Téléchargement
illégal
Posez votre question Signaler

Communication inter vlan

Fofolito - Dernière réponse le 1 sept. 2009 à 23:26
Salut,

Je suis actuellement en stage, et mon maitre de stage m'a demandé de regarder comment configurer la communication inter-vlan. En fait j'ai associer les vlans aux ports du switch... et je suis un peu perdu par toutes les configurations possibles... Voici mes questions :

Quand est-ce qu'on peut utiliser les access list? Peut-on les utiliser pour des Vlans associés aux ports du switch ou faut il associer aux Vlans une adresse IP?

Les Vlans associés aux ports peuvent ils communiquer entre eux?

Si le Vlan 5 est associé à un port du switch et qu'on tape la commande :
#configure terminal
#interface vlan 5
et qu'on donne à cette interface une plage d'adresse IP
est-ce que cela a un effet sur le vlan 5 ou ça n'a rien à voir?

Bon ça ira pour l'instant. Je vous remercie d'avance pour votre aide. A bientôt...

Fofolito
Lire la suite 

Communication inter vlan »

21 réponses
Réponse
+1
moins plus
PeJo 1384Messages postés 14 février 2006Date d'inscription 17 mai 2006 à 12:22
Salut,
Avant tout il faut faire attention, le switch fait du niveau 2, mais les switch comme les cisco (conf t, interface fastEth 0/5) ont une partie manageable qui fait accessoirement du niveau 3.
Quand tu associe un adresse ip à ton vlan c'est qu'il s'agit du vlan de management, tu peux vérifier que si tu rentre des adresses pour différents vlan un seul sera actif et joingnable.

Pour faire communiquer des vlan entre eux il te faut un routeur (un switch n'est pas un routeur bien que maintenant certaines marques permettent aux switch de faire routeur). C'est dans le routeur que tu va définir l'adresse de tes vlan. Ainsi quand tu va faire communiquer tes vlan tu va créer un trunk (à configurer aussi niveau switch -->switchport mode trunk, switchport trunk allowed vlan <cr>). C'est dans ce tunnel que von' être mis en relation les vlans.

Schématiquement le trunk ressmble à cela :
___________________________________
-------------------------------------------------
------------------------------------------------- -->vlan 2

-------------------------------------------------
------------------------------------------------- -->vlan 4
___________________________________
Les lignes noirs représente le vlan d'admin des vlan. Ainsi le vlan 2 et 4 communiquent à travers le vlan 1 d'administration.
Pour ce faire sur les routeurs tu utilise l'encapsulation Dot1.Q.


Pour les access-list elles sont aussi bien faisable sur un switch que sur un routeur et autorise l'accès à l'ip. En réalité tu n'associe pas d'access-list à un vlan car l'adresse du vlan est virtuel et donc une access-list touche tous les vlan sans "configuration précise".

J'éspère t'avoir répondu, bon courage pour la suite.

 Ajouter un commentaire
Fofolito- 17 mai 2006 à 14:02
Salut PeJo,

Merci de m'avoir répondu si vite, mais il y a un truc qui ne me semble pas trop clair :
"Quand tu associe un adresse ip à ton vlan c'est qu'il s'agit du vlan de management"
J'ai vu sur d'autres sites qu'on pouvait associer les Vlans à des ports, à des adresses MAC ou à des adresses IP. Cependant je n'ai jamais entendu parler du Vlan de Management. J'avais vu un exemple de configuration ou il associait les Vlans à une plage d'adresse IP... enfin c'est mieux si je te montre ce qu'ils ont fait:

Vlan 1 = X.X.X.0/24
VLan2 = A.A.A.0/24
Vlan 3 = B.B.B.0/24

access list 1 permit A.A.A.0 0.0.0.255
access list 1 permit B.B.B.0 0.0.0.255
access list 1 permit X.X.X.0 0.0.0.255
access list 1 deny any any

access list 2 permit X.X.X.0 0.0.0.255
access list 2 permit A.A.A.0 0.0.0.255
access list 2 deny any any

access list 3 permit X.X.X.0 0.0.0.255
access list 3 permit B.B.B.0 0.0.0.255
access list 3 deny any any

interface Vlan 1
access group 1 in

interface Vlan 2
access group 2 in

interface Vlan 3
access group 3 in

Les 3 Vlans étaient sur le même switch. Et le but de cette config d'était que le Vlan 1 puisse accéder aux Vlans 2 et 3 et que les Vlans 2 et 3 au Vlan 1, mais les Vlan 2 et 3 ensemble ne puissent pas se voir.

