VLAN par port sur Procurve 2524 Résolu/Fermé

Question

Salut à tous,

je voudrai savoir si vous saviez comment créer des VLAN par port sur les switchs HP Procurve 2524!

J'ai essayé pas mal de trucs mais je n'y arrive pas. Le probleme c'est que je n'ai jamais eu de formation dessus et qu'on m'a donné ce "bébé" a réaliser dans de brefs délais (merci les gars lol)!

C'est pour un immeuble de plusieurs bureaux!
Dans chaque bureau il a plusieurs PC.
Ces PC (tous windows) sont tous reliés par un switch!
Ce switch est relié au Procurve.

Tous les bureaux doivent avoir acces à internet mais pas se voir entre eux. (pour le moment ça se résume à ça)

Vu que je fais (j'essaye) des VLAN par port je teste en faisant un bureau sur le port 1, un autre sur le 2 et ma connexion internet sur le 3!
Pour mes tests je branche mon PC portable direct sur un port.

J'ai taggé les deux premiers ports sur le 3 pour que les données sortent mais ça fonctionne pas! (vous allez peut etre me dire que c'est normal!)

exemple :
------------Vlan1--------Vlan2
port1------untagged----no
port2------no------------untagged
port3------tagged-------tagged

et même:
------------Vlan1--------Vlan2-------vlan3
port1------untagged----no ---------no
port2------no------------untagged - no
port3------tagged-------tagged ----untagged
Ne fonctionne pas

Il faut que l'actif qui est branché sur le port 3 accepte 802.1Q mais je ne sais pas si cela fonctionne bien.
J'ai mis sur le port 3 un Zywal 5 en bridge qui devrait accepter ce protocole selon le constructeur mais bon... Suis je sur la bonne voie?

J'ai 30 Vlans à faire, répartis sur 4 switchs.

J'ai essayé avec des adresses IP mais je ne sais pas exactement quoi mettre. J'ai lu sur ce forum qu'il fallait qu'il y ait des adresses par port differentes!?

Ex :
port1 : 192.168.2.1 ??
port2 : 192.168.3.1 ??
Port3 : 192.168.4.1 ??

Et donc que l'adresse IP de mon firewall branché sur le port 3 doit etre en 192.168.4.x?

Mais l'adresse de mon routeur (derriere le firewall) j'en fais koi?

Je dois mettre quoi comme IP de passerelle?

Mon routeur en DHCP ne fournira pas d'adresse aux VLAN qui sont sur une autre plage d'adressage nan?

Bon, vu mes questions vous voyez bien que je n'ai pas pigé pas mal de choses donc merci d'éclairer ma tite lanterne.

Bonne journée.

Titou

brupala · Accepted Answer

houla,
on nage dans le surréaliste là.
avant de configurer des vlans, il faut faire un plan de numérotation ip et déterminer la façon dont on va interconnecter les différents réseaux ip.
cela suppose une bonne connaissance du firewall.
On ne découpe pas un réseau en vlans pour se faire plaisir, mais avec un objectif bien défini et en planifiant bien les étapes de migration, avec les tests nécéssaires à chaque étape.
si on ne suit pas les règles de base, on va tourner en rond en test/retour arrière ou bien tout casser pendant des jours.
donc avant de configurer des vlans il faut définir combien de machines on met dans chaque en fonction du traffic broadcast généré et on détermine alors la numérotation ip à adopter.
je n'ai pas l'impression que ça ait été fait.
ensuite on prévoit comment interconnecter ces réseaux ip et comment les router éventuellement sur internet.
enfin:
un port trunk (taggé 802.1q) supporte plusieurs vlans multiplexés en rajoutant un entete aux trames ethernet , cet entete n'est lisible que par les ports faisant du 802.1q.
il ne faut donc pas tagger les ports vers les PC clients, uniquement les ports trunk d'interconnexion des switchs afin de transporter les informations de vlan d'un switch à l'autre.
aussi,
penses à virer ton commercial
il est nuisible.

arth · Answer

Moi ce que je te conseille déjà je connais pas du tout le hp, mais essaie de définir déjà a quel vlan appartiient chaque port. Ensuite fais des tests avec plusisurs PC voir si tOut se passe bien.

