Passage Vlan niveau1 en Vlan niveau2
Résolu/Fermé
Sylvain
-
28 janv. 2008 à 12:04
brupala Messages postés 111207 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 15 mars 2025 - 28 janv. 2008 à 19:53
brupala Messages postés 111207 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 15 mars 2025 - 28 janv. 2008 à 19:53
A voir également:
- Passage Vlan niveau1 en Vlan niveau2
- Passage qwerty azerty - Guide
- Passage windows 7 à 10 - Accueil - Mise à jour
- Vlan tagged untagged - Forum CISCO
- Dhcp vlan ✓ - Forum DHCP
- Vlan stormshield - Forum Réseau
5 réponses
ianvs
Messages postés
539
Date d'inscription
mardi 26 juin 2007
Statut
Membre
Dernière intervention
29 avril 2009
209
28 janv. 2008 à 12:16
28 janv. 2008 à 12:16
Bonjour,
Il doit y avoir des problèmes de terminologie :
- VLAN = découpage de niveau 2 réalisé dans les switchs
- sous-réseau = découpage de niveau 3 (par adresses IP)
Donc je ne comprends pas bien la problématique.
Il doit y avoir des problèmes de terminologie :
- VLAN = découpage de niveau 2 réalisé dans les switchs
- sous-réseau = découpage de niveau 3 (par adresses IP)
Donc je ne comprends pas bien la problématique.
brupala
Messages postés
111207
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 mars 2025
13 958
28 janv. 2008 à 12:24
28 janv. 2008 à 12:24
salut,
mais ... qu'est ce que tu appelles des vlans de niveau 1 et des vlans de niveau 2 ???
pour moi les vlans de niveau 1 c'est la segmentation possible sur certains fonds de panier de hubs en chassis la plupart .
les vlans de niveau 2 seraient créés sur des switchs .
ou alors veux tu parler de vlans par adresse mac ?
un vlan est un vlan .
le fait qu'il soit par port, par adresse mac ou par protocole de s'applique qu'à la façon d'affecter les clients à tel ou tel vlan , pas à la façon de transporter les vlans sur le trunk qui correspond au tags 802.1q , le plus souvent maintenant .
mais ... qu'est ce que tu appelles des vlans de niveau 1 et des vlans de niveau 2 ???
pour moi les vlans de niveau 1 c'est la segmentation possible sur certains fonds de panier de hubs en chassis la plupart .
les vlans de niveau 2 seraient créés sur des switchs .
ou alors veux tu parler de vlans par adresse mac ?
un vlan est un vlan .
le fait qu'il soit par port, par adresse mac ou par protocole de s'applique qu'à la façon d'affecter les clients à tel ou tel vlan , pas à la façon de transporter les vlans sur le trunk qui correspond au tags 802.1q , le plus souvent maintenant .
Oula !! :)
Je vais essayer de m'exprimer plus clairement :
Ce que je voulais dire c'est :
Vlan de niveau1 = Vlan par ports
Vlan de niveau2 = Vlan par adresses MAC
VLAN par défaut = Par défaut, le VLAN 1 est celui qui assigné à tous les ports d'un commutateur tant qu'ils n'ont pas été configurés autrement. Cela signifie que tous les autres types de VLANs (utilisateur, management et natif) sont membres du VLAN 1.
Donc sur un réseau quand il y a plusieurs switch et plusieurs Vlan configurés par ports, on utilise des ports trunk pour relier les switchs entre eux pour que les membres d'un Vlan puissent communiquer ensembles même si ils ne sont pas sur le même switch.
( c’était mon explication simplifiée )
On est donc d’accord sur le fait que les trames vont être étiquetées par l’ajout d’un tag qui correspondra au numéro de VLAN. Sur un ou plusieurs swiches, seuls les trames possédant ce même numéro pourront communiquer ensemble d'un commutateur à l'autre
Donc dans le cas présent, ils ont plusieurs Vlan par ports ( niveau1 pour moi :) ).
Moi je veux virer tout ça ! Je veux configurer Par adresses Mac (pour plus de sécurité).
Par exemple je crée 2 Vlan par adresses MAC (de niveau2):
- Pédago
- Administration
Dans la configuration des switchs je rentre les adresses MAC des machines qui sont destinées a aller dans ces Vlan.
Donc lorsqu'une machine se connectera sur le réseau, si les switch ne connaissent pas son adresse MAC, elle ne fera partie d'aucun Vlan, si la MAC se trouve dans le Vlan Pédago elle se trouvera dans le Vlan pédago et Pareil pour Administration.
