Probleme VLAN
Résolu/Fermé6 réponses
ianvs
Messages postés
539
Date d'inscription
mardi 26 juin 2007
Statut
Membre
Dernière intervention
29 avril 2009
209
8 avril 2008 à 15:51
8 avril 2008 à 15:51
Je confirme que les VLANs sont au niveau 2 (ethernet) et que normalement 2 VLANs ont un plan d'adressage différent.
Leur affectation pas port est un fonctionnement normal et avoir le même subnet pour deux VLANs n'est absolument pas normal (et ça ne marche que par effet de bord quand ça marche).
Le filtrage par adresse MAC correspond à un autre mécanisme et l'affectation dans des VLANs en fonction de l'adresse MAC est également un autre mécanisme.
A priori, un seul de tes équipements permet de faire ce que tu veux (avoir un port dans deux VLANs en même temps), mais attention le routeur devra aussi être sur un port de même type pour donner l'accès à Internet aux deux sociétés.
Cordialement,
Leur affectation pas port est un fonctionnement normal et avoir le même subnet pour deux VLANs n'est absolument pas normal (et ça ne marche que par effet de bord quand ça marche).
Le filtrage par adresse MAC correspond à un autre mécanisme et l'affectation dans des VLANs en fonction de l'adresse MAC est également un autre mécanisme.
A priori, un seul de tes équipements permet de faire ce que tu veux (avoir un port dans deux VLANs en même temps), mais attention le routeur devra aussi être sur un port de même type pour donner l'accès à Internet aux deux sociétés.
Cordialement,
Bonjour,
Par defaut les ports doivent être en type access et untagged
Les VLAN sont destines a segmenter les LAN.
Le port type access avec plusieurs VLAN tagged sert pour les liens inter-switch. Plusieurs VLAN passent par le même lien mais restent "etanches" (c'est la raison d'etre des VLAN).
Autrement il faut un peripherique qui gere les VLAN.
La solution est de creer un VLAN 3 pour le fax.
Mettre des IP sur les interface de VLAN et creer des regles de routage statique ou des ACL.
Il en faudra de toute facon pour acceder au net...
Par defaut les ports doivent être en type access et untagged
Les VLAN sont destines a segmenter les LAN.
Le port type access avec plusieurs VLAN tagged sert pour les liens inter-switch. Plusieurs VLAN passent par le même lien mais restent "etanches" (c'est la raison d'etre des VLAN).
Autrement il faut un peripherique qui gere les VLAN.
La solution est de creer un VLAN 3 pour le fax.
Mettre des IP sur les interface de VLAN et creer des regles de routage statique ou des ACL.
Il en faudra de toute facon pour acceder au net...
Tout d'abord merci a tous d'avoir répondu aussi vite.
Ianvs je ne suis pas d'accord avec ton Vlan=niveau2 : un vlan niveau 2 correspond a un filtrage d'adresse MAC or je souhaite segmenter mon réseau au niveau des ports physiques du switch (ce qui est bien de niveau 1) car en définitif un switch sera pour EntrepriseX et un pour EntrepriseY.
Si j'ai bien compris ce que tu m'as dit:
_ l'AT8000s possède un fonctionnement particulier pour ce qui est de faire passer plusieurs Vlan dans un même port. Donc une des solutions serait d'échanger l'AT8350GB de l'entreprise par l'AT8000s en mettant une configuration "identique" a la première réalisée au bureau. Est ce propre?
_ Etant donné que je ne veut pas toucher a l'adressage du réseau et que les switch que j'ai ne font pas de PVLan, désolé mais je ne retiens pas t'es solutions.
Cependant, l'idée du routeur m'intéresse: si je branche le télécopieur sur le routeur de l'entreprise ou a un "niveau au dessus" des switchs, est ce que celui ci sera vu par les deux Vlans?