Je te rapppelle que la connexion au routeur n'est affiliée à aucun vlan, et c'est un lien spécial c'es a dire que le port ou le lien physique est défini en mode "TRUNK".

Mais déjà a mon avis essaie de faire ce que je t'ai donné comme piste au départ. Après tu assemble au fur et a mesure le reste.

chichounillio · Answer

ca peut pas marcher ton archi pour simple et bonne raison c'est que le 2524 ne fait de niveau 3 et t'as donc aucun équipement pour router les vlans entre eux
donc comme ca tu ne peux pas router les utilisateurs de chaque vlan vers internet.
et de plus on ne met pas les adresses ip sur les ports mais sur les vlans et on affecte les ports au vlan.
ensuite pour distribuer des adresses ip par un serveur Dhcp dans plusieurs vlan il faut utiliser la fonction ip helper sur les vlans pour redistribuer les requetes DHCP ou BOOTP entre les vlans.

franchement relier plusieurs bureaux avec simplement un 2524 on peut pas dire que tu as de gros moyen.
pour réaliser l'archi que tu veux faire il te faut au moins un 2650 (minimum).
bonne chance quand même

titou · Answer

J'ai mis en place le VLAN1 sur port 1 et VLAN2 sur port 2 (apres je ne sais pas si je dois mettre le port 3 du firewall sur un VLAN3).

Ok je vais mettre le port du firewall/routeur en mode TRUNK! (vais chercher où ça se trouve)

Sinon chichounilio ça veut dire quoi que je ne route pas les vlan entre eux? Je ne peux pas configurer qu'un utilisateur branché sur un vlan puisse avoir acces à internet??
Comment faire?

Pour l'adressage IP des vlan je suis d'accord avec toi, je m'etais mal exprimé.

Je mets sur mon vlan qui est branché sur le firewall/routeur "BOOTP" ou sur tous?

Et sinon pour les moyens ben c'est imposé et j'ai que des 2524 et comme firewall en Netasq F200!
Le commercial a accepté de faire ça avant même de savoir si je savais le faire (et d'ailleurs, avant même que je sois dans la boite lol)

Merci pour vos explications et n'hesitez pas a me donner des infos ou a m'expliquer comme si j'etais un demeré car c'est la premiere fois que je touche à ca ;-)

D'ailleurs si vous avez des config de 2524 sous la main que je puisse réinjecter dedans...

Titou · Answer

Pour la numerotation des IP je n'en ai pas parlé mais il y a moins de 10 PC par bureau. C'est pour cela que j'avais parlé de mettre par exemple 192.168.2.1 pour l'ip d'un vlan comme cela je pose de 192.168.2.10 jusqu'à 19 sur les PC de ce VLAN! (c'est une solution envisagée)

Je ne decoupe pas le reseau en VLAN pour le fun mais pour separer les bureaux entre eux car 1 bureau = 1 societe!

Pour le schema reseau je vais essayer d'expliquer :

- J'ai une connexion internet haut debit.
- Elle est branchée sur un routeur (qui a pour ip 192.168.0.1 par ex)
- Ce routeur est branché sur mon firewall zywall 5 (je prend ça pour les tests car plus facile que le netasq, et il a l'adresse ip 192.168.0.10 par ex)
- Le firewall est branché sur le port3 de mon procurve (le vlan3 n'a que le port 3)
- Sur le port 1( vlan1) il y a un switch qui redistribue vers les PC du bureau 1!

Voilà

Je suppose que je configure les vlan comme suit :
exemple :
------------Vlan1--------Vlan2
port1------untagged----no
port2------no------------untagged
port3------tagged-------tagged

ou (car je ne sais pas):
------------Vlan1--------Vlan2-------vlan3
port1------untagged----no ---------no
port2------no------------untagged - no
port3------tagged-------tagged ----untagged

Je mets les adresses ip comme suit :
vlan1 : 192.168.1.1
vlan2 : 192.168.2.1
vlan3 : 192.168.3.1 ??

Et je dois mettre en "trunk" le port 3 alors!

