Interconnexion de vlans sur un HP
akorx
Messages postés
27
Statut
Membre
-
akorx Messages postés 27 Statut Membre -
akorx Messages postés 27 Statut Membre -
Bonjour à tous et à toutes,
Voila en 2 mots mon petit souci qui fait que je me tourne vers la communauté pour m'en sortir car je ne sais pas trop comment faire (c'est un cas d'école dans tous les sens du terme comme vous allez pouvoir le voir... lol):
=> j'ai différents PC dont certains sont attribués à des professeurs et d'autres à des élèves avec une imprimante commune, le tout connecté sur un seul et même switch.
Bilan : j'aimerai isoler les PC des élèves de ceux des profs tout en laissant l'imprimante disponible pour l'ensemble de la communauté.
Pour cela je me dis que les VLAN sont ma seule et unique vraie solution (j'ai essayé et ça fonctionnait en jouant avec les masques réseau mais ce n'est pas propre). Je pense donc qu'il faut créer un vlan PROF, un vlan ELEVE et un troisième IMPR pour l'imprimante et n'autoriser que les interconnexions des vlans ELEVES/IMPR et PROF/IMPR... ma logique est elle bonne ?
le vlan IMPR contiendrait les adresses du type 172.16.80.* / 255.255.255.0
le vlan PROF contiendrait les adresses du type 172.16.81.* / 255.255.255.0
le vlan ELEVE contiendrait les adresses du type 172.16.82.* / 255.255.255.0
Si mon raisonnement est correct comment dois je opérer dans la mesure ou j'ai un switch HP2524 (et 2 autres qui pourraient me servir qui sont des HP2900 et HP2848). Ces switch sont, il me semble, tous de niveau 2, ce qui va surement poser problème car je crois qu'il me faut du niveau 3 pour faire de l'interconnexion de vlan... qu'en pensez vous ?
Parallèlement comment dois paramétrer les histoires de ports TAGGED, UNTAGGED, NO, FORBID du switch sachant que j'ai un tableau du type et à quoi correspondent ces notions exactement :
PORT DEFAULT IMPR ELEVE PROF
PC d'un prof 1 ? ? ? ?
PC d'un eleve 2 ? ? ? ?
PC d'un eleve 3 ? ? ? ?
imprimante 4 ? ? ? ?
PC d'un prof 5 ? ? ? ?
Je suppose qu'il y a aussi un truc autour du paramétrage de "IP ADDRESS" dans chaque VLAN pour les interconnecter entre eux mais que dois je mettre...
Merci d'avance pour tous vos avis éclairés !
Voila en 2 mots mon petit souci qui fait que je me tourne vers la communauté pour m'en sortir car je ne sais pas trop comment faire (c'est un cas d'école dans tous les sens du terme comme vous allez pouvoir le voir... lol):
=> j'ai différents PC dont certains sont attribués à des professeurs et d'autres à des élèves avec une imprimante commune, le tout connecté sur un seul et même switch.
Bilan : j'aimerai isoler les PC des élèves de ceux des profs tout en laissant l'imprimante disponible pour l'ensemble de la communauté.
Pour cela je me dis que les VLAN sont ma seule et unique vraie solution (j'ai essayé et ça fonctionnait en jouant avec les masques réseau mais ce n'est pas propre). Je pense donc qu'il faut créer un vlan PROF, un vlan ELEVE et un troisième IMPR pour l'imprimante et n'autoriser que les interconnexions des vlans ELEVES/IMPR et PROF/IMPR... ma logique est elle bonne ?
le vlan IMPR contiendrait les adresses du type 172.16.80.* / 255.255.255.0
le vlan PROF contiendrait les adresses du type 172.16.81.* / 255.255.255.0
le vlan ELEVE contiendrait les adresses du type 172.16.82.* / 255.255.255.0
Si mon raisonnement est correct comment dois je opérer dans la mesure ou j'ai un switch HP2524 (et 2 autres qui pourraient me servir qui sont des HP2900 et HP2848). Ces switch sont, il me semble, tous de niveau 2, ce qui va surement poser problème car je crois qu'il me faut du niveau 3 pour faire de l'interconnexion de vlan... qu'en pensez vous ?