Sauf qu'a mon avis, pour des Vlan par adresses Mac, on utilise pas de ports trunk pour relier les switchs ensembles car les ports ne sont configurés sur aucun Vlan ( j'espère que c 'est clair :s )
Dailleur j'ai fais des tests et en reliant 2 switchs par n'importe quel port (qui ne soit pas dans le Vlan par défaut), deux machines faisant parties du même Vlan mais pas sur le même switch. Elles communiquent bien !! Donc ça serait la solution !! mais………. :p
Ici, :
On relie les switchs entre eux par des ports situés sur le Vlan par défaut.
Ces connexions sont faites par fibre optique et sont déjà en place.
Donc, en connectant une machine sur un port se situant sur le Vlan par défaut, on a accès à tous les commutateurs. Ce qui est pratique pour les administrer.
Le problème est qu’on ne peut pas les relier à nouveau sur un port ne se trouvant pas sur le Vlan par défaut parce que c’est trop cher ! ( de refoutre de la fibre partout )
Donc en fait ce que je voulais savoir c’est si il était possible de laisser passer les trames des Vlan par Mac par la connexion déjà établie qui elle même se trouve sur le Vlan par défaut ( donc un Vlan par port) en gros si il est possible de faire un trunk entre des Vlan par ports et des Vlan par MAC.
J’espère avoir été plus clair cette fois.
PS : brupala j’ ai absolument rien compris à ce que tu m’a dis « pour moi les vlans de niveau 1 c'est la segmentation possible sur certains fonds de panier de hubs en chassis la plupart » tu es parti beaucoup trop loin pour moi :)
Merci de votre compréhension :)
Je vais essayer de m'exprimer plus clairement :
Ce que je voulais dire c'est :
Vlan de niveau1 = Vlan par ports
Vlan de niveau2 = Vlan par adresses MAC
VLAN par défaut = Par défaut, le VLAN 1 est celui qui assigné à tous les ports d'un commutateur tant qu'ils n'ont pas été configurés autrement. Cela signifie que tous les autres types de VLANs (utilisateur, management et natif) sont membres du VLAN 1.
Donc sur un réseau quand il y a plusieurs switch et plusieurs Vlan configurés par ports, on utilise des ports trunk pour relier les switchs entre eux pour que les membres d'un Vlan puissent communiquer ensembles même si ils ne sont pas sur le même switch.
( c’était mon explication simplifiée )
On est donc d’accord sur le fait que les trames vont être étiquetées par l’ajout d’un tag qui correspondra au numéro de VLAN. Sur un ou plusieurs swiches, seuls les trames possédant ce même numéro pourront communiquer ensemble d'un commutateur à l'autre
Donc dans le cas présent, ils ont plusieurs Vlan par ports ( niveau1 pour moi :) ).
Moi je veux virer tout ça ! Je veux configurer Par adresses Mac (pour plus de sécurité).
Par exemple je crée 2 Vlan par adresses MAC (de niveau2):
- Pédago
- Administration
Dans la configuration des switchs je rentre les adresses MAC des machines qui sont destinées a aller dans ces Vlan.
Donc lorsqu'une machine se connectera sur le réseau, si les switch ne connaissent pas son adresse MAC, elle ne fera partie d'aucun Vlan, si la MAC se trouve dans le Vlan Pédago elle se trouvera dans le Vlan pédago et Pareil pour Administration.
Sauf qu'a mon avis, pour des Vlan par adresses Mac, on utilise pas de ports trunk pour relier les switchs ensembles car les ports ne sont configurés sur aucun Vlan ( j'espère que c 'est clair :s )
Dailleur j'ai fais des tests et en reliant 2 switchs par n'importe quel port (qui ne soit pas dans le Vlan par défaut), deux machines faisant parties du même Vlan mais pas sur le même switch. Elles communiquent bien !! Donc ça serait la solution !! mais………. :p
Ici, :
On relie les switchs entre eux par des ports situés sur le Vlan par défaut.
Ces connexions sont faites par fibre optique et sont déjà en place.
Donc, en connectant une machine sur un port se situant sur le Vlan par défaut, on a accès à tous les commutateurs. Ce qui est pratique pour les administrer.