Dsl les gars pour ces questions qui doivent vous paraitre stupides!

PS : pour le commercial je suis 100% d'accord avec toi...

chichounillio · Answer

alors tu dois mettre les ports en untagged quand tu as que des postes derrieres
le port 1 associer au vlan 1 le port 2 au vlan 2 et le port 3 tu le mets en tagged sur les 2 vlans
en fait par defaut un vlan c'est hermétique tu n'as pas de communications entre les vlans a moins d'avoir un équipement de niveau 3 (routeur ou switch) pour faire le routage entre.
comme dans ton cas tu n'as pas d'équipement de niveau 3 tu vas faire autrement.
donc le port 3 en tagged sur tous tes vlans et sur ton netasq tu définis tous tes vlans avec le bon tag (tag netasq=tag ethernet hp). je crois que c'est dans réseau puis tu ajoutes les vlans sur l'interface. de cette facon c'est le netasq qui sera gateway pour tous tes utilisateurs quelque soit le vlan.
par contre avec la configuration en vlan pas sur que tu puisses faire le DHCP par le netasq.
mais bon pour de la fourniture de service internet à un immeuble ca craint c'est pas propre du tout comme config.

et tu en es qu'au début de ton problème parce que le plus dur c'est pas ton hp ca va etre le netasq !!!

titou · Answer

Pour les tests je prends un zywall 5 et d'apres le fabricant il supporte le 802.1q! Comment verifier? Le routage sur vlan je ne sais pas comment cela doit se presenter dans le firewall pour voir s'il accepte! Je dois voir quoi? Que dois je demander au fabricant?
"est ce qu'il accepte le routage des vlans?"

Avec ça je pense que ça sera plus simple que de tester qu'avec le netasq!

Que veux tu dire par : (tag netasq=tag ethernet hp)

S'il n'y a pas de DHCP je peux tout rentrer en dur dans les pc (ip, masque, gateway, dns...) c'est pas un probleme je pense!

Et si je vous suis je dois faire :
------------Vlan1--------Vlan2
port1------untagged----no
port2------no------------untagged
port3------tagged-------tagged

et le port 3 je le "trunk" et j'essaye de faire la manip sur le netasq et je rentre l'adresse du netasq en gateway sur les postes!!!

Suis pas couché!

ps : mon commrecial m'a dit que c'etait à mettre en place chez le client mercredi prochain!!!!!! Merki!!

titou · Answer

J'ai un routeur dlink DI624+ et dans les caracteristiques ils mettent :

"Contrôle de l'accès utilisateur via filtrage des adresses MAC et IP et authentification 802.1x. "

Ca veut dire qu'il gere le 802.1q?
Je peux l'utiliser direct sur le port 3?

'tain suis perdu !!!!!!

chichounillio · Answer

attention le netasq doit avoir une adresse ip dans chaque vlan en fait sur le netasq tu peux définir des interfaces vlan avec une adresse ip sur l'interface physique interne.

(tag netasq=tag ethernet hp) cela signifie que quand tu vas créer tes interfaces vlan sur ton netasq il va falloir que tu y spécifies un tag qui doit etre égal au tag du vlan HP.
donc le vlan 1 a le ID 1 sur hp et tu dois définir sur le netasq le même ID.

sinon le 802.1x est totalement different du 802.1q le 802.1w c'est pour le wifi.
comment ca se fait que tu trouves dans une galere pareille ? t'as aucune connaissance réseau et tu te retrouves à faire des installs comme ca!!

titou · Answer

J'ai monté ma boite de conseil et d'audit et j'ai le pere d'un ami qui avait de gros soucis avec son technicien (qu'il a viré d'ailleurs) et comme il m'avait deja rendu service je lui renvoi debut 1 mois l'ascenseur le tp qu'un nouveau technicien soit là (debut juillet)!

Mais le commercial vend des trucs qu'il ne connait pas et qu'il n'est pas sûr de pouvoir faire et derriere et bien on rame pour lui!

Que puis je dire au patron pour lui prouver que cette install necessite qq un de particulier?