Parallèlement comment dois paramétrer les histoires de ports TAGGED, UNTAGGED, NO, FORBID du switch sachant que j'ai un tableau du type et à quoi correspondent ces notions exactement :
PORT DEFAULT IMPR ELEVE PROF
PC d'un prof 1 ? ? ? ?
PC d'un eleve 2 ? ? ? ?
PC d'un eleve 3 ? ? ? ?
imprimante 4 ? ? ? ?
PC d'un prof 5 ? ? ? ?
Je suppose qu'il y a aussi un truc autour du paramétrage de "IP ADDRESS" dans chaque VLAN pour les interconnecter entre eux mais que dois je mettre...
Merci d'avance pour tous vos avis éclairés !
A voir également:
- Vlan hp
- Hp usb disk storage format tool - Télécharger - Stockage
- Télécharger pilote imprimante hp - Télécharger - Pilotes & Matériel
- Débloquer pavé tactile hp - Guide
- Hp envy 16 - Accueil - Guide ordinateurs
- E0 imprimante hp - Forum Matériel & Système
10 réponses
Salut,
Puisque nous nous sommes à l'école, on va repositionner les bases:
1- il ne faut pas confondre les vlans et les réseaux ip.
2- un vlan est une division d'un réseau ethernet.
3- le but des vlans n'est pas de créer des réseaux ip différents mais de réduire le traffic broadcast/multicast dans un réseau.
4- un (sous)réseau ip ne peut pas exister sur plusieurs vlan, mais un seul lan/vlan peut supporter plusieurs réseaux ip.
Il en ressort qu'un vlan n'a pas d'adresse ip, bien qu'il soit très courant de faire correspondre un vlan à un réseau IP.
Sinon:
taggé : permet plusieurs vlans sur le même port
non taggé: un seul vlan sur le port
no: ce vlan est interdit sur le port
auto et forbidden indiquent au protocole de diffusion automatique des vlans entre switchs (GVRP) si ce vlan sera présent sur le port ou pas.
sinon pour interconnecter tes vlans, il faut un routeur ou un switch L3, oui.
le 2524 ne fait que de la commutation L2 , mais les 2800 et 2900 font du routage statique
Puisque nous nous sommes à l'école, on va repositionner les bases:
1- il ne faut pas confondre les vlans et les réseaux ip.
2- un vlan est une division d'un réseau ethernet.
3- le but des vlans n'est pas de créer des réseaux ip différents mais de réduire le traffic broadcast/multicast dans un réseau.
4- un (sous)réseau ip ne peut pas exister sur plusieurs vlan, mais un seul lan/vlan peut supporter plusieurs réseaux ip.
Il en ressort qu'un vlan n'a pas d'adresse ip, bien qu'il soit très courant de faire correspondre un vlan à un réseau IP.
Sinon:
taggé : permet plusieurs vlans sur le même port
non taggé: un seul vlan sur le port
no: ce vlan est interdit sur le port
auto et forbidden indiquent au protocole de diffusion automatique des vlans entre switchs (GVRP) si ce vlan sera présent sur le port ou pas.
sinon pour interconnecter tes vlans, il faut un routeur ou un switch L3, oui.
le 2524 ne fait que de la commutation L2 , mais les 2800 et 2900 font du routage statique
et juste pour info tu peux me dire comment bloquer par exemple le VLAN RADIOLOGIE de voir le VLAN GENERAL ?
et si je voulais que ce soit a sens unique? genre RADIO voit le GENERAL mais pas vice versa ?
et si je voulais que ce soit a sens unique? genre RADIO voit le GENERAL mais pas vice versa ?
pour bloquer la connexion dans un seul sens , il faut un firewall pas une simple access-list et encore il faut que le protocole ip soit TCP: sur UDP ou d'autres, ce n'est pas possible au niveau du réseau.
sinon, j'essaierai de regarder comment on configure une access-list sur un hp 5000, dès que j'aurai un moment.
sinon, j'essaierai de regarder comment on configure une access-list sur un hp 5000, dès que j'aurai un moment.
