VLAN entre Reseaux
PJL
-
PJL -
PJL -
Bonjour,
Je suis en stage dans un entreprise qui possede plusieurs sites distants reliés via un VPN géré par Orange (Donc pas la main directement dessus), et la gestions des postes se fait via des VLAN aves des regles basees sur les adresses MAC.
Le probleme est que certains utilisateurs doivent pouvoir acceder a des potes distants (Par exemple le service info a acces a tous les potes pour la maitenance, etc...)
mais en gerant par adresse MAC, on a du declarer les routeurs dans chaque VLAN, ce qui fait que si on veut acceder a un site distant, potentiellement, on peut avoir acces a tous les VLAN.
Je cherche une autre solution, j'ai envisage l'utilisation de sous-reseaux par service (mais ca demande des regles de routage complexe, et ca pose des problemes de securite si on s'integre a un autre sous-reseaux que le sien)
Sinon j'ai essayé de creuser la piste des tag 802.1Q, mais j'ai pas encore pu tester, et je suis pas sur que cela pourrait traverser les routeurs
Je suis ouvert a n'importe quel solutions alternatives
Merci de vos reponses
Je suis en stage dans un entreprise qui possede plusieurs sites distants reliés via un VPN géré par Orange (Donc pas la main directement dessus), et la gestions des postes se fait via des VLAN aves des regles basees sur les adresses MAC.
Le probleme est que certains utilisateurs doivent pouvoir acceder a des potes distants (Par exemple le service info a acces a tous les potes pour la maitenance, etc...)
mais en gerant par adresse MAC, on a du declarer les routeurs dans chaque VLAN, ce qui fait que si on veut acceder a un site distant, potentiellement, on peut avoir acces a tous les VLAN.
Je cherche une autre solution, j'ai envisage l'utilisation de sous-reseaux par service (mais ca demande des regles de routage complexe, et ca pose des problemes de securite si on s'integre a un autre sous-reseaux que le sien)
Sinon j'ai essayé de creuser la piste des tag 802.1Q, mais j'ai pas encore pu tester, et je suis pas sur que cela pourrait traverser les routeurs
Je suis ouvert a n'importe quel solutions alternatives
Merci de vos reponses
A voir également:
- VLAN entre Reseaux
- Frédéric cherche à faire le buzz sur les réseaux sociaux. - Forum Graphisme
- Revue-reseaux-2009-numero153-page-55 - Forum Microsoft Edge / Internet Explorer
- Matthias utilise les réseaux sociaux. que doit-il faire dans chacune des situations suivantes ? - Forum Cloud
- Frédéric cherche à faire le buzz sur les réseaux sociaux - Forum Graphisme
- Sandra a décidé de mieux contrôler son image et sa présence sur différents réseaux sociaux. qu’est-il possible de faire sur ces réseaux ? ✓ - Forum Loisirs / Divertissements
6 réponses
Bonjour,
Je te confirme que les tag 802.1q ne sont pas pris en compte par les routeurs.
La gestion par sous réseau est, en générale, adoptée car assez simple à gérer, mais souvent le plan d'adressage est à revoir complètement.
Le type de plan d'adressage est souvent celui-ci :
172.XX.YY.0/24 AVEC :
=> XX un indicateur de site : 10 = Maison mère, 20 = Site FRANCE 1, 21 = Site FRANCE 2, 31 = Site US 1 ...
=> YY un indicateur de sous réseau : 10 = Service info, 20 = Utilisateurs, 3x = Serveurs (31 = serveurs Windows, 32 = serveurs Web...)
Du coup le routage est simple car basé sur les adresses de site 172.XX.0.0/16 et la contrôle est faisable par access-list (dans les routeurs ou les Firewalls) avec toute la finesse nécessaire.
Reste à savoir si c'est applicable dans ton cas.
Je te confirme que les tag 802.1q ne sont pas pris en compte par les routeurs.
La gestion par sous réseau est, en générale, adoptée car assez simple à gérer, mais souvent le plan d'adressage est à revoir complètement.
Le type de plan d'adressage est souvent celui-ci :
172.XX.YY.0/24 AVEC :
=> XX un indicateur de site : 10 = Maison mère, 20 = Site FRANCE 1, 21 = Site FRANCE 2, 31 = Site US 1 ...
=> YY un indicateur de sous réseau : 10 = Service info, 20 = Utilisateurs, 3x = Serveurs (31 = serveurs Windows, 32 = serveurs Web...)
Du coup le routage est simple car basé sur les adresses de site 172.XX.0.0/16 et la contrôle est faisable par access-list (dans les routeurs ou les Firewalls) avec toute la finesse nécessaire.
Reste à savoir si c'est applicable dans ton cas.
Comme je l'ai dis, le probleme est que le routage entre site est fait sur des routeurs qui appartiennt a Orange, et sur lequels nous n'avons pas la main
De plus, il existe des routeurs qui gerent le 802.1Q (Vu que j'en ai trouve hier, et que je suis en attente de recevoir la commande)
Mais merci pour ta reponse.
De plus, il existe des routeurs qui gerent le 802.1Q (Vu que j'en ai trouve hier, et que je suis en attente de recevoir la commande)
Mais merci pour ta reponse.
Si ces TAG sont bien transmis vers le site ditant alors ça peut résoudre ton soucis. Autant pour moi.
salut,
mets en place le trunking entre tes deux réseaux. et tu peux aussi créer un vlan d'administration et y mettre tout tes composants réseaux.
si c'est du matériel cisco cela ne devrait pas te prendre trop longtemp..
sinon pour le vpn, c'est de l'encapsulation donc cela devrait aller. sinon tu peux tjrs appeler orange et leur demander de faire la modif qui s'impose, le service technique est compétent.
+
mets en place le trunking entre tes deux réseaux. et tu peux aussi créer un vlan d'administration et y mettre tout tes composants réseaux.
si c'est du matériel cisco cela ne devrait pas te prendre trop longtemp..
sinon pour le vpn, c'est de l'encapsulation donc cela devrait aller. sinon tu peux tjrs appeler orange et leur demander de faire la modif qui s'impose, le service technique est compétent.
+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Le probleme c'est que j'ai 7 sites distants ... et 5 reseaux plus ou moins separes sur chaque sites qui doivent comuniquer les uns avec les autres, mais pas tous
genre la compta doit avoir acces a la FAO, mais pas le contraire
et les commerciaux d'un site doivent pouvoir avoir acces par exemple a un serveur d'un autre site
Et pour Orange, j'attends d'etre sur de ce que je vais mettre en place avant de les contacter.
genre la compta doit avoir acces a la FAO, mais pas le contraire
et les commerciaux d'un site doivent pouvoir avoir acces par exemple a un serveur d'un autre site
Et pour Orange, j'attends d'etre sur de ce que je vais mettre en place avant de les contacter.
En fait apres Reflexion, en declarant dans les VLANs tout les sous-reseaux d'un service sur les differents sites, je me dis que ca peut peut etre marcher, apres faut juste que je teste pour etre sur aue ca marche ...
mais je pense que je tiens peut etre la solution.
Par contre ca va obliger de refaire tout le plan d'adressage logique du reseau de l'entreprise ... j'imagine meme pas le nbr de poste que ca concerne -_-;
mais je pense que je tiens peut etre la solution.
Par contre ca va obliger de refaire tout le plan d'adressage logique du reseau de l'entreprise ... j'imagine meme pas le nbr de poste que ca concerne -_-;
