[VLAN] Com inter-VLAN HP Procurve 1700
Fermé
hysteresis
Messages postés
2
Date d'inscription
vendredi 3 août 2007
Statut
Membre
Dernière intervention
3 août 2007
-
3 août 2007 à 10:20
brupala Messages postés 110498 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 7 novembre 2024 - 2 juil. 2008 à 20:22
brupala Messages postés 110498 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 7 novembre 2024 - 2 juil. 2008 à 20:22
A voir également:
- [VLAN] Com inter-VLAN HP Procurve 1700
- Waptric com - Télécharger - Divers TV & Vidéo
- Hotmail.fr ou .com - Forum Réseaux sociaux
- Xnxx. com ✓ - Forum Google Chrome
- Tubidy .com ✓ - Forum Audio
- Créer une adresse hotmail.fr ou .com ✓ - Forum Réseaux sociaux
3 réponses
brupala
Messages postés
110498
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
7 novembre 2024
13 839
3 août 2007 à 17:19
3 août 2007 à 17:19
salut,
houla non, ça ne fonctionne pas comme ça .
un port peut etre membre de plusieurs vlans statiques (par port) uniquement si il est taggé.
sinon, les ports appartenant à des vlans différents sont isolés les uns des autres .
des vlans ne peuvent etre reliés que par un routeur .
dans don cas, il te faudrait avoir un routeur avec 2 interfaces ethernet différentes (pas un switch incorporé) qui pourraient relier chaque vlan indépendemment .
ces 2 interfaces pouvant etre sur le même port physique si le routeur gére en plus l'encapsulation 802.1q pour y retrouver les vlans , le port du switch étant en mode taggé sur les 2 vlans à ce moment, ou bien 2 ports physiques différents si le routeur ne gére pas les vlans .
au fait,
VLID c'est quoi ? c'est la même chose que PVID ?
houla non, ça ne fonctionne pas comme ça .
un port peut etre membre de plusieurs vlans statiques (par port) uniquement si il est taggé.
sinon, les ports appartenant à des vlans différents sont isolés les uns des autres .
des vlans ne peuvent etre reliés que par un routeur .
dans don cas, il te faudrait avoir un routeur avec 2 interfaces ethernet différentes (pas un switch incorporé) qui pourraient relier chaque vlan indépendemment .
ces 2 interfaces pouvant etre sur le même port physique si le routeur gére en plus l'encapsulation 802.1q pour y retrouver les vlans , le port du switch étant en mode taggé sur les 2 vlans à ce moment, ou bien 2 ports physiques différents si le routeur ne gére pas les vlans .
au fait,
VLID c'est quoi ? c'est la même chose que PVID ?
Merci pour ta réponse brupala,
En effet ce n'est pas VLID mais bien PVID !!
Je pensais qu'il était qand meme possible de mettre un port dans plusieurs VLAN !!?
En fait je réexplique mon cas,
J'ai un routeur firewall ( watchguard ) qui a 3 sortie réseau
- External ( pour la connection au routeur adsl )
- Trusted ( vers mon réseau 10.101.X.X )
- Optional ( vers un routeur wifi d-link 192.168.2.1)
J'ai un autre réseau dans l'entreprise ( 200.200.1.X ), ce dernier est connecté physiquement avec mon réseau 10.101.X.X .
Pour l'instant les gens qui veulent faire du VPN sur mon réseau 200.200.1.X passent par le réseau 10.101.x.x ( trusted ).
J'aimerais justement supprimer le liens entre le réseau 10.101.X.X et le 200.200.1.X .
Donc mon but est de faire passer le VPN par la sortie vers le routeur d-link qui lui devra etre connecté a mon switch 200.200.1.X
Et je voulais mettre un switch avec VLAN entre le switch 200.200.1.X et mon routeur d-link car des paquets DHCP passe sur les 2.
En esperant avoir été le + clair possible.....
En effet ce n'est pas VLID mais bien PVID !!
Je pensais qu'il était qand meme possible de mettre un port dans plusieurs VLAN !!?