Merci pour toutes ces infos brupala !!! en deux mots comment je paramètre mon tableau du coup ???
Et que dois ajouter d'autre pour faire communiquer mes vlan (tout ça dans le cas ou je prends un 2800)?
En gros voila ou j'en étais avec mon HP2524 que je vais donc changer pour un 2800 :
hostname "HP2524"
time timezone 60
cdp run
ip default-gateway 192.168.100.254
sntp server 172.16.200.14
timesync sntp
sntp unicast
snmp-server community "public" Unrestricted
snmp-server host 192.134.174.179 "public" Not-INFO
snmp-server host 172.16.1.1 "public" Not-INFO
snmp-server host 172.16.200.18 "public"
vlan 1
name "DEFAULT_VLAN"
no ip address
no untagged 1-26
exit
vlan 100
name "ADMIN"
ip address 192.168.100.115 255.255.255.0
tagged 25-26
exit
vlan 80
name "vlan80"
untagged 1,3-23
ip address 172.16.80.254 255.255.255.0
tagged 24-26
exit
vlan 81
name "vlan81"
untagged 2
ip address 172.16.81.254 255.255.255.0
tagged 24-26
exit
no aaa port-access authenticator active
spanning-tree
password manager
password operator
NB : certaines lignes sont à enlever... mais peux tu m'indiquer ce que je dois ajouter et ou ? on va faire comme si je t'avais donné la config d'un 2800....).
Et que dois ajouter d'autre pour faire communiquer mes vlan (tout ça dans le cas ou je prends un 2800)?
En gros voila ou j'en étais avec mon HP2524 que je vais donc changer pour un 2800 :
hostname "HP2524"
time timezone 60
cdp run
ip default-gateway 192.168.100.254
sntp server 172.16.200.14
timesync sntp
sntp unicast
snmp-server community "public" Unrestricted
snmp-server host 192.134.174.179 "public" Not-INFO
snmp-server host 172.16.1.1 "public" Not-INFO
snmp-server host 172.16.200.18 "public"
vlan 1
name "DEFAULT_VLAN"
no ip address
no untagged 1-26
exit
vlan 100
name "ADMIN"
ip address 192.168.100.115 255.255.255.0
tagged 25-26
exit
vlan 80
name "vlan80"
untagged 1,3-23
ip address 172.16.80.254 255.255.255.0
tagged 24-26
exit
vlan 81
name "vlan81"
untagged 2
ip address 172.16.81.254 255.255.255.0
tagged 24-26
exit
no aaa port-access authenticator active
spanning-tree
password manager
password operator
NB : certaines lignes sont à enlever... mais peux tu m'indiquer ce que je dois ajouter et ou ? on va faire comme si je t'avais donné la config d'un 2800....).
Si tu connectes des PC sur les ports, il vaut mieux que tu les mettes untagged, la plupart vont certainement avoir du mal avec les tags.
donc,
tu retires les ports du vlan 1 (ou tu les laisse et tu supprimes le vlan 100 tu configures le réseau ip du 100 sur le 1)
tu supprimes les adresses ip sur vlan 80 et 81, elles sont inutiles
tu mets vlan 1 sur par exemple 1-16,25,26 vlan 80 sur 17-20 et vlan 81 sur 21-24 en fonction des ports dont tu as besoin dans chaque vlan.
Ton tableau, c'est ton organisation administrative, ce n'est pas de la technique.
donc,
tu retires les ports du vlan 1 (ou tu les laisse et tu supprimes le vlan 100 tu configures le réseau ip du 100 sur le 1)
tu supprimes les adresses ip sur vlan 80 et 81, elles sont inutiles
tu mets vlan 1 sur par exemple 1-16,25,26 vlan 80 sur 17-20 et vlan 81 sur 21-24 en fonction des ports dont tu as besoin dans chaque vlan.
