[VLAN] ISOLER un vlan des autres vlan
simon
-
Urel_RT Messages postés 197 Statut Membre -
Urel_RT Messages postés 197 Statut Membre -
Bonjour à tous, actuellement en stage, je dois réaliser un vlan complétement étanche par rapport aux autres vlan deja implanté dans l'entreprise, je m'explique :
J'ai un routeur/switch central (HP 5308XL) et 2 commut' connectés à deux ports different du routeur/switch.
je crée mon vlan que j'ai apeler vlan4 dans mes 2 switch et mon routeur/switch :
je suis sur de ma configuration sur les deux switch (j'ai mis tagged mon port qui communique plusieurs vlan a la fois et qui relie en fibre optique mon routeur et mes switch, puis en untagged sur les vlan que je veux associé par port, bref là c'est bon ne vous souciez pas de moi) A noté que j'associe une adresse IP pour l'interface de mon vlan sur chaque switch, dans le meme adressage IP bien entendu.
Mon problème est que lorsque je crée mon vlan4 sur mon routeur/switch (coeur de réseau),je lui associe donc une adresse dans le meme plan réseau que précédemment pour mes switch, et puis je lui associe bien en mode tagged les 2 ports qui communiquent au 2 switch.
Au début je pensais que mon vlan allait etre étanche, mais c'était sans compter le fait que mon 5308XL est un routeur, et que pour lui des qu'une interface vlan est configuré, c'est comme une interface physique, donc lorsque je fais un show ip route, evidemment mon réseau vlan4 apparait en mode "connected". Jusque là tout est normal me direz-vous, car tous mes autres vlan sont eux aussi directement connectée sur le routeur, et donc, tous mes vlan communiquent entre eux.
Mon problème est que je ne veux ABSOLUMENT PAS que mon vlan4 communiquent avec mes autres vlan déja en place, et le fait des les interconnecter tous sur le meme routeur ben ils peuvent se pinger..
Solution : Access list ? Top chargé et trop "casse" gueule sur un routeur dont je n'ai pas souvent accès et oui c'est le coeur de réseau si je fait de fausse manip..
Alors depuis la gestion des vlan, y a-t-il un moyen simple pour interder tel vlan de causer avec tel vlan ?
Pleaaaassse ça serait sympa, car même mon tuteur est perdu et se demande comment faire... ^^
Bonne journée à tous.
PS:
@ip interface vlan4 sur:
switch1: 192.168.100.241
switch2: 192.168.100.224
routeur/switch: 192.168.100.221
le tout en /24
Je peux pinguer depuis un périphériques situé dans mon réseau 192.168.100.x les autres périphériques dans d'autres vlans tels que des 10.x.x.x etc.. Je sais c'est normal mais c'est pour vous montrer que déja mon vlan4 est bien configuré (je pense?) et que je veux juste l'isoler de tous.
J'ai un routeur/switch central (HP 5308XL) et 2 commut' connectés à deux ports different du routeur/switch.
je crée mon vlan que j'ai apeler vlan4 dans mes 2 switch et mon routeur/switch :
je suis sur de ma configuration sur les deux switch (j'ai mis tagged mon port qui communique plusieurs vlan a la fois et qui relie en fibre optique mon routeur et mes switch, puis en untagged sur les vlan que je veux associé par port, bref là c'est bon ne vous souciez pas de moi) A noté que j'associe une adresse IP pour l'interface de mon vlan sur chaque switch, dans le meme adressage IP bien entendu.
Mon problème est que lorsque je crée mon vlan4 sur mon routeur/switch (coeur de réseau),je lui associe donc une adresse dans le meme plan réseau que précédemment pour mes switch, et puis je lui associe bien en mode tagged les 2 ports qui communiquent au 2 switch.
Au début je pensais que mon vlan allait etre étanche, mais c'était sans compter le fait que mon 5308XL est un routeur, et que pour lui des qu'une interface vlan est configuré, c'est comme une interface physique, donc lorsque je fais un show ip route, evidemment mon réseau vlan4 apparait en mode "connected". Jusque là tout est normal me direz-vous, car tous mes autres vlan sont eux aussi directement connectée sur le routeur, et donc, tous mes vlan communiquent entre eux.
Mon problème est que je ne veux ABSOLUMENT PAS que mon vlan4 communiquent avec mes autres vlan déja en place, et le fait des les interconnecter tous sur le meme routeur ben ils peuvent se pinger..
Solution : Access list ? Top chargé et trop "casse" gueule sur un routeur dont je n'ai pas souvent accès et oui c'est le coeur de réseau si je fait de fausse manip..
Alors depuis la gestion des vlan, y a-t-il un moyen simple pour interder tel vlan de causer avec tel vlan ?
Pleaaaassse ça serait sympa, car même mon tuteur est perdu et se demande comment faire... ^^
Bonne journée à tous.
PS:
@ip interface vlan4 sur:
switch1: 192.168.100.241
switch2: 192.168.100.224
routeur/switch: 192.168.100.221
le tout en /24
Je peux pinguer depuis un périphériques situé dans mon réseau 192.168.100.x les autres périphériques dans d'autres vlans tels que des 10.x.x.x etc.. Je sais c'est normal mais c'est pour vous montrer que déja mon vlan4 est bien configuré (je pense?) et que je veux juste l'isoler de tous.