En fait je réexplique mon cas,
J'ai un routeur firewall ( watchguard ) qui a 3 sortie réseau
- External ( pour la connection au routeur adsl )
- Trusted ( vers mon réseau 10.101.X.X )
- Optional ( vers un routeur wifi d-link 192.168.2.1)
J'ai un autre réseau dans l'entreprise ( 200.200.1.X ), ce dernier est connecté physiquement avec mon réseau 10.101.X.X .
Pour l'instant les gens qui veulent faire du VPN sur mon réseau 200.200.1.X passent par le réseau 10.101.x.x ( trusted ).
J'aimerais justement supprimer le liens entre le réseau 10.101.X.X et le 200.200.1.X .
Donc mon but est de faire passer le VPN par la sortie vers le routeur d-link qui lui devra etre connecté a mon switch 200.200.1.X
Et je voulais mettre un switch avec VLAN entre le switch 200.200.1.X et mon routeur d-link car des paquets DHCP passe sur les 2.
En esperant avoir été le + clair possible.....
Bonjour,
Pour qu' un port soit visible de plusieurs VLANS, il faut qu'il se trouve dans tous les VLANS desquels il est visible et decocher la case VLAN Aware sur le 1700.
Exemple avec port 2 en gateway commune à 1 et 3
port 1 : VLAN 1 et 2 PVID 1
port 2 : VLAN 1,2 et 3 PVID 2
port 3 : VLAN 2 et 3 PVID 3
Ca fonctionne, on le voit bien des autres VLANS et les VLANS ne se voient pas entres eux.
Il faut bien faire attention à ne decocher que ce port et aussi aux PVID des autres ports qui doivent etre differents les uns des autres pour eviter qu'un petit malin ne tague sur la bonne ID à l'aide d'un switch et ne passe.
toujours bien verifier la separation par des pings et penser qu' un pirate peut forcer le PVID par un switch donc le retour de trame taguée doit bien l'empecher.
Ceci dit le fonctionnement du 1700 ne parrait pas evident pour les VLANS.
Nounours
Pour qu' un port soit visible de plusieurs VLANS, il faut qu'il se trouve dans tous les VLANS desquels il est visible et decocher la case VLAN Aware sur le 1700.
Exemple avec port 2 en gateway commune à 1 et 3
port 1 : VLAN 1 et 2 PVID 1
port 2 : VLAN 1,2 et 3 PVID 2
port 3 : VLAN 2 et 3 PVID 3
Ca fonctionne, on le voit bien des autres VLANS et les VLANS ne se voient pas entres eux.
Il faut bien faire attention à ne decocher que ce port et aussi aux PVID des autres ports qui doivent etre differents les uns des autres pour eviter qu'un petit malin ne tague sur la bonne ID à l'aide d'un switch et ne passe.
toujours bien verifier la separation par des pings et penser qu' un pirate peut forcer le PVID par un switch donc le retour de trame taguée doit bien l'empecher.
Ceci dit le fonctionnement du 1700 ne parrait pas evident pour les VLANS.
Nounours
Une precision, dans ma reponse ci dessus, j'ai oublié de dire que sur VLAN 1 et VLAN 3 je n'ai que des serveurs directement connectés aux ports, si ce sont des switchs et des utilisateurs, un petit malin peut peut etre taguer les trames comme il le veut et donc voir 1 depuis 3 par exemple en taguant en 1 les trames à l'aide d'un switch (le PVID n'est mis par le 1700 qu'en cas d'abscence de tag sur la trame)
Donc prudence là dessus.
Nounours
Donc prudence là dessus.
Nounours
brupala
Messages postés
110498
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
7 novembre 2024
13 839
2 juil. 2008 à 20:22
2 juil. 2008 à 20:22
non,
car les utilisateurs sont en principe connectés sur des ports d'accès non taggés et monovlan , donc s'il envoie des trames taggées, le switch de les lira pas, où les placera uniquement dans le vlan par défaut .
il faut réserver les ports taggés aux ports trunk et éventuellement aux ports vers les serveurs .
car les utilisateurs sont en principe connectés sur des ports d'accès non taggés et monovlan , donc s'il envoie des trames taggées, le switch de les lira pas, où les placera uniquement dans le vlan par défaut .
il faut réserver les ports taggés aux ports trunk et éventuellement aux ports vers les serveurs .