Cordialement
Ianvs je ne suis pas d'accord avec ton Vlan=niveau2 : un vlan niveau 2 correspond a un filtrage d'adresse MAC or je souhaite segmenter mon réseau au niveau des ports physiques du switch (ce qui est bien de niveau 1) car en définitif un switch sera pour EntrepriseX et un pour EntrepriseY.
Si j'ai bien compris ce que tu m'as dit:
_ l'AT8000s possède un fonctionnement particulier pour ce qui est de faire passer plusieurs Vlan dans un même port. Donc une des solutions serait d'échanger l'AT8350GB de l'entreprise par l'AT8000s en mettant une configuration "identique" a la première réalisée au bureau. Est ce propre?
_ Etant donné que je ne veut pas toucher a l'adressage du réseau et que les switch que j'ai ne font pas de PVLan, désolé mais je ne retiens pas t'es solutions.
Cependant, l'idée du routeur m'intéresse: si je branche le télécopieur sur le routeur de l'entreprise ou a un "niveau au dessus" des switchs, est ce que celui ci sera vu par les deux Vlans?
Cordialement
Bon, ianvs je ne suis toujours pas d'accord avec toi: ce que tu me dis ne correspond pas a la documentation que j'ai pu trouver sur internet (cf https://www.commentcamarche.net/contents/543-vlan-reseaux-virtuels par exemple).
MAIS ce n'est pas grave car j'ai trouver la solution : le DES3550 gère la QoS et propose une segmentation du trafic port par port. C'est a dire qu'il est possible de régler pour chaque port a quel(s) port(s) celui ci peut transmettre une trame.
J'ai donc mis la configuration suivante:
_ le port 1 (liaison entre les deux switchs) ne peut transmettre qu'au port 2 (télécopieur)
_ le port 2 peut transmettre a tous les ports
_ les ports 3 à 50 peuvent transmettre a tous les ports sauf le 1
Cette méthode me semble "propre" et fonctionnelle!
Un grand MERCI a tous (surtout ianvs) pour votre disponibilité!
MAIS ce n'est pas grave car j'ai trouver la solution : le DES3550 gère la QoS et propose une segmentation du trafic port par port. C'est a dire qu'il est possible de régler pour chaque port a quel(s) port(s) celui ci peut transmettre une trame.
J'ai donc mis la configuration suivante:
_ le port 1 (liaison entre les deux switchs) ne peut transmettre qu'au port 2 (télécopieur)
_ le port 2 peut transmettre a tous les ports
_ les ports 3 à 50 peuvent transmettre a tous les ports sauf le 1
Cette méthode me semble "propre" et fonctionnelle!
Un grand MERCI a tous (surtout ianvs) pour votre disponibilité!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
On peut avoir le meme plan d'adressage pour 2 VLAN. Mais dans ce cas c'est pas possible de les faire communiquer. Un seul des 2 VLAN sera routable.
Les switchs de niveau 2 (vlan par port) se raccordent a un routeur (niveau 3) ou a un switch de niveau 3.
Les switchs de niveau 3 peuvent faire du routage.
Si le routeur possede 3 interfaces LAN et une interface WAN, alors il est possible de raccorder chaque switch sur une interface LAN du routeur et le fax sur la 3e interface LAN. Attention : je parle bien d'interface IP ! Le routage c'est du niveau 3.
Si le routeur n'a qu'une interface LAN (une seule adresse IP), alors il faut faire gerer le routage par un switch de niveau 3.
On peut avoir le meme plan d'adressage pour 2 VLAN. Mais dans ce cas c'est pas possible de les faire communiquer. Un seul des 2 VLAN sera routable.
Les switchs de niveau 2 (vlan par port) se raccordent a un routeur (niveau 3) ou a un switch de niveau 3.
Les switchs de niveau 3 peuvent faire du routage.
Si le routeur possede 3 interfaces LAN et une interface WAN, alors il est possible de raccorder chaque switch sur une interface LAN du routeur et le fax sur la 3e interface LAN. Attention : je parle bien d'interface IP ! Le routage c'est du niveau 3.