Ton tableau, c'est ton organisation administrative, ce n'est pas de la technique.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci une fois de plus Brupala... juste pour en finir (je dis "en finir" mais je vais surement revenir te voir lol...) comment je lui dit a mon switch que les vlans 80 et 81 communiquent par exemple (et idem pour le 80 et 82) mais pas les 81/82 puisque je veux vraiment avoir le lien IMPR/PROF et IMPR/ELEVE et surtout pas ELEVE/PROF...
bon ok j'essaie tout ca jeudi et je reviens si j'ai besoin... un tout cas un GRAND GRAND merci pour ta patience et ton aide.
Y a tout de meme un truc que je ne pige pas... pour être clair je prends l'exemple d'un autre de mes switchs (paramétré par une société externe) et dont voici la config :
hostname "HP5412-RG-1"
time timezone 60
module 1 type J8705A
module 2 type J8705A
module 3 type J8705A
module 4 type J8702A
module 5 type J8702A
module 6 type J8702A
module 7 type J8702A
module 8 type J9478A
module 9 type J9478A
module 10 type J9478A
interface A19
name "2512-SR1-4"
exit
interface A20
name "2512-SR0"
exit
interface A21
name "2524-SR5-1"
exit
interface A22
name "2524-SR1-1"
exit
interface A23
name "2900-MAPA"
exit
interface A24
name "2650-SRR"
exit
interface B21
name "2650-SRPT1"
exit
interface B22
name "2524-USI"
exit
interface B23
name "2650-hotel-dieu"
exit
interface B24
name "2650-STPAUL-1"
exit
interface E9
speed-duplex 100-full
exit
interface F9
speed-duplex 100-half
exit
interface I6
speed-duplex 10-half
exit
interface I8
speed-duplex 10-half
exit
interface I10
speed-duplex 10-half
exit
interface I12
speed-duplex 10-half
exit
interface I14
speed-duplex 10-half
exit
interface I16
speed-duplex 10-half
exit
interface I19
speed-duplex 10-half
exit
interface I20
speed-duplex 10-half
exit
interface G22
speed-duplex auto-10-100
exit
ip routing
vlan 1
name "DEFAULT_VLAN"
ip address 192.134.174.192 255.255.255.0
tagged C21
no untagged A1-A24,B1-B24,C1-C20,C22-C24,D1-D24,E1-E24,F1-F24,G1-G24,H1-H24,I1-I24,J1-J24
exit
vlan 10
name "INTERCO-PIX"
untagged A5
ip address 192.168.1.254 255.255.255.0
exit
vlan 16
name "GENERAL"
untagged A3-A4,A6-A16,A18,B1-B20,C1-C20,C22-C24,D1-D2,D4-D24,E1-E24,F1-F24,G1-G24,H1-H3,H5-H7,H9-H24,I1-I14,I16,I18-I24,J1-J24
ip address 172.16.0.254 255.255.0.0
tagged A19-A24,B21-B24,C21
exit
vlan 17
name "RADIOLOGIE"
untagged H4,H8,I15,I17
ip address 172.17.0.254 255.255.0.0
tagged B21,C21
exit
vlan 100
name "ADMIN"
ip address 192.168.100.254 255.255.255.0
tagged A19-A24,B19-B24,C21,D3,I16
exit
vlan 19
name "TELEPHONIE"
untagged A1-A2,A17
qos dscp 101110
ip address 172.19.0.254 255.255.0.0
tagged A21
voice
exit
timesync sntp
sntp unicast
sntp server priority 1 172.16.200.14 3
no ip ssh
ip route 0.0.0.0 0.0.0.0 192.168.1.1
snmp-server community "public" unrestricted
snmp-server host 172.16.200.18 "public" not-info
snmp-server host 172.16.200.18 "public"
no snmp-server enable traps link-change A1-A18,B1-B20,C1-C20,D1-D24,E1-E24,F1-F24,G1-G24,H1-H24,I1-I24,J1-J24
snmp-server location "RG-Salle Info"
spanning-tree
spanning-tree priority 0 force-version rstp-operation
primary-vlan 100
no autorun
password manager
Les vlans RADIOLOGIE et GENERAL communiquent entre eux car depuis un PC du vlan RADIOLOGIE, je peux pinguer un PC du vlan GENERAL, pourtant je n'ai rien du coté des ACL... tu peux m'expliquer pourquoi? et si justement je voulais empecher les PC du vlan RADIOLOGIE de voir ceux du vlan GENERAL, comment devrais je opérer ?