Le problème est qu’on ne peut pas les relier à nouveau sur un port ne se trouvant pas sur le Vlan par défaut parce que c’est trop cher ! ( de refoutre de la fibre partout )
Donc en fait ce que je voulais savoir c’est si il était possible de laisser passer les trames des Vlan par Mac par la connexion déjà établie qui elle même se trouve sur le Vlan par défaut ( donc un Vlan par port) en gros si il est possible de faire un trunk entre des Vlan par ports et des Vlan par MAC.
J’espère avoir été plus clair cette fois.
PS : brupala j’ ai absolument rien compris à ce que tu m’a dis « pour moi les vlans de niveau 1 c'est la segmentation possible sur certains fonds de panier de hubs en chassis la plupart » tu es parti beaucoup trop loin pour moi :)
Merci de votre compréhension :)
brupala
Messages postés
111207
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 mars 2025
13 958
28 janv. 2008 à 15:12
28 janv. 2008 à 15:12
OK,
j’ ai absolument rien compris à ce que tu m’a dis « pour moi les vlans de niveau 1 c'est la segmentation possible sur certains fonds de panier de hubs en chassis la plupart » tu es parti beaucoup trop loin pour moi :)
explication:
il ya environ 10 - 15 ans les switchs n'existaient pas encore , ou pas beaucoup , on avait seulement des hubs et des ponts .
sur certains hubs haut de gamme (la marque Synoptics en particulier) on pouvait construire des vlans en isolant certains ports ou groupes de ports des autres dans le même hub ou le même chassis .
l'objectif à l'époque était de réduire les domaines de collision tout en conservant une administration centralisée .
c'est devenu beaucoup plus courant avec les switchs , afin de réduire les domaines de broadcast (le domaine de collision n'existant plus sur un switch) .
sinon,
faire des vlans par adresse mac n'apporte rien au niveau sécurité , mais plutôt au niveau mobilité (quoique, avec un dhcp ...) pour le coté sécurité une authentification 802.1x est suffisant sans gérer forcément des vlans .
le problème que tu rencontres est de faire une administration centralisée de ces vlans par adresse mac , car dans ton cas tu devras recopier la même base de données d'utilisateurs sur chaque switch ... lourd à gérer .
autrement pour en revenir à la question de base,
les ports trunk taggés peuvent transporter tous les vlans que tu voudras bien configurer dedans , indépendamment du mode d'accès des utilisateurs à ces vlans .
ces modes d'affectation dynamique aux vlans (adresse mac, protocole) sont très pénalisants sur de grands réseaux et la tendance est de revenir au simple mode de gestion par port et de plutôt agir au niveau 3 (dhcp et routage) pour filtrer les utilisateurs et assurer la mobilité .
j’ ai absolument rien compris à ce que tu m’a dis « pour moi les vlans de niveau 1 c'est la segmentation possible sur certains fonds de panier de hubs en chassis la plupart » tu es parti beaucoup trop loin pour moi :)
explication:
il ya environ 10 - 15 ans les switchs n'existaient pas encore , ou pas beaucoup , on avait seulement des hubs et des ponts .
sur certains hubs haut de gamme (la marque Synoptics en particulier) on pouvait construire des vlans en isolant certains ports ou groupes de ports des autres dans le même hub ou le même chassis .
l'objectif à l'époque était de réduire les domaines de collision tout en conservant une administration centralisée .
c'est devenu beaucoup plus courant avec les switchs , afin de réduire les domaines de broadcast (le domaine de collision n'existant plus sur un switch) .
sinon,
faire des vlans par adresse mac n'apporte rien au niveau sécurité , mais plutôt au niveau mobilité (quoique, avec un dhcp ...) pour le coté sécurité une authentification 802.1x est suffisant sans gérer forcément des vlans .
le problème que tu rencontres est de faire une administration centralisée de ces vlans par adresse mac , car dans ton cas tu devras recopier la même base de données d'utilisateurs sur chaque switch ... lourd à gérer .
autrement pour en revenir à la question de base,
les ports trunk taggés peuvent transporter tous les vlans que tu voudras bien configurer dedans , indépendamment du mode d'accès des utilisateurs à ces vlans .
ces modes d'affectation dynamique aux vlans (adresse mac, protocole) sont très pénalisants sur de grands réseaux et la tendance est de revenir au simple mode de gestion par port et de plutôt agir au niveau 3 (dhcp et routage) pour filtrer les utilisateurs et assurer la mobilité .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
:'(
On va y arriver :)
Donc, pour ce qui est de la sécurité, ce que je veux dire c'est par exemple pour éviter que quelqu'un arrive avec son portable, se branche sur un port du réseau et ait accès au réseau du Lycée, internet, puisse télécharger etc...
