Passage Vlan niveau1 en Vlan niveau2

Résolu/Fermé
Sylvain - 28 janv. 2008 à 12:04
brupala Messages postés 111207 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 15 mars 2025 - 28 janv. 2008 à 19:53
Bonjour,
Je suis actuellement en stage dans un lycée et on m'a demandé de passer les Vlans existants de niveau1 en Vlans de niveau2.
Je dois donc effectuer une procédure à leur faire valider, cependant j'ai un soucis au niveau de la faisabilité du projet.
Je vous explique en vous montrant ma procédure :

Configuration Actuelle :

Le lycée est actuellement configuré de la manière suivante :
Plusieurs Vlan de niveau 1.
Les commutateurs sont reliés entre eux par fibre optique.
Le port utilisé pour les relier utilise le protocole 802.1q (Trunk) pour la communication entre les différentes machines d’un même Vlan sur des commutateurs différents.


Configuration envisagée :

Le but du projet est de passer les Vlan de niveau1 en Vlan de niveau2.
Pour ce faire, nous allons tout d’abord sauvegarder les configurations actuelles des commutateurs par l’intermédiaire d’un serveur TFTP dans le cas où l’intervention ne se déroulerait pas convenablement.
Ensuite, nous allons supprimer les configurations actuelles des commutateurs afin de les remplacer par les nouvelles.
Nous avons prévu de le faire de la manière suivante :
Laisser 2 ou 3 ports dans le Vlan par défaut afin de les connecter ensembles et ainsi les administrer (tous ensembles).
Créer les différents Vlans de niveau 2 et leur affecter tous les ports restants.


Problème :

Le seul moyen que j'ai trouvé pour que les membres d’un même Vlan n’étant pas situés sur le même commutateur puissent communiquer est de connecter une nouvelle fois les commutateurs entre eux par un port non affecté au Vlan par défaut.
Cependant cette option n’est pas envisageable par le Lycée étant donné le prix d’une telle connexion.

C’est pourquoije me demande si il est possible d’effectuer un Trunk sur un port entre un Vlan de niveau1 (celui par défaut) est les Vlan de niveau2. Ce qui nous permettrait de mettre en place une seule liaison comme pour la configuration actuelle.

Merci de votre soutien :)
A voir également:

5 réponses

ianvs Messages postés 539 Date d'inscription mardi 26 juin 2007 Statut Membre Dernière intervention 29 avril 2009 209
28 janv. 2008 à 12:16
Bonjour,

Il doit y avoir des problèmes de terminologie :
- VLAN = découpage de niveau 2 réalisé dans les switchs
- sous-réseau = découpage de niveau 3 (par adresses IP)

Donc je ne comprends pas bien la problématique.
0
brupala Messages postés 111207 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 15 mars 2025 13 958
28 janv. 2008 à 12:24
salut,
mais ... qu'est ce que tu appelles des vlans de niveau 1 et des vlans de niveau 2 ???
pour moi les vlans de niveau 1 c'est la segmentation possible sur certains fonds de panier de hubs en chassis la plupart .
les vlans de niveau 2 seraient créés sur des switchs .
ou alors veux tu parler de vlans par adresse mac ?
un vlan est un vlan .
le fait qu'il soit par port, par adresse mac ou par protocole de s'applique qu'à la façon d'affecter les clients à tel ou tel vlan , pas à la façon de transporter les vlans sur le trunk qui correspond au tags 802.1q , le plus souvent maintenant .
0
Oula !! :)

Je vais essayer de m'exprimer plus clairement :

Ce que je voulais dire c'est :
Vlan de niveau1 = Vlan par ports
Vlan de niveau2 = Vlan par adresses MAC

VLAN par défaut = Par défaut, le VLAN 1 est celui qui assigné à tous les ports d'un commutateur tant qu'ils n'ont pas été configurés autrement. Cela signifie que tous les autres types de VLANs (utilisateur, management et natif) sont membres du VLAN 1.


Donc sur un réseau quand il y a plusieurs switch et plusieurs Vlan configurés par ports, on utilise des ports trunk pour relier les switchs entre eux pour que les membres d'un Vlan puissent communiquer ensembles même si ils ne sont pas sur le même switch.
( c’était mon explication simplifiée )
On est donc d’accord sur le fait que les trames vont être étiquetées par l’ajout d’un tag qui correspondra au numéro de VLAN. Sur un ou plusieurs swiches, seuls les trames possédant ce même numéro pourront communiquer ensemble d'un commutateur à l'autre


Donc dans le cas présent, ils ont plusieurs Vlan par ports ( niveau1 pour moi :) ).

Moi je veux virer tout ça ! Je veux configurer Par adresses Mac (pour plus de sécurité).

Par exemple je crée 2 Vlan par adresses MAC (de niveau2):
- Pédago
- Administration
Dans la configuration des switchs je rentre les adresses MAC des machines qui sont destinées a aller dans ces Vlan.

Donc lorsqu'une machine se connectera sur le réseau, si les switch ne connaissent pas son adresse MAC, elle ne fera partie d'aucun Vlan, si la MAC se trouve dans le Vlan Pédago elle se trouvera dans le Vlan pédago et Pareil pour Administration.