hostname "HP5412-RG-1"
time timezone 60
module 1 type J8705A
module 2 type J8705A
module 3 type J8705A
module 4 type J8702A
module 5 type J8702A
module 6 type J8702A
module 7 type J8702A
module 8 type J9478A
module 9 type J9478A
module 10 type J9478A
interface A19
name "2512-SR1-4"
exit
interface A20
name "2512-SR0"
exit
interface A21
name "2524-SR5-1"
exit
interface A22
name "2524-SR1-1"
exit
interface A23
name "2900-MAPA"
exit
interface A24
name "2650-SRR"
exit
interface B21
name "2650-SRPT1"
exit
interface B22
name "2524-USI"
exit
interface B23
name "2650-hotel-dieu"
exit
interface B24
name "2650-STPAUL-1"
exit
interface E9
speed-duplex 100-full
exit
interface F9
speed-duplex 100-half
exit
interface I6
speed-duplex 10-half
exit
interface I8
speed-duplex 10-half
exit
interface I10
speed-duplex 10-half
exit
interface I12
speed-duplex 10-half
exit
interface I14
speed-duplex 10-half
exit
interface I16
speed-duplex 10-half
exit
interface I19
speed-duplex 10-half
exit
interface I20
speed-duplex 10-half
exit
interface G22
speed-duplex auto-10-100
exit
ip routing
vlan 1
name "DEFAULT_VLAN"
ip address 192.134.174.192 255.255.255.0
tagged C21
no untagged A1-A24,B1-B24,C1-C20,C22-C24,D1-D24,E1-E24,F1-F24,G1-G24,H1-H24,I1-I24,J1-J24
exit
vlan 10
name "INTERCO-PIX"
untagged A5
ip address 192.168.1.254 255.255.255.0
exit
vlan 16
name "GENERAL"
untagged A3-A4,A6-A16,A18,B1-B20,C1-C20,C22-C24,D1-D2,D4-D24,E1-E24,F1-F24,G1-G24,H1-H3,H5-H7,H9-H24,I1-I14,I16,I18-I24,J1-J24
ip address 172.16.0.254 255.255.0.0
tagged A19-A24,B21-B24,C21
exit
vlan 17
name "RADIOLOGIE"
untagged H4,H8,I15,I17
ip address 172.17.0.254 255.255.0.0
tagged B21,C21
exit
vlan 100
name "ADMIN"
ip address 192.168.100.254 255.255.255.0
tagged A19-A24,B19-B24,C21,D3,I16
exit
vlan 19
name "TELEPHONIE"
untagged A1-A2,A17
qos dscp 101110
ip address 172.19.0.254 255.255.0.0
tagged A21
voice
exit
timesync sntp
sntp unicast
sntp server priority 1 172.16.200.14 3
no ip ssh
ip route 0.0.0.0 0.0.0.0 192.168.1.1
snmp-server community "public" unrestricted
snmp-server host 172.16.200.18 "public" not-info
snmp-server host 172.16.200.18 "public"
no snmp-server enable traps link-change A1-A18,B1-B20,C1-C20,D1-D24,E1-E24,F1-F24,G1-G24,H1-H24,I1-I24,J1-J24
snmp-server location "RG-Salle Info"
spanning-tree
spanning-tree priority 0 force-version rstp-operation
primary-vlan 100
no autorun
password manager
Les vlans RADIOLOGIE et GENERAL communiquent entre eux car depuis un PC du vlan RADIOLOGIE, je peux pinguer un PC du vlan GENERAL, pourtant je n'ai rien du coté des ACL... tu peux m'expliquer pourquoi? et si justement je voulais empecher les PC du vlan RADIOLOGIE de voir ceux du vlan GENERAL, comment devrais je opérer ?
