[VLAN] Com inter-VLAN HP Procurve 1700
hysteresis
Messages postés
2
Statut
Membre
-
brupala Messages postés 115280 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 115280 Date d'inscription Statut Membre Dernière intervention -
Bonjour a tous,
J'ai un HP Procurve 1700 - 24 ports.
J'ai crée 2 vlan -
* VLAN 1 : Port 7 et 9
* VLAN 2 : Ports 7 et 10
Ports config :
7 untagged , VLID 1
9 untagged, VLID 1
10 untagged , VLID 2
J'arrive a communiquer avec le ports 7 et le ports 9 lorsque ces 2 ports ont le meme VLID mais le 7 et 10 alors ne fonctionne pas, et je ne peux mettre qu'un seul VLID par port.
Cependant sur la page principale je vois bien que le port 7 et 9 sont membre du VLAN 1 et le 7 et 10 membre du VLAN 2.
En fait j'aimerais brancher sur le port 7, mon firewall/routeur.
Sur le port 9 mon routeur wifi et sur le port 10 mon autre réseau 200.200.1.X
Mon but est que le wifi et mon réseau 200.200.1.X ne se voient pas.
Merci de m'indiquer si il est possible de partager un port de mon switch sur plusieurs VLAN .
Merci
Laurent.
J'ai un HP Procurve 1700 - 24 ports.
J'ai crée 2 vlan -
* VLAN 1 : Port 7 et 9
* VLAN 2 : Ports 7 et 10
Ports config :
7 untagged , VLID 1
9 untagged, VLID 1
10 untagged , VLID 2
J'arrive a communiquer avec le ports 7 et le ports 9 lorsque ces 2 ports ont le meme VLID mais le 7 et 10 alors ne fonctionne pas, et je ne peux mettre qu'un seul VLID par port.
Cependant sur la page principale je vois bien que le port 7 et 9 sont membre du VLAN 1 et le 7 et 10 membre du VLAN 2.
En fait j'aimerais brancher sur le port 7, mon firewall/routeur.
Sur le port 9 mon routeur wifi et sur le port 10 mon autre réseau 200.200.1.X
Mon but est que le wifi et mon réseau 200.200.1.X ne se voient pas.
Merci de m'indiquer si il est possible de partager un port de mon switch sur plusieurs VLAN .
Merci
Laurent.
A voir également:
- [VLAN] Com inter-VLAN HP Procurve 1700
- Waptrik com - Télécharger - Divers TV & Vidéo
- Hp usb disk storage format tool - Télécharger - Stockage
- Yahoo.fr ou .com ✓ - Forum Yahoo mail
- Waptrick com jeux - Télécharger - Jeux vidéo
- Outlook.fr ou .com - Forum Hotmail / Outlook.com
3 réponses
salut,
houla non, ça ne fonctionne pas comme ça .
un port peut etre membre de plusieurs vlans statiques (par port) uniquement si il est taggé.
sinon, les ports appartenant à des vlans différents sont isolés les uns des autres .
des vlans ne peuvent etre reliés que par un routeur .
dans don cas, il te faudrait avoir un routeur avec 2 interfaces ethernet différentes (pas un switch incorporé) qui pourraient relier chaque vlan indépendemment .
ces 2 interfaces pouvant etre sur le même port physique si le routeur gére en plus l'encapsulation 802.1q pour y retrouver les vlans , le port du switch étant en mode taggé sur les 2 vlans à ce moment, ou bien 2 ports physiques différents si le routeur ne gére pas les vlans .
au fait,
VLID c'est quoi ? c'est la même chose que PVID ?
houla non, ça ne fonctionne pas comme ça .
un port peut etre membre de plusieurs vlans statiques (par port) uniquement si il est taggé.
sinon, les ports appartenant à des vlans différents sont isolés les uns des autres .
des vlans ne peuvent etre reliés que par un routeur .
dans don cas, il te faudrait avoir un routeur avec 2 interfaces ethernet différentes (pas un switch incorporé) qui pourraient relier chaque vlan indépendemment .
ces 2 interfaces pouvant etre sur le même port physique si le routeur gére en plus l'encapsulation 802.1q pour y retrouver les vlans , le port du switch étant en mode taggé sur les 2 vlans à ce moment, ou bien 2 ports physiques différents si le routeur ne gére pas les vlans .
au fait,
VLID c'est quoi ? c'est la même chose que PVID ?
Merci pour ta réponse brupala,
En effet ce n'est pas VLID mais bien PVID !!
Je pensais qu'il était qand meme possible de mettre un port dans plusieurs VLAN !!?
En fait je réexplique mon cas,
J'ai un routeur firewall ( watchguard ) qui a 3 sortie réseau
- External ( pour la connection au routeur adsl )
- Trusted ( vers mon réseau 10.101.X.X )
- Optional ( vers un routeur wifi d-link 192.168.2.1)
J'ai un autre réseau dans l'entreprise ( 200.200.1.X ), ce dernier est connecté physiquement avec mon réseau 10.101.X.X .