Vous avez quel niveau? quelles etudes? quelle ancienneté? Quelles chances donnez vous à un débutant pour réaliser ceci?
Bref pouvez vous me donner des arguements pour, au cas où, aller voir le boss et lui dire que je n'ai pas reussi dans les temps!
Parce que je crois que je ne vois pas l'etendu de la tache!

Merci

ps : je vais qd meme essayer

Titou69 · Answer

Bonjours à tous,

me revoilà sur mon PROBLEME!

Tout d'abord merci pour vos explications.

Donc en premier lieu j'ai imprimé tout se qui concerne les vlans et qui se trouve sur ce site! J'espere comme ça ne pas reposer les mêmes questions.

J'ai cru comprendre qu'il fallait mettre des IP aux VLANs et que mon port où passe internet devait être TRUNK!

Ensuite, ce même port, etait tagged sur tous les VLANs pour qu'ils puissent tous avoir internet!

Je vous ai donc mis en ligne des copies d'ecran du procurve pour que vous puissiez mieux voir mon bleme!

J'ai donc mis une adresse ip en DHCP/bootp sur mon VLAN par defaut (celui d'internet) et j'ai laissé les autres comme ils étaient tant que je n'ai pas votre approbation!
Visible ici :
http://zx6rteam.free.fr/Titou/VLAN/IP_service.jpg

Ensuite je suis allé dans "Port Trunk Settings" et j'ai essayé de mettre mon port 6 en mode Trunk (port 6 dans le VLAN par defaut qui sera branché au netasq)
Visible ici : http://zx6rteam.free.fr/Titou/VLAN/trunk_settings.jpg

Ensuite je suis allé dans "VLAN Port Assignement" pour mettre V2 et V3 tagged sur le port 6.
MAIS, le port 6 n'est plus visible!
Normal?
Pas normal?
Suis je sur la bonne voie?
Visible ici : http://zx6rteam.free.fr/Titou/VLAN/Vlan_port_assignement.jpg

Merci

brupala · Answer

salut,
attention, la définition de trunk a une portée différente suivant les constructeurs.
Apparemment quand tu mets ta ligne 6 en trunk, elle n'apparait plus dans les lignes "normales".
ce qui m'inquiète c'est que tu dis que ton port trunk est dans le vlan par défaut, alors qu'en fait, il devrait transporter tous les vlans.
en fait , j'ai l'impression que trunk chez hp désigne en fait le multilink: plusieurs ports en parallèle entre 2 switchs et gérés comme un seul.
le port channel chez cisco.
donc en fait, tu as mis le port 6 dans le trunk 1, je crois.
ce n'est pas vraiment le but recherché.
non, il faut plutôt que tu tagges 802.1q tous les vlans à router dans le firewall.
j'essaie de télécharger la doc hp pour regarder de plus près, si j'ai un (bon) moment.

Titou69 · Answer

Ha ben si les constructeurs ne parlent pas la même langue...

J'ai chargé la doc du HP mais elle m'a réellement découragée! Par ailleurs, le support technique me dit :
- " On n'est pas là pour vous aider à configurer votre Procurve"!
Ha ben ça sert à quoi le support technique alors???

Ce que tu me dis pour la fonction de Trunk sur le HP c'est pas aussi la fonction de "spanning tree"? Parce qu'il y a aussi une page pour ça sur le HP : http://zx6rteam.free.fr/Titou/VLAN/Spanning%20Tree.jpg

Je vous mets pour info la page des noms des VLANs : http://zx6rteam.free.fr/Titou/VLAN/Vlan_names2.jpg
Et apparemment c'est bien du 802.1q qui est sur ces VLANs.

J'ai viré le trunk du port 6 : http://zx6rteam.free.fr/Titou/VLAN/trunk_settings2.jpg

J'ai rentré des IP aux VLANs : http://zx6rteam.free.fr/Titou/VLAN/IP_service2.jpg
Donc si j'ai bien compris :
- Default gateway sera l'adresse IP de mon Netasq
- Cette adresse IP devra etre entrée comme passerelle sur les PC des VLANs V2 et V3.

