernet gere les vlan. Ou alors il faut utiliser Linux (le noyau linux fait routeur et vlan).

Dans ce cas la il faut un routeur et de préférence qu'il gère les vlan.

Cordialement,

kiki · Answer

PS, pour le Linux essayer un Linksys WRT54GL + openwrt ou ddwrt.
Il ya aussi une distri qui s'appelle nonowall : https://m0n0.ch/wall/

Zrod · Answer

Hello , on ma filé un Routeur , je ne sais pas comment faire en faite .
Sur le routeur y a les ports 1,2,3,4,5,6,7,8 , et internet , bon .

Là j'ai envie de réessayer le premier test :
VLAN 10 port 1 Untagged port 2 Untagged port 5 Tagged
VLAN 20 port 3 Untagged port 4 Untagged port 5 Tagged ,
Je ne sais qu'est ce qu'il faut relier au port 5 , genre il doit surement devoir passer par le routeur , et se connecter a un PC ensuite , mais est ce que c'est le port 5 que je branche a un des ports du Routeur ? Et ensuite je branche un PC au routeur ?

Zrod · Answer

Hello , revenons en au probleme de depart :
VLAN10 port 1&2 Untagged
VLAN20 port 3&4 Untagged
Port 5 Tagged dans tous les VLANs , si je veux créer un VLAN supplémentaire pour que ce VLAN communique avec les 2 premiers je fais comment ?

Cocodenso · Answer

Je l'admet je ne comprends pas pourquoi cela ne marche pas, récemment j'ai monté un petit réseau d'une 40 aine de machines avec un switch 2924 et deux 2226...

Je viens de penser, du coté de ton trunk, tu as quoi comme matériel? un autre switch ou un PC?

Zrod · Answer

Un PC.
Je crois que c'est normal que ça ne marche pas , j'ai pas configurer de routeur.En faite quelqu'un passera derriere moi configurer le routeur , c'est donc un travail compliqué parce que je dois lui laisser quelque chose de pas trop compliqué .
Bref mon objectif c'est de faire en sortes qu'une fois qu'il aura configuré le routeur , les VLAN10 et 20 pourront avoir acces a un VLAN , disons VLAN30 , sans pour autant que le VLAN10 et VLAN20 puissent avoir acces l'un a l'autre...
Pour ça je crois qu'il faut Tagger quelques ports mais j'ignore comment faire pour que ce port taggé appartienne au VLAN30 !

Zrod · Answer

Oui mais pour le Tagging je fais comment ? 
Est-ce que je dois tagger le port pour "all existing VLANs" ou juste pour le VLAN30 ?
Et ensuite , y a un souci avec les VLAN je n'arrive pas a leur donner une IP , y a un truc "ARP entry age out" et je sais pas c'est quoi mais ça me file un message d'erreur et ne m'attribue pas une IP au VLAN .

Cocodenso · Answer

pour ton VLAN 30 c'est simple. tu untagged le port 20 par exemple sur le VLAN 30 et tu tagged ce meme port avec les vlan 10 et 20.

Si tu mets un PC au bout de ton TRUNK qui est le VLAN 30, cela ne fonctionnera pas car il faut un autre matériel d'interconnexion en face comme un autre switch ou encore un routeur.

Si tu as un autre switch qui peut etre configurable, fait exactement la meme manip en créant des VLANS identiques et bien sur le TRUNK.

après toutes les machines sur le meme VLAN mais sur des switchs différents pourront communiquer ensemble mais pas de différents VLAN. Cela prouvera donc que le TRUNK peut à la fois communiquer avec l'un ou l'autre VLAN.

En résumant un TRUNK est un tuyau permettant le passage de différents VLAN dans ton cas.

Cocodenso · Answer

n'utilise pas le all existingvlans, cela ne fonctionne pas jene sais pas pourquoi.
Moi pour que cela marche, j'ai untagged le port 20 sur le vlan 30 et tagged ce meme port avec les vlans 10 et 20. mais je l'ai fait à la main sans utiliser cette option "All Existing VLANs".