OK,
on est pas sur la même bestiole, celle ci est plus musclée.
sinon, pour enfoncer le clou:
Les vlans RADIOLOGIE et GENERAL communiquent entre eux
non, les réseaux ip sur les vlans radiologie et general communiquent entre eux grâce à:
exit
ip routing
A la base tel que c'est configuré, tous les réseaux ip communiquent avec les autres, c'est si tu veux empêcher une communication que tu dois ajouter une access-list.
on est pas sur la même bestiole, celle ci est plus musclée.
sinon, pour enfoncer le clou:
Les vlans RADIOLOGIE et GENERAL communiquent entre eux
non, les réseaux ip sur les vlans radiologie et general communiquent entre eux grâce à:
exit
ip routing
A la base tel que c'est configuré, tous les réseaux ip communiquent avec les autres, c'est si tu veux empêcher une communication que tu dois ajouter une access-list.
Pour faire simple voilà où j'en suis dans mes essais : j'ai préparé les 3 PC suivants :
- PC-ELEVES : 172.80.80.1/16 avec passerelle par défaut 172.80.0.254
- PC-PROF : 172.81.80.2/16 avec passerelle par défaut 172.81.0.254
- PC-IMPRIMANTE : 172.82.80.3/16 avec passerelle par défaut 172.82.0.254
Et sur le switch j'ai mis ceci :
hostname "HP2848"
time timezone 60
interface 47
speed-duplex auto-1000
exit
interface 48
speed-duplex auto-1000
exit
ip default-gateway 192.168.100.254
sntp server 172.16.200.14
ip routing
timesync sntp
sntp unicast
snmp-server community "public" Unrestricted
snmp-server host 172.16.200.18 "public"
vlan 1
name "DEFAULT_VLAN"
no ip address
tagged 47-48
no untagged 1-46
exit
vlan 80
name "COMMUN"
untagged 1
ip address 172.80.0.254 255.255.0.0
tagged 47-48
exit
vlan 81
name "PROF"
untagged 2
ip address 172.81.0.254 255.255.0.0
tagged 47-48
exit
vlan 82
name "ELEVE"
untagged 3
ip address 172.82.0.254 255.255.0.0
tagged 47-48
exit
spanning-tree
password manager
password operator
Actuellement les ping passent entre les 3 machines... Que dois je changer ou apporter à ma config pour que les 2 PC (PC-ELEVE et PC-PROF) ne se voient pas entre eux mais qu'ils puissent tous les 2 voir le PC-IMPRIMANTE ?
- PC-ELEVES : 172.80.80.1/16 avec passerelle par défaut 172.80.0.254
- PC-PROF : 172.81.80.2/16 avec passerelle par défaut 172.81.0.254
- PC-IMPRIMANTE : 172.82.80.3/16 avec passerelle par défaut 172.82.0.254
Et sur le switch j'ai mis ceci :
hostname "HP2848"
time timezone 60
interface 47
speed-duplex auto-1000
exit
interface 48
speed-duplex auto-1000
exit
ip default-gateway 192.168.100.254
sntp server 172.16.200.14
ip routing
timesync sntp
sntp unicast
snmp-server community "public" Unrestricted
snmp-server host 172.16.200.18 "public"
vlan 1
name "DEFAULT_VLAN"
no ip address
tagged 47-48
no untagged 1-46
exit
vlan 80
name "COMMUN"
untagged 1
ip address 172.80.0.254 255.255.0.0
tagged 47-48
exit
vlan 81
name "PROF"
untagged 2
ip address 172.81.0.254 255.255.0.0
tagged 47-48
exit
vlan 82
name "ELEVE"
untagged 3
ip address 172.82.0.254 255.255.0.0
tagged 47-48
exit
spanning-tree
password manager
password operator
Actuellement les ping passent entre les 3 machines... Que dois je changer ou apporter à ma config pour que les 2 PC (PC-ELEVE et PC-PROF) ne se voient pas entre eux mais qu'ils puissent tous les 2 voir le PC-IMPRIMANTE ?