A voir également:
- [VLAN] ISOLER un vlan des autres vlan
- Vlan tagged untagged explication - Forum CISCO
- Tag untag vlan ✓ - Forum Réseau
- Dhcp vlan ✓ - Forum DHCP
- Aruba 1930 vlan configuration - Forum Réseau
- Isoler le son d'une vidéo - Guide
4 réponses
Si je VLAN doit être complètement isolé, il suffit qu'il ne soit pas "connecté" au routeur. Donc ne pas lui assigner d'adresse IP, voire même fermer l'interface du VLAN.
Les VLANS sont des subdivisions au niveau de la couche liaison de donnée, bien que cela ait une implication sur l'adressage IP ... il n'y a pas besoin de définir des IPs pour rendre un VLAN fonctionnel.
La subdivision des subnets en VLAN se fait par le tagging des trames qui circulent. Dans le cas de dot1q des informations sont rajoutées à la trame. Dans le cas d'ISL c'est une encapsulation complète.
Les VLANS sont des subdivisions au niveau de la couche liaison de donnée, bien que cela ait une implication sur l'adressage IP ... il n'y a pas besoin de définir des IPs pour rendre un VLAN fonctionnel.
La subdivision des subnets en VLAN se fait par le tagging des trames qui circulent. Dans le cas de dot1q des informations sont rajoutées à la trame. Dans le cas d'ISL c'est une encapsulation complète.
Merci beaucoup ça fonctionne, pour moi c'était une "obligation" d'un vlan de se voir assigner un @ip a son interface.
J'aurais une derniere petite question : si j'assigne une adresse IP a l'interface des switch "secondaires", comme il ne font pas fonction routeur, mon réseau sera quand meme isolé ?
Par précaution je ne vais pas le faire mais bon..
J'aurais une derniere petite question : si j'assigne une adresse IP a l'interface des switch "secondaires", comme il ne font pas fonction routeur, mon réseau sera quand meme isolé ?
Par précaution je ne vais pas le faire mais bon..
Oui il le sera. Affecter une IP sur une interface d'un VLAN d'un switch layer 2 (donc qui ne route pas) ça ne sert qu'à permettre un accès à distance à la config ... ou à effectuer des tests (ping etc).
Très bien merci beaucoup, oui c'est surtout pour pinguer car l'accès a dist je le fait via le vlan admin. Merci bien.
Une question complétement différente maintenant mais bon je referais un post si je n'ai pas de réponse et que je ne trouve pas :
Maintenant, mon vlan4 complétement isolé (d'un point de vue "local"..) passe par un firewall via une ethX complétement dédié a lui, tous les autres vlan passe par un autre port th de mon pare feu. Mais maintenant mon probleme est que mes autres vlan peuvent pinguer mon vlan 4 et inversement, et lors d'un tracert on voit que l'on passe par le pare feu..donc mon pare feu route mes vlans.. je me demande pourquoi ?!
(Surement de la meme maniere que pour mon routeur/switch, les deux interfaces sont "connected" sur un meme équipement, donc aucune route pour les relier ?)
Ce qui est bisare c'est que l'accès telnet pour simple exemple n'est pas possible, mais un ping est autorisé..bisare non ? cela doit venir des regles de mon pare feu ?
enfin voilà de toute façon sauf si cette situation vous est déja arrivé précisement, je vais devoir me plonger dans le logiciel de mon pare-feu (bien que je n'y ai pas trop acces étant stagiaire) pour essayer de régler ça !
Bonne soirée & nuit.
Une question complétement différente maintenant mais bon je referais un post si je n'ai pas de réponse et que je ne trouve pas :
Maintenant, mon vlan4 complétement isolé (d'un point de vue "local"..) passe par un firewall via une ethX complétement dédié a lui, tous les autres vlan passe par un autre port th de mon pare feu. Mais maintenant mon probleme est que mes autres vlan peuvent pinguer mon vlan 4 et inversement, et lors d'un tracert on voit que l'on passe par le pare feu..donc mon pare feu route mes vlans.. je me demande pourquoi ?!
(Surement de la meme maniere que pour mon routeur/switch, les deux interfaces sont "connected" sur un meme équipement, donc aucune route pour les relier ?)
Ce qui est bisare c'est que l'accès telnet pour simple exemple n'est pas possible, mais un ping est autorisé..bisare non ? cela doit venir des regles de mon pare feu ?
enfin voilà de toute façon sauf si cette situation vous est déja arrivé précisement, je vais devoir me plonger dans le logiciel de mon pare-feu (bien que je n'y ai pas trop acces étant stagiaire) pour essayer de régler ça !
Bonne soirée & nuit.
C'est normal que tu pingue mais pas d'acces, car le pare-feu a du etre concue de cette manière ( j'ai la meme chose avec un Cisco ASA 5510). Seul ceux qui font parti du vlan par défaut ou qui sont sur le réseaux de l'interface Inside peuvent avoir acces au telnet, ssh, .... Règle de sécurité ^^ ( je ne sais pas si on peut l'enlever par contre )
Apres pour ton firewell, c'est une histoire de translation d'adresse statique, il suffit de regarder les règles et enlevée toutes celle qui sont en rapport avec ton VLAN 4 ( sauf celle qui te permet de sortir vers internet), sinon une simple règle d'acces list et on en parle plus ^^
Apres pour ton firewell, c'est une histoire de translation d'adresse statique, il suffit de regarder les règles et enlevée toutes celle qui sont en rapport avec ton VLAN 4 ( sauf celle qui te permet de sortir vers internet), sinon une simple règle d'acces list et on en parle plus ^^