Pour ce qui est du routeur je n'en ai pas ici j'ai juste un switch Cisco 2970 et un switch Cisco 3750.

@+
Ajouter un commentaire
Réponse
+1
moins plus
PeJo 1384Messages postés 14 février 2006Date d'inscription 17 mai 2006 à 14:17
Tu es d'accord que le switch ne fais pas de niveau 2 donc pas d'ip et donc tu peux pas associer une adresse ip à un vlan dans un switch qui ne fais pas d'ip.
Le routeur fais du niveau trois c'est pour ça que je te dis de rentrer l'adresse des vlan dans le routeur.
Quand tu dis on associe un port à un vlan heureusement sinon à quoi servirai de configurer un vlan, et quand on associe plusieurs vlan sur un port c'est un trunk.
Pour le vlan qui sert à manager, si tu rentre conf t interface vlan 1 et ip address puis pareil pour le vlan 2 avec une autre ip, un seul va fonctionner car il n'y à qu'un vlan (associé à une adresse ip) de management.
Quand tu dis le vlan 1 vois le ... je suis d'accord mais si ton switch n'est pas un switch routeur tu peux faire un show conf ou show run et tu vera que tu as un/ou plusieurs trunk sur le switch-->Le routeur sert au routage et pas le switch, ce n'est pas lui qui les fait cmmuniquer entre eux.

 Ajouter un commentaire
Fofolito- 17 mai 2006 à 14:39
Salut,

Je suis désolé de ne pas bien comprendre.

Je sais que les Vlans sont associés à des ports, mais je veut dire statiquement associé. Voilà ce que j'ai lu.

Usuellement on présente trois méthodes pour créer des VLAN : les vlan par port (niveau 1), les Vlan par adresses MAC (niveau 2), les Vlan par adresses IP (niveau 3) ainsi que des méthodes dérivées.

Les Vlan par port (Vlan de niveau 1)

On affecte chaque port des commutateurs à un VLAN.
L’appartenance d’une trame à un VLAN est alors déterminée par la connexion de la carte réseau à un port du commutateur.
Les ports sont donc affectés statiquement à un VLAN.
Si on déplace physiquement une station il faut désaffecter son port du Vlan puis affecter le nouveau port de connexion de la station au bon Vlan. Si on déplace logiquement une station (on veut la
changer de Vlan) il faut modifier l’affectation du port au Vlan.

Les Vlan par adresse MAC (Vlan de niveau 2 )

On affecte chaque adresse MAC à un VLAN.
L’appartenance d’une trame à un VLAN est déterminée par son adresse MAC. En fait il s’agit, à partir de l’association Mac/VLAN, d‘affecter dynamiquement les ports des commutateurs à chacun des VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port. L'intérêt principal de ce type de VLAN est l'indépendance vis-à-vis de la localisation géographique. Si une station est déplacée sur le réseau physique, son adresse physique ne changeant pas, elle continue d’appartenir au même VLAN (ce fonctionnement est bien adapté à l'utilisation de machines
portables).
Si on veut changer de Vlan il faut modifier l’association Mac / Vlan.

Les Vlan par adresse de Niveau 3 (VLAN de niveau 3 )

On affecte une adresse de niveau 3 à un VLAN.
L’appartenance d’une trame à un VLAN est alors déterminée par l’adresse de niveau 3 ou supérieur
qu’elle contient (le commutateur doit donc accéder à ces informations).
En fait, il s’agit à partir de l’association adresse niveau 3/VLAN d‘affecter dynamiquement les ports des commutateurs à chacun des VLAN.
Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des VLAN en accédant aux informations de couche 3. Ceci est un fonctionnement moins rapide que le Vlan de niveau 2.
Quand on utilise le protocole IP on parle souvent de Vlan par sous-réseau.
Ajouter un commentaire
Réponse
+1
moins plus
Leprofessionnel 28 nov. 2007 à 13:05
salut;

au fait, j'ai oublié de mentionner que l'entreprise est relié via des liens WAN à ces succursales qui ont pour addresses

172.16.x.0/24

d'où il n'est pas possible d'étendre le masque au /16 qui nécessite aussi de modifier les masques des serveurs en /16.