Zrod · Answer

"Pour ton VLAN 30 c'est simple. tu untagged le port 20 par exemple sur le VLAN 30 et tu tagged ce meme port avec les vlan 10 et 20."
Cool c'est ce que je voulais savoir !
"Si tu mets un PC au bout de ton TRUNK qui est le VLAN 30, cela ne fonctionnera pas car il faut un autre matériel d'interconnexion en face comme un autre switch ou encore un routeur."
J'ai un routeur donc ça devrait aller.
"après toutes les machines sur le meme VLAN mais sur des switchs différents pourront communiquer ensemble mais pas de différents VLAN. Cela prouvera donc que le TRUNK peut à la fois communiquer avec l'un ou l'autre VLAN. "
Ok donc le VLAN10 du switch 1 aura acces au VLAN10 du switch 2 , mais vu que j'ai qu'un switch et un routeur , c'est possible de configurer les routes de maniere a ce que le VLAN10 puisse avoir acces au VLAN30 ?Et que le VLAN20 aussi , mais toujours sans que le VLAN10 puisse avoir acces au 20 et inversement ?

Cocodenso · Answer

A quoi va te servir ton routeur? est ce un routeur public?

Zrod · Answer

Routeur Privé , pour gerer les reseaux de la mairie .

Cocodenso · Answer

Donc tu as déjà des VLANs existant? et tu souhaite que certains VLAN communiquent entre eux c'est ca?

Zrod · Answer

Oui , en verité j'ai 6 VLANs , mais là on peut en prendre 3 pour expliquer :
Le VLAN10 , le VLAN20 et le VLAN30 (qui est le seul a pouvoir communiquer avec les 2 autres).

Cocodenso · Answer

les autres VLANs sont sur un autre matos ou le meme?

Zrod · Answer

Tous sont sur le meme Switch.

Cocodenso · Answer

ce que je ne comprends pas c'est l'interet de ton routeur... il y aura quoi de l'autre coté du routeur?

Zrod · Answer

ça j'en sais rien , c'est pas a moi de le configurer , mon parton m'a dit de ne pas m'en occuper...

Cocodenso · Answer

OK

Donc en fait si tu ajoute un routeur sur le TRUNK et que tu active le routage (RIP) sur ce routeur, tous les VLANS pourront communiquer ensemble. Si tu connais les switch de niveau 3 (il peuvent effectuer du routage) tu peux "fabriquer" ton switch de niveau 3 à l'aide d'un routeur et d'un Switch de niveau 2 (ton 3COM 2924 par exemple).

Je n'ai pas encore mit en pratique cette solution mais si je ne dis pas de bétises pour éviter que tes VLANs communiquent entre eux, je crois que l'utilisation ACL (Access Control List) permettra de mettre en place des interdictions... Mais cela reste à confirmer par quelqu'un ayant déjà testé cette solution.

j'espère que mes explications sont claires :) :)

Zrod · Answer

"OK

Donc en fait si tu ajoute un routeur sur le TRUNK et que tu active le routage (RIP) sur ce routeur, tous les VLANS pourront communiquer ensemble. Si tu connais les switch de niveau 3 (il peuvent effectuer du routage) tu peux "fabriquer" ton switch de niveau 3 à l'aide d'un routeur et d'un Switch de niveau 2 (ton 3COM 2924 par exemple).

Je n'ai pas encore mit en pratique cette solution mais si je ne dis pas de bétises pour éviter que tes VLANs communiquent entre eux, je crois que l'utilisation ACL (Access Control List) permettra de mettre en place des interdictions... Mais cela reste à confirmer par quelqu'un ayant déjà testé cette solution.

j'espère que mes explications sont claires :) :)"   
Tous ? meme le VLAN10 et le VLAN20 ??
Sinon , pour ta methode du Switch de niveau 3 , vu que ce n'est pas moi qui configure le routeur je crois pas que je pourrais le faire...

Cocodenso · Answer

Je préfère dire que c'est à confirmer, car je ne suis pas sûre de moi sur ça. mais avec les ACL normalement je dis bien normalement :) toi et ton collègue devraient pouvoir empêcher la communication interVLAN.

Si quelqu'un pourrai confirmer ou non ce que j'ai dit à propos du routage et des VLANs ça pourrai aider.

merci d'avance

Zrod · Answer

Ok , donc s'il y a confirmation , etant donné qu'en mairie j'ai 6 VLANs , je ferais en sorte que les 5 peuvent pas communiquer ensembles , et je met rien pour le dernier VLAN qui servira a l'interconnexion.

kimojo · Answer

C'est confirmé.

Avec du matériel cisco, voila comment je procéderais :
Sur le switch, je fais comme tu l'as fait du tagged et du untagged.
Donc pour le moment, seul les pcs dans le même vlan peuvent communiquer.