Pour l'instant les gens qui veulent faire du VPN sur mon réseau 200.200.1.X passent par le réseau 10.101.x.x ( trusted ).
J'aimerais justement supprimer le liens entre le réseau 10.101.X.X et le 200.200.1.X .
Donc mon but est de faire passer le VPN par la sortie vers le routeur d-link qui lui devra etre connecté a mon switch 200.200.1.X
Et je voulais mettre un switch avec VLAN entre le switch 200.200.1.X et mon routeur d-link car des paquets DHCP passe sur les 2.
En esperant avoir été le + clair possible.....
En effet ce n'est pas VLID mais bien PVID !!
Je pensais qu'il était qand meme possible de mettre un port dans plusieurs VLAN !!?
En fait je réexplique mon cas,
J'ai un routeur firewall ( watchguard ) qui a 3 sortie réseau
- External ( pour la connection au routeur adsl )
- Trusted ( vers mon réseau 10.101.X.X )
- Optional ( vers un routeur wifi d-link 192.168.2.1)
J'ai un autre réseau dans l'entreprise ( 200.200.1.X ), ce dernier est connecté physiquement avec mon réseau 10.101.X.X .
Pour l'instant les gens qui veulent faire du VPN sur mon réseau 200.200.1.X passent par le réseau 10.101.x.x ( trusted ).
J'aimerais justement supprimer le liens entre le réseau 10.101.X.X et le 200.200.1.X .
Donc mon but est de faire passer le VPN par la sortie vers le routeur d-link qui lui devra etre connecté a mon switch 200.200.1.X
Et je voulais mettre un switch avec VLAN entre le switch 200.200.1.X et mon routeur d-link car des paquets DHCP passe sur les 2.
En esperant avoir été le + clair possible.....
Bonjour,
Pour qu' un port soit visible de plusieurs VLANS, il faut qu'il se trouve dans tous les VLANS desquels il est visible et decocher la case VLAN Aware sur le 1700.
Exemple avec port 2 en gateway commune à 1 et 3
port 1 : VLAN 1 et 2 PVID 1
port 2 : VLAN 1,2 et 3 PVID 2
port 3 : VLAN 2 et 3 PVID 3
Ca fonctionne, on le voit bien des autres VLANS et les VLANS ne se voient pas entres eux.
Il faut bien faire attention à ne decocher que ce port et aussi aux PVID des autres ports qui doivent etre differents les uns des autres pour eviter qu'un petit malin ne tague sur la bonne ID à l'aide d'un switch et ne passe.
toujours bien verifier la separation par des pings et penser qu' un pirate peut forcer le PVID par un switch donc le retour de trame taguée doit bien l'empecher.
Ceci dit le fonctionnement du 1700 ne parrait pas evident pour les VLANS.
Nounours
Pour qu' un port soit visible de plusieurs VLANS, il faut qu'il se trouve dans tous les VLANS desquels il est visible et decocher la case VLAN Aware sur le 1700.
Exemple avec port 2 en gateway commune à 1 et 3
port 1 : VLAN 1 et 2 PVID 1
port 2 : VLAN 1,2 et 3 PVID 2
port 3 : VLAN 2 et 3 PVID 3
Ca fonctionne, on le voit bien des autres VLANS et les VLANS ne se voient pas entres eux.
Il faut bien faire attention à ne decocher que ce port et aussi aux PVID des autres ports qui doivent etre differents les uns des autres pour eviter qu'un petit malin ne tague sur la bonne ID à l'aide d'un switch et ne passe.
toujours bien verifier la separation par des pings et penser qu' un pirate peut forcer le PVID par un switch donc le retour de trame taguée doit bien l'empecher.
Ceci dit le fonctionnement du 1700 ne parrait pas evident pour les VLANS.
Nounours
Une precision, dans ma reponse ci dessus, j'ai oublié de dire que sur VLAN 1 et VLAN 3 je n'ai que des serveurs directement connectés aux ports, si ce sont des switchs et des utilisateurs, un petit malin peut peut etre taguer les trames comme il le veut et donc voir 1 depuis 3 par exemple en taguant en 1 les trames à l'aide d'un switch (le PVID n'est mis par le 1700 qu'en cas d'abscence de tag sur la trame)
Donc prudence là dessus.
Nounours
Donc prudence là dessus.
Nounours
non,
car les utilisateurs sont en principe connectés sur des ports d'accès non taggés et monovlan , donc s'il envoie des trames taggées, le switch de les lira pas, où les placera uniquement dans le vlan par défaut .
il faut réserver les ports taggés aux ports trunk et éventuellement aux ports vers les serveurs .
car les utilisateurs sont en principe connectés sur des ports d'accès non taggés et monovlan , donc s'il envoie des trames taggées, le switch de les lira pas, où les placera uniquement dans le vlan par défaut .
il faut réserver les ports taggés aux ports trunk et éventuellement aux ports vers les serveurs .