En faisant de cette manière, il se branchera, ne se trouvera sur aucun Vlan et donc n'aura accès a rien. C'est de cette sécurité que je parlais.
Pour ce qui est des adresses MAC, je les récupère tout simplement par une requete sql à partir du logicield'inventaire "ocs inventory".
J'utilise un logiciel fourni par Nortel ( la marque des switchs équipant le lycée ).
Ce logiciel crée une arborescence de tous les switchs du réseau et permet un paramétrage global de ces derniers.
En gros quand je crée un Vlan, je choisis de l'appliquer à tous les switchs, je vais chercher mon fichier avec toutes mes macs et le tour est joué.
Le seul truc que j'arrive pas a faire, c'est bien a configurer les port qui relient les switchs entre eux de manière à ce qui laissent passer les trames des Vlans par MAC.
(J'arrive à faire un trunk pour les Vlan par ports :/ )
Donc voila, si il y a une solution, si c'est faisable, si vous m'avez compris :), j'attend votre réponse avec impatience !! :p
On va y arriver :)
Donc, pour ce qui est de la sécurité, ce que je veux dire c'est par exemple pour éviter que quelqu'un arrive avec son portable, se branche sur un port du réseau et ait accès au réseau du Lycée, internet, puisse télécharger etc...
En faisant de cette manière, il se branchera, ne se trouvera sur aucun Vlan et donc n'aura accès a rien. C'est de cette sécurité que je parlais.
Pour ce qui est des adresses MAC, je les récupère tout simplement par une requete sql à partir du logicield'inventaire "ocs inventory".
J'utilise un logiciel fourni par Nortel ( la marque des switchs équipant le lycée ).
Ce logiciel crée une arborescence de tous les switchs du réseau et permet un paramétrage global de ces derniers.
En gros quand je crée un Vlan, je choisis de l'appliquer à tous les switchs, je vais chercher mon fichier avec toutes mes macs et le tour est joué.
Le seul truc que j'arrive pas a faire, c'est bien a configurer les port qui relient les switchs entre eux de manière à ce qui laissent passer les trames des Vlans par MAC.
(J'arrive à faire un trunk pour les Vlan par ports :/ )
Donc voila, si il y a une solution, si c'est faisable, si vous m'avez compris :), j'attend votre réponse avec impatience !! :p
brupala
Messages postés
111207
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
15 mars 2025
13 958
28 janv. 2008 à 19:53
28 janv. 2008 à 19:53
bien,
En faisant de cette manière, il se branchera, ne se trouvera sur aucun Vlan et donc n'aura accès a rien. C'est de cette sécurité que je parlais.
en fait,
il ne sera pas sur aucun vlan , mais sur le vlan 1 qui se trouve être celui de management des switchs, et s'il ya un dhcp et un routeur sur ce vlan, l'accès à tout le reste sera possible .
il vaudrait mieux une sécurité 802.1x / radius et une affectation dhcp statique .
le logiciel nortel, c'est vlan manager ?
Le seul truc que j'arrive pas a faire, c'est bien a configurer les port qui relient les switchs entre eux de manière à ce qui laissent passer les trames des Vlans par MAC.
(J'arrive à faire un trunk pour les Vlan par ports :/ )
Sur les switchs; les ports trunk sont configurés pour tagger les vlans que tu configures dessus .
Je répète: qu'ils soient par port ou par adresse mac, ça ne change rien à ce niveau : c'est le numéro de vlan qui compte, c'est tout .
En faisant de cette manière, il se branchera, ne se trouvera sur aucun Vlan et donc n'aura accès a rien. C'est de cette sécurité que je parlais.
en fait,
il ne sera pas sur aucun vlan , mais sur le vlan 1 qui se trouve être celui de management des switchs, et s'il ya un dhcp et un routeur sur ce vlan, l'accès à tout le reste sera possible .
il vaudrait mieux une sécurité 802.1x / radius et une affectation dhcp statique .
le logiciel nortel, c'est vlan manager ?
Le seul truc que j'arrive pas a faire, c'est bien a configurer les port qui relient les switchs entre eux de manière à ce qui laissent passer les trames des Vlans par MAC.
(J'arrive à faire un trunk pour les Vlan par ports :/ )
Sur les switchs; les ports trunk sont configurés pour tagger les vlans que tu configures dessus .
Je répète: qu'ils soient par port ou par adresse mac, ça ne change rien à ce niveau : c'est le numéro de vlan qui compte, c'est tout .