Ensuite avec un routeur, je branche mon switch à mon routeur sur le port que j'ai tagged pour tous les vlans.
Sur ce port, dans la config du routeur, je définit des sous interfaces avec les différentes ip.
Du genre sous interface .10 pour le vlan 10, sous interface .20 pour le vlan 20...
A partir de la tous les vlan peuvent communiquer.

Ensuite je créé sur mon routeur des ACL pour empêcher ou autoriser certains sous réseau a communiquer entre eux.

Pour ton matériel, ça doit être du même genre.

Cocodenso · Answer

tout à fait car vu qu'il est en TRUNK, ce VLAN pourra automatiquement communiquer avec tes 5 autres VLANs. 

configuration de ton trunk:

-TRUNK sur le port 20
-VLAN 100 sera celui qui représente ton TRUNK donc "Untagged" le VLAN 100 sur le port 20 (je crois que chez 3COM le VLAN 100 est celui qui gere le TRUNK à vérifier)
-SANS UTILISER l'option "All Existing Vlan", tu Tagged" le port 20 avec tes autres VLANs donc par exemple le 10, 20, 30, 40, 50

Cocodenso · Answer

Alors comme l'a dit kimojo, le matériel 3COm et le Cisco ont beaucoup de fonctions similaires (Cisco mieux notamment l'étendu des VLANs automatiques par exemple) donc si il à réussi a faire fonctionner avec des ACl c'est que c'est bon.

Tiens j'ai trouvé sur ce site je crois un lien qui explique (selon Cisco bien sur) la mise en place d'un routeur cisco avec un switch cisco:
http://www.labo-cisco.com/fr/articles/administration-reseaux/rip.html

Il y a plusieurs sujets très interessants fait toi plaisir

Zrod · Answer

"je crois que chez 3COM le VLAN 100 est celui qui gere le TRUNK à vérifier "
Attends , le nom des VALN est important ?? Genre si je met VLAN7 il pourra pas faire ça ?
Et est-ce que je dois donner une IP a mes VLANs ou pas ?

Cocodenso · Answer

tu peux utiliser n'importe quel VLAN pour faire un TRUNK et mettre le nom que tu veux. Mais si je me souvient ce n'est qu'une convention de 3COm pour bien se retrouver c'est tout. je crois l'avoir vu dans une de leur DOC c'est tout. oui tu peux mettre le VLAN 7 en TRUNK pas de soucis.

Zrod · Answer

Ok , et pour l'IP , j'ai plusieur fois essayé de mettre une adresse IP au VLANs mais j'arrive pas , il y a un truc "ARP entry age out" qui me met un message d'erreur a chaque fois...Quelqu'un sait comment donner une IP a un VLAN ?

Cocodenso · Answer

le 3COM 2924 est un switch de niveau 2 et non 3 donc lui ne gère pas les IP ...

kimojo · Answer

Oui avec un masque /22 ou inférieur.
Je ne suis pas sur que tu es tout compris sur les vlan avec cette question.

Il faudrait que tu lises sur wikipedia ce qu'est un vlan et pour la configuration que tu lises le lien que j'ai posté un peu avant.

Donc en gros si tu as juste un switch niveau 2 et que tu fais des Vlans, seulement les pcs dans ce même vlans pourront communiquer, les autres pcs seront dans un autre sous réseau et donc injoignable.

Du coup si tu mets un masque /24 avec des ip 192.168.1.2 et 192.168.2.2 sur 2 ports d'un même vlan, ça ne pourra pas marcher puisque le pc 192.168.1.2 pourra contacter tous les pcs de 192.168.1.1 à 192.168.1.254 et le pc 192.168.2.2 pourra contacter tous les pcs de 192.168.2.1 à 192.168.2.254. Du coup ils seront injoignable entre eux.

De plus même si tu mets un routeur, si ton masque est toujour a /24 le pc 192.168.2.2 ne pourra toujour rien faire puisque la passerelle (donc l'interface .10 du routeur) sera dans le sous réseau 192.168.1.0.

Cocodenso · Answer

j'ai eu un doute c'est pour ca que je n'ai pas rep...

donc si je me rappelle bien en gros avec le masque tu fais du forcing c'est bien ca?

Cocodenso · Answer

yep... en fait c'est ce que je voulais dire, un de mes anciens formateurs lui appelais ca le forcing par masque... notion que je maitrisais qu'à moitié... je commence a bien le comprendre

merci de ton explication

VLAN sur switch 3COM

42 réponses

Discussions similaires