Sauf qu'a mon avis, pour des Vlan par adresses Mac, on utilise pas de ports trunk pour relier les switchs ensembles car les ports ne sont configurés sur aucun Vlan ( j'espère que c 'est clair :s )
Dailleur j'ai fais des tests et en reliant 2 switchs par n'importe quel port (qui ne soit pas dans le Vlan par défaut), deux machines faisant parties du même Vlan mais pas sur le même switch. Elles communiquent bien !! Donc ça serait la solution !! mais………. :p

Ici, :
On relie les switchs entre eux par des ports situés sur le Vlan par défaut.
Ces connexions sont faites par fibre optique et sont déjà en place.
Donc, en connectant une machine sur un port se situant sur le Vlan par défaut, on a accès à tous les commutateurs. Ce qui est pratique pour les administrer.


Le problème est qu’on ne peut pas les relier à nouveau sur un port ne se trouvant pas sur le Vlan par défaut parce que c’est trop cher ! ( de refoutre de la fibre partout )
Donc en fait ce que je voulais savoir c’est si il était possible de laisser passer les trames des Vlan par Mac par la connexion déjà établie qui elle même se trouve sur le Vlan par défaut ( donc un Vlan par port) en gros si il est possible de faire un trunk entre des Vlan par ports et des Vlan par MAC.

J’espère avoir été plus clair cette fois.

PS : brupala j’ ai absolument rien compris à ce que tu m’a dis « pour moi les vlans de niveau 1 c'est la segmentation possible sur certains fonds de panier de hubs en chassis la plupart » tu es parti beaucoup trop loin pour moi :)

Merci de votre compréhension :)
0
brupala Messages postés 111207 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 15 mars 2025 13 958
28 janv. 2008 à 15:12
OK,
j’ ai absolument rien compris à ce que tu m’a dis « pour moi les vlans de niveau 1 c'est la segmentation possible sur certains fonds de panier de hubs en chassis la plupart » tu es parti beaucoup trop loin pour moi :)
explication:
il ya environ 10 - 15 ans les switchs n'existaient pas encore , ou pas beaucoup , on avait seulement des hubs et des ponts .
sur certains hubs haut de gamme (la marque Synoptics en particulier) on pouvait construire des vlans en isolant certains ports ou groupes de ports des autres dans le même hub ou le même chassis .
l'objectif à l'époque était de réduire les domaines de collision tout en conservant une administration centralisée .
c'est devenu beaucoup plus courant avec les switchs , afin de réduire les domaines de broadcast (le domaine de collision n'existant plus sur un switch) .
sinon,
faire des vlans par adresse mac n'apporte rien au niveau sécurité , mais plutôt au niveau mobilité (quoique, avec un dhcp ...) pour le coté sécurité une authentification 802.1x est suffisant sans gérer forcément des vlans .
le problème que tu rencontres est de faire une administration centralisée de ces vlans par adresse mac , car dans ton cas tu devras recopier la même base de données d'utilisateurs sur chaque switch ... lourd à gérer .
autrement pour en revenir à la question de base,
les ports trunk taggés peuvent transporter tous les vlans que tu voudras bien configurer dedans , indépendamment du mode d'accès des utilisateurs à ces vlans .
ces modes d'affectation dynamique aux vlans (adresse mac, protocole) sont très pénalisants sur de grands réseaux et la tendance est de revenir au simple mode de gestion par port et de plutôt agir au niveau 3 (dhcp et routage) pour filtrer les utilisateurs et assurer la mobilité .
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
:'(

On va y arriver :)

Donc, pour ce qui est de la sécurité, ce que je veux dire c'est par exemple pour éviter que quelqu'un arrive avec son portable, se branche sur un port du réseau et ait accès au réseau du Lycée, internet, puisse télécharger etc...

En faisant de cette manière, il se branchera, ne se trouvera sur aucun Vlan et donc n'aura accès a rien. C'est de cette sécurité que je parlais.

Pour ce qui est des adresses MAC, je les récupère tout simplement par une requete sql à partir du logicield'inventaire "ocs inventory".
J'utilise un logiciel fourni par Nortel ( la marque des switchs équipant le lycée ).
Ce logiciel crée une arborescence de tous les switchs du réseau et permet un paramétrage global de ces derniers.
En gros quand je crée un Vlan, je choisis de l'appliquer à tous les switchs, je vais chercher mon fichier avec toutes mes macs et le tour est joué.

Le seul truc que j'arrive pas a faire, c'est bien a configurer les port qui relient les switchs entre eux de manière à ce qui laissent passer les trames des Vlans par MAC.
(J'arrive à faire un trunk pour les Vlan par ports :/ )

Donc voila, si il y a une solution, si c'est faisable, si vous m'avez compris :), j'attend votre réponse avec impatience !! :p
0
brupala Messages postés 111207 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 15 mars 2025 13 958
28 janv. 2008 à 19:53
bien,
En faisant de cette manière, il se branchera, ne se trouvera sur aucun Vlan et donc n'aura accès a rien. C'est de cette sécurité que je parlais.

en fait,
il ne sera pas sur aucun vlan , mais sur le vlan 1 qui se trouve être celui de management des switchs, et s'il ya un dhcp et un routeur sur ce vlan, l'accès à tout le reste sera possible .
il vaudrait mieux une sécurité 802.1x / radius et une affectation dhcp statique .
le logiciel nortel, c'est vlan manager ?
Le seul truc que j'arrive pas a faire, c'est bien a configurer les port qui relient les switchs entre eux de manière à ce qui laissent passer les trames des Vlans par MAC.
(J'arrive à faire un trunk pour les Vlan par ports :/ )

Sur les switchs; les ports trunk sont configurés pour tagger les vlans que tu configures dessus .
Je répète: qu'ils soient par port ou par adresse mac, ça ne change rien à ce niveau : c'est le numéro de vlan qui compte, c'est tout .
0