[VLAN] ISOLER un vlan des autres vlan
Fermé
simon
-
Modifié par simon le 29/04/2010 à 11:13
Urel_RT Messages postés 191 Date d'inscription vendredi 23 avril 2010 Statut Membre Dernière intervention 8 juin 2010 - 30 avril 2010 à 08:46
Urel_RT Messages postés 191 Date d'inscription vendredi 23 avril 2010 Statut Membre Dernière intervention 8 juin 2010 - 30 avril 2010 à 08:46
A voir également:
- [VLAN] ISOLER un vlan des autres vlan
- Vlan tagged untagged - Forum Réseau
- Dhcp vlan ✓ - Forum DHCP
- Plusieurs vlan sur un port - Forum Réseau
- Vlan trunk vs access - Forum Réseau
- Acl vlan - Forum CISCO
4 réponses
sdj79
Messages postés
295
Date d'inscription
samedi 16 décembre 2000
Statut
Contributeur
Dernière intervention
30 avril 2013
118
29 avril 2010 à 11:25
29 avril 2010 à 11:25
Si je VLAN doit être complètement isolé, il suffit qu'il ne soit pas "connecté" au routeur. Donc ne pas lui assigner d'adresse IP, voire même fermer l'interface du VLAN.
Les VLANS sont des subdivisions au niveau de la couche liaison de donnée, bien que cela ait une implication sur l'adressage IP ... il n'y a pas besoin de définir des IPs pour rendre un VLAN fonctionnel.
La subdivision des subnets en VLAN se fait par le tagging des trames qui circulent. Dans le cas de dot1q des informations sont rajoutées à la trame. Dans le cas d'ISL c'est une encapsulation complète.
Les VLANS sont des subdivisions au niveau de la couche liaison de donnée, bien que cela ait une implication sur l'adressage IP ... il n'y a pas besoin de définir des IPs pour rendre un VLAN fonctionnel.
La subdivision des subnets en VLAN se fait par le tagging des trames qui circulent. Dans le cas de dot1q des informations sont rajoutées à la trame. Dans le cas d'ISL c'est une encapsulation complète.
Merci beaucoup ça fonctionne, pour moi c'était une "obligation" d'un vlan de se voir assigner un @ip a son interface.
J'aurais une derniere petite question : si j'assigne une adresse IP a l'interface des switch "secondaires", comme il ne font pas fonction routeur, mon réseau sera quand meme isolé ?
Par précaution je ne vais pas le faire mais bon..
J'aurais une derniere petite question : si j'assigne une adresse IP a l'interface des switch "secondaires", comme il ne font pas fonction routeur, mon réseau sera quand meme isolé ?
Par précaution je ne vais pas le faire mais bon..
sdj79
Messages postés
295
Date d'inscription
samedi 16 décembre 2000
Statut
Contributeur
Dernière intervention
30 avril 2013
118
29 avril 2010 à 22:07
29 avril 2010 à 22:07
Oui il le sera. Affecter une IP sur une interface d'un VLAN d'un switch layer 2 (donc qui ne route pas) ça ne sert qu'à permettre un accès à distance à la config ... ou à effectuer des tests (ping etc).
Très bien merci beaucoup, oui c'est surtout pour pinguer car l'accès a dist je le fait via le vlan admin. Merci bien.
Une question complétement différente maintenant mais bon je referais un post si je n'ai pas de réponse et que je ne trouve pas :
Maintenant, mon vlan4 complétement isolé (d'un point de vue "local"..) passe par un firewall via une ethX complétement dédié a lui, tous les autres vlan passe par un autre port th de mon pare feu. Mais maintenant mon probleme est que mes autres vlan peuvent pinguer mon vlan 4 et inversement, et lors d'un tracert on voit que l'on passe par le pare feu..donc mon pare feu route mes vlans.. je me demande pourquoi ?!
(Surement de la meme maniere que pour mon routeur/switch, les deux interfaces sont "connected" sur un meme équipement, donc aucune route pour les relier ?)
Ce qui est bisare c'est que l'accès telnet pour simple exemple n'est pas possible, mais un ping est autorisé..bisare non ? cela doit venir des regles de mon pare feu ?
enfin voilà de toute façon sauf si cette situation vous est déja arrivé précisement, je vais devoir me plonger dans le logiciel de mon pare-feu (bien que je n'y ai pas trop acces étant stagiaire) pour essayer de régler ça !
Bonne soirée & nuit.
Une question complétement différente maintenant mais bon je referais un post si je n'ai pas de réponse et que je ne trouve pas :
Maintenant, mon vlan4 complétement isolé (d'un point de vue "local"..) passe par un firewall via une ethX complétement dédié a lui, tous les autres vlan passe par un autre port th de mon pare feu. Mais maintenant mon probleme est que mes autres vlan peuvent pinguer mon vlan 4 et inversement, et lors d'un tracert on voit que l'on passe par le pare feu..donc mon pare feu route mes vlans.. je me demande pourquoi ?!
(Surement de la meme maniere que pour mon routeur/switch, les deux interfaces sont "connected" sur un meme équipement, donc aucune route pour les relier ?)
Ce qui est bisare c'est que l'accès telnet pour simple exemple n'est pas possible, mais un ping est autorisé..bisare non ? cela doit venir des regles de mon pare feu ?
enfin voilà de toute façon sauf si cette situation vous est déja arrivé précisement, je vais devoir me plonger dans le logiciel de mon pare-feu (bien que je n'y ai pas trop acces étant stagiaire) pour essayer de régler ça !
Bonne soirée & nuit.
Urel_RT
Messages postés
191
Date d'inscription
vendredi 23 avril 2010
Statut
Membre
Dernière intervention
8 juin 2010
7
Modifié par Urel_RT le 30/04/2010 à 08:50
Modifié par Urel_RT le 30/04/2010 à 08:50
C'est normal que tu pingue mais pas d'acces, car le pare-feu a du etre concue de cette manière ( j'ai la meme chose avec un Cisco ASA 5510). Seul ceux qui font parti du vlan par défaut ou qui sont sur le réseaux de l'interface Inside peuvent avoir acces au telnet, ssh, .... Règle de sécurité ^^ ( je ne sais pas si on peut l'enlever par contre )
Apres pour ton firewell, c'est une histoire de translation d'adresse statique, il suffit de regarder les règles et enlevée toutes celle qui sont en rapport avec ton VLAN 4 ( sauf celle qui te permet de sortir vers internet), sinon une simple règle d'acces list et on en parle plus ^^
Apres pour ton firewell, c'est une histoire de translation d'adresse statique, il suffit de regarder les règles et enlevée toutes celle qui sont en rapport avec ton VLAN 4 ( sauf celle qui te permet de sortir vers internet), sinon une simple règle d'acces list et on en parle plus ^^