J'ai adopté l'idée de la commutation niveau 3, qui m'a résolu mon problème !!

il fallait juste déclarer 2 VLANS B1 et B2 l'un ayant pour addresse 172.16.1.0/24, l'autre 172.16.10.0/24;

les règles de routages inter-Vlan sont facilement configurables, vers tous les autres sites du réseau.

une Default Gateway vers le routeur Internet et ça marche comme sur des roulettes ;)


Merci pour votres collborations

 Ajouter un commentaire
brupala- 28 nov. 2007 à 13:27
c'était de loin la meilleure solution effectivement , et la plus évolutive .
Ajouter un commentaire
Réponse
+0
moins plus
ren 17 mai 2006 à 11:47
bonjour,

Pour ma part chaque vlan est associé à un IP. Genre Vlan 2 = 10.2.255.254 . C'est d'ailleurs l'adresse de passerelle des postes clients. Pour les access-lists, c'est mon router qui les gèrent.
En voici un exemple.

ip access-list extended OutVlan3
deny ip 10.4.0.0 0.0.255.255 224.0.0.0 15.255.255.255
deny ip 10.6.0.0 0.0.255.255 224.0.0.0 15.255.255.255
deny ip 10.4.0.0 0.0.255.255 10.3.0.0 0.0.255.255 log
deny ip 10.6.0.0 0.0.255.255 10.3.0.0 0.0.255.255 log
permit ip host 10.2.0.80 10.3.0.0 0.0.255.255 log
deny ip 10.2.0.0 0.0.255.255 224.0.0.0 15.255.255.255
deny ip 10.2.0.0 0.0.255.255 10.3.0.0 0.0.255.255
permit ip host 10.5.0.50 10.3.0.0 0.0.255.255
deny ip 10.5.0.0 0.0.255.255 224.0.0.0 15.255.255.255
deny ip 10.5.0.0 0.0.255.255 10.3.0.0 0.0.255.255
permit ip any 10.3.0.0 0.0.255.255

A+

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
PeJo 1384Messages postés 14 février 2006Date d'inscription 17 mai 2006 à 14:48
Bon je crois que tu ne comprend pas bien.
La création de vlan au niveau se fait à travers le switch. N'oublis pas que le vlan est VIRTUEL et donc entrer sur une interface sw trunk allowed vlan <cr> permet de "creer" l'existance de ce vlan.
L'association à une mac adresse est réalisé par optique de sécurité, plus sécurisé qu'une access-list si l'ip est contrefaite.
Enfin la création de vlan au niveau 3 est faite dans le routeur et permet de déterminer l'adresse du réseau du vlan.
Pour reprendre tes propos :

En fait, il s’agit à partir de l’association adresse niveau 3/VLAN d‘affecter dynamiquement les ports des commutateurs à chacun des VLAN.
Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des VLAN en accédant aux informations de couche 3

Ce qui est écrit c'est : L'association aux ports du switch les vlan grâce aux info du niveau 3, donc du routeur.

 Ajouter un commentaire
Fofolito- 17 mai 2006 à 15:04
Bon, c'est pas du tout ce que j'avais compris en lisant ce que je viens de t'envoyer. Je pensais qu'on pouvait :

- Associer un Vlan statiquement à un port, et que donc n'importe qu'elle station connectée à ce port appartiendrait au Vlan associé.

- Associer un Vlan à une adresse MAC et donc que quelque soit l'endroit ou serait connecté la machine elle appartiendrait au même Vlan. D'ailleurs c'est ce qui est dit ici :

"L'intérêt principal de ce type de VLAN est l'indépendance vis-à-vis de la localisation géographique. Si une station est déplacée sur le réseau physique, son adresse physique ne changeant pas, elle continue d’appartenir au même VLAN (ce fonctionnement est bien adapté à l'utilisation de machines portables)." ---> http://www.reseaucerta.org/docs/didactique/VLAN.pdf

- Associer un Vlan à une adresse IP et donc que ce serait le switch qui en détectant l'adresse IP de la station associerait le port au Vlan.

Bon je te remercie quand même pour ta patience... A bientôt...
Ajouter un commentaire
Réponse
+0
moins plus
PeJo 1384Messages postés 14 février 2006Date d'inscription 17 mai 2006 à 15:18
Avant que tu part je crois que tu me comprend mal.
Au niveau 1 c'est quand le port de la machine est connecté que le vlan se créait.
Au niveau deux il s'agit de la relation entre les adresses mac et les interfaces du switch, au niveau trois c'est la relations entre l'adresses ip des vlan et celle des machines que la communications se fait. (On distingue encore d'ailleurs deux types au niveau trois : vlan par sous réseau et vlan par protocole).