Si le routeur n'a qu'une interface LAN (une seule adresse IP), alors il faut faire gerer le routage par un switch de niveau 3.
ianvs
Messages postés
539
Date d'inscription
mardi 26 juin 2007
Statut
Membre
Dernière intervention
29 avril 2009
209
8 avril 2008 à 14:03
8 avril 2008 à 14:03
Bonjour,
D'abord quelques rappels :
* VLAN = niveau 2 (par définition)
* chaque VLAN a son propre plan d'adressage
* les échanges entre VLANs se fait via un routeur (ou tout équipement disposant de la fonction de routage : Firewall, switch niveau 3)
Les machines acceptant qu'un port appartienne à plusieurs VLANs ne sont pas nombreuses et ce fonctionnement tient plus de l'effet de bord que du fonctionnement normal.
Le lien Trunk :
Lien "inter-switch" qui permet de faire transiter les numéros de VLANs pour conserver leur appartenance.
Objectif : avoir un seul lien entre deux commutateurs qui permette de faire transiter tous les VLANs et non pas un lien par VLAN (avec 15 VLANs on imagine tout de suite l'économie de ce type de lien). Généralement ce lien Trunk a un débit plus élevé que les liens "normaux".
La solution "propre" n°1 :
3 VLANs avec chacun un plan d'adressage :
VLAN1 : 192.168.1.0 / 24
VLAN2 : 192.168.2.0 / 24
VLAN3 : 192.168.3.0 / 24
Et un routeur pour connecter tout le monde (avec des filtres pour que 1 ne puisse pas communiquer avec 2).
La solution "propre" n°2 :
Disposer d'un switch permettant de faire du PVLAN (Private VLAN) :
PVLAN 1 = inclus dans le VLAN1
PVLAN 2 = inclus dans le VLAN1
Promiscuous mode : visible depuis tous les PVLANs d'un VLAN "maitre"
Port 1 : PVLAN 1
Port 2 : PVLAN 2
Port 2 : Promiscuous mode
=> les machines que tu mentionnes ne font pas ça.
Cordialement,
D'abord quelques rappels :
* VLAN = niveau 2 (par définition)
* chaque VLAN a son propre plan d'adressage
* les échanges entre VLANs se fait via un routeur (ou tout équipement disposant de la fonction de routage : Firewall, switch niveau 3)
Les machines acceptant qu'un port appartienne à plusieurs VLANs ne sont pas nombreuses et ce fonctionnement tient plus de l'effet de bord que du fonctionnement normal.
Le lien Trunk :
Lien "inter-switch" qui permet de faire transiter les numéros de VLANs pour conserver leur appartenance.
Objectif : avoir un seul lien entre deux commutateurs qui permette de faire transiter tous les VLANs et non pas un lien par VLAN (avec 15 VLANs on imagine tout de suite l'économie de ce type de lien). Généralement ce lien Trunk a un débit plus élevé que les liens "normaux".
La solution "propre" n°1 :
3 VLANs avec chacun un plan d'adressage :
VLAN1 : 192.168.1.0 / 24
VLAN2 : 192.168.2.0 / 24
VLAN3 : 192.168.3.0 / 24
Et un routeur pour connecter tout le monde (avec des filtres pour que 1 ne puisse pas communiquer avec 2).
La solution "propre" n°2 :
Disposer d'un switch permettant de faire du PVLAN (Private VLAN) :
PVLAN 1 = inclus dans le VLAN1
PVLAN 2 = inclus dans le VLAN1
Promiscuous mode : visible depuis tous les PVLANs d'un VLAN "maitre"
Port 1 : PVLAN 1
Port 2 : PVLAN 2
Port 2 : Promiscuous mode
=> les machines que tu mentionnes ne font pas ça.
Cordialement,