Pour les VLANs j'ai fait ceci : http://zx6rteam.free.fr/Titou/VLAN/Vlan_port_assignement2.jpg
Bien que je pense qu'il n'est pas utile de créer un VLAN rien que pour le port Internet, et qu'il suffirait juste de tagged ce port sur les 2 VLANs!

brupala · Answer

non, non,
laisses tomber le spanning tree, ça n'a rien à voir dans ton système.
aussi,
pas important mais le vlan 10 s'appelle V2 et le vlan 20 ,V3.
pas facile de s'y retrouver ;-)

Donc si j'ai bien compris :
- Default gateway sera l'adresse IP de mon Netasq
- Cette adresse IP devra etre entrée comme passerelle sur les PC des VLANs V2 et V3.
pour le vlan1, oui , pour les autres tu devrais faire une interface vlan sur le firewall et mettre une adresse ip qui sera celle de la passerelle du vlan en question dessus.
Rappel: une passerelle par défaut est forcément dans le m^me réseau ip que l'interface pour la joindre.

Pour les VLANs j'ai fait ceci : http://zx6rteam.free.fr/Titou/VLAN/Vlan_port_assignement2.jpg
Bien que je pense qu'il n'est pas utile de créer un VLAN rien que pour le port Internet, et qu'il suffirait juste de tagged ce port sur les 2 VLANs!
Effectivement si le firewall gére les vlans c'est ce que tu peux faire.
sinon,
activer le routage ip dans ton 2524 et mettre uniquement le vlan 1 (non taggé) sur le port 6, c'est le 2524 qui devient routeur, et le vlan vers internet sera le vlan 1.
MAis il ne faudra quand m^me configuré les plages nat correspondant aux 2 autres vlans dans le firewall.

Titou69 · Answer

Je vais mettre en ligne le schéma réseau de l'instal ça pourra peut être vous aider!

Rappel: une passerelle par défaut est forcément dans le m^me réseau ip que l'interface pour la joindre.

Comme ça vous pourrez me dire si je fais fausse route pour les adresses IP car j'ai peur de ne pas comprendre.

Titou69 · Answer

Voilà le schéma!

Dsl ça ne passe pas tres bien il est pas très visible je pense.
Je le referai en revenant d'intervention (et oui je ne suis même pas à plein temps dessus :-( )

http://zx6rteam.free.fr/Titou/VLAN/reseau.jpg

Merci

Nicolas · Answer

Bonjour à tous,

J'ai exactement la même plateforme à monter, dans les même délai et avec le même maquetage. lol. et ..... exactement la même galère. As tu finis par mettre ta plateforme en place tes VLANs auquel cas pex tu m'aider ou quelqu'un d'autre peux t'il m'aider. car je NAGEEEEEE

d'avance merci

titou · Answer

Salut,

oui j'ai réussi mais pas avec un 2524!
J'ai tel a un hotliner qui m'a dit que le 2524 ne pouvait pas faire de routage! Et donc pour les VLANS c'etait mort!
On a prit un 2626 et toujours le F200 de netasq!

J'ai trois HP2626 en vlan qui partent vers un seul (qui lui aussi est en vlan) et ensuite vers le netasq!

A l'heure d'aujourd'hui tout fonctionne bien j'ai reussi a cascader les vlans et à faire passer les infos a travers le netasq!

Par manque d'infos j'ai pas pu appronfondir le netasq avec les vpn ou les redirections mais pour une utilisation "conventionnelle" ca fonctionne!

john90 · Answer

pour avoir la connection internet y faut que tu rajoute une ligne dans la table de routage du switch et que tu mette une route par defaut 0.0.0.0 et en paserel l'addresse du switch qui est co a ton modem ou box relié a internet et en masque cela depend vu que ce siont des addresse de classe C le masque est 255.255.255.0
Si A  255.0.0.0. 
Si B 255.255.0.0

marocain · Answer

BEN C'est facile

il se connecter au switch par telnet : telnet  --adresse ip du switch ---
apres il faut entrer dans le menu pricipale de configuration en entrant le mot de pass et le login
apres tape VLAN IDvlan   
et apres ajouter les port a ce vlan 

est ce que c'est claire

VLAN par port sur Procurve 2524

20 réponses

Discussions similaires