Quand je dis que le switch ne fait pas de niveau trois et donc que les adresses des vlans ne sont pas à mettre sur le switch c'est pour le routage.

J'éspère que tu comprens mieux.

 Ajouter un commentaire
Fofolito- 17 mai 2006 à 15:32
Tu as raison, je te comprends assez mal. Je suis toute embrouillée entre tes explications, ce que j'ai lu,et ce que j'avais compris. Bon de toutes façons je crois que je vais laisser tomber, mon maitre de stage n'est pas encore passé me voir depuis 2 jours et je m'ennuie trop.

Merci quand même... à bientôt...
Ajouter un commentaire
Réponse
+0
moins plus
PeJo 1384Messages postés 14 février 2006Date d'inscription 17 mai 2006 à 15:35
Bon ba bon courage mais si tu as du matos un switch et un routeur tu peux faire un petit test.

 Ajouter un commentaire
Fofolito - 19 mai 2006 à 14:53
Salut,

Je voulais juste te remercier de m'avoir un peu débloquer. J'ai lu pas mal de choses depuis que tu m'as répondu et ça m'a vachement débloqué ce que tu m'as dit. Alors MERCI!!!!!
Ajouter un commentaire
Réponse
+0
moins plus
PeJo 1384Messages postés 14 février 2006Date d'inscription 20 mai 2006 à 13:47
Si tu as d'autres questions je reste disponible.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
john 24 janv. 2007 à 14:27
Bonjour à vous est il possible qu'un switch 3Com 5500 puisse faire du niveau 3?

 Ajouter un commentaire
Afficher les 4 commentaires
Leprofessionnel - 14 juin 2007 à 11:15
salut.

Mon objectif est de segmenter mon réseau.

au fait, l'entreprise ou je travaille est constitué de deux batiments voisins B1, B2.

B1 et B2 sont reliés par une fibre optique.

Mon problème est que les deux batiments adoptent la meme plage d'adresse IP, à savoir 172.16.1.0/24
qui ne permet que 255 adresse hotes, ça ne suffit plus..

donc j'ai pensé à chnager la plage d'adresse du B2 en 172.16.2.0/24.

ceci doit impliquer la mise en place d'un equipement pour faire du routage entre les deux sous-reseaux.

J'ai pensé à un switch Niveau 3 ?? vous en pensez koi ???

quoi que pour optimiser les choses, j'ai pas vraiment besoin de ses 12 ou 24 ports .. un routeur LAN/LAN avec deux interfaces ethernet fera bien l'affaire, mais est ceque ça existe commme equipement ??



merci
xederik - 28 nov. 2007 à 10:44
172.16.1.0 et 172.16.2.0, sont censés être des adresses de classe B, donc au pire ouvre le mask de sous réseau à /16 ou alors afine un peu. un routeur n'est pas necessaire dans ce cas.
brupala- 28 nov. 2007 à 13:24
juste une chose:
1- classe B ou pas, on s'en fout , ça ne change rien au problème , les classes n'existent plus depuis 10 ans .
2- faire un réseau /16 de 65000 machines n'est pas très réaliste : la tendance actuelle est à juste titre de créer des vlans afin de réduire les domaines de diffusion des réseaux .
sinon, un /23 (510 machines), oui, c'est encore supportable .
dans ce cas, il faudrait 172.16.0.0/23 qui couvre les adresses de 172.16.0.1 à 172.16.1.255
Ajouter un commentaire
Réponse
+0
moins plus
r3vz 1 sept. 2009 à 23:22
Bonjour,

Pour faire des essais, nul besoin de matériel, PACKET TRACER existe pour se faire la main sur la plupart des équipements Cisco (fonctionne avec Wine pour les nunux)

Pour un routeur 4 port (+ 802.11b/g) il y a le Linksys WRT54G ! Pour a peine une 50 aine d'Euros (occasion), en flashant le firmwire d'usine pour DD-WRT (voir compatibilité) par exemple, vous avez un petit équipement très polyvalent. Et en plus il gère les Vlan (dhcp, vpn, ap et j'en passe) !

Bien à vous,

r3vz

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
r3vz 1 sept. 2009 à 23:26
J'en ai oublié le lien tiens, trop d'émotion !

Le projet DD-WRT : http://www.dd-wrt.com/
Compatibilité modèle -> firmwire : http://www.dd-wrt.com/wiki/index.php/DD-WRT_Docu_(FR)#Compatibilit.C3.A9

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « communication inter vlan » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?