A voir également:
- Vlan vs dmz
- Udp vs tcp - Guide
- Honor magic 5 pro vs s23 ultra - Guide
- Naruto vs pain épisode netflix ✓ - Forum Cinéma / Télé
- X86 vs x64 ✓ - Forum Windows
- Vlan access vs trunk - Forum Réseau
9 réponses
steven lolo
Messages postés
26
Date d'inscription
jeudi 26 juillet 2007
Statut
Membre
Dernière intervention
26 juillet 2007
2
26 juil. 2007 à 18:18
26 juil. 2007 à 18:18
les ACL sont les règles sur lequel tu définis tes flux sur tes VLAN. Par défaut, je crois que c'est on refuste tout. Donc pas moyen de passer d'un VLAN à un autre.
OK, je comprends... enfin je crois... ;o)
Mais je n'ai rien trouvé dans le paramétrage de mon switch qui parle d'ACL ou de règle.
A quoi ça ressemble comme paramétrage ?
Mais je n'ai rien trouvé dans le paramétrage de mon switch qui parle d'ACL ou de règle.
A quoi ça ressemble comme paramétrage ?
Si tu débute je reprend depuis le début :
Pour comprendre le VLAN, il faut savoir distinguer deux niveaux du modele OSI qui sont la couche liaison de donnée et la couche réseau. La couche liaison de donnée est dans notre cas Ethernet et utilise l'adresse MAC des carte réseaux, et la couche réseau fournit un adresse LOGIQUE en utilisant l'adresse IP.
Un VLAN est un tunnel de niveau liaison de donnée... un tunnel VIRTUEL. Si bien que deux ports d'un meme switch apperement relié peuvent etre définis dans deux tunnels différents, si bien qu'une requete en broadcast MAC sur l'un n'atteindra jamais le second.
Pour cela, un switch mettant en oeuvre les VLAN ajoute un TAG (une notification) sur la trame ethernet qui désigne le VLAN d'ou provient la trame de données.
Pour pouvoir faire circuler du traffic entre deux VLAN, on utilise la couche supérieur (la couche réseau = IP) avec l'aide de routeurs, qui lui n'utilise pas l'adresse physique mais l'adrese logique pour prendre des décisions (l'adresse physique n'en dit pas assez pour décider !), simplement si on autorise tout le traffic d'un VLAN a passer sur les autres au niveau du routeur, on perd tout l'interet du VLAN.
Une ACL est un liste d'instruction comportant un deny all implicite a la fin, c'est a dire que par défaut une ACL refuse tout SAUF ce qu'on a autorisé.
Ces listes sont appliqués sur le traffic entrant ou sortant d'une interface.
Elles peuvent porter sur le procotole, l'adresse source ou destination et le port.
D'ou la nécéssité des ACLs.
D'un point de vu sécurité, dans ton cas, le routeur prend la décision a partir de l'adresse IP :
_si le paquet IP (niveau 3) est destiné a une adresse de ta DMZ, le routeur l'encapsulera dans une trame ethernet (niveau 2) taggé VLAN DMZ. Les commutateurs sauront donc que cette trame ne doit pas etre mélangé avec les autres VLAN.
_ de meme, si le paquet est destiné a une adresse de ta zone privée, la trame sera taggé et les commutateurs sauront qu'elle ne doit pas etre envoyé n'importe ou.
Comme tu vois, il faut jongler avec les niveau OSI 2 & 3 pour comprendre ce petit mécanisme...
J'espere que ceci aidera a ta compréhension du probleme
Pour comprendre le VLAN, il faut savoir distinguer deux niveaux du modele OSI qui sont la couche liaison de donnée et la couche réseau. La couche liaison de donnée est dans notre cas Ethernet et utilise l'adresse MAC des carte réseaux, et la couche réseau fournit un adresse LOGIQUE en utilisant l'adresse IP.
Un VLAN est un tunnel de niveau liaison de donnée... un tunnel VIRTUEL. Si bien que deux ports d'un meme switch apperement relié peuvent etre définis dans deux tunnels différents, si bien qu'une requete en broadcast MAC sur l'un n'atteindra jamais le second.
Pour cela, un switch mettant en oeuvre les VLAN ajoute un TAG (une notification) sur la trame ethernet qui désigne le VLAN d'ou provient la trame de données.
Pour pouvoir faire circuler du traffic entre deux VLAN, on utilise la couche supérieur (la couche réseau = IP) avec l'aide de routeurs, qui lui n'utilise pas l'adresse physique mais l'adrese logique pour prendre des décisions (l'adresse physique n'en dit pas assez pour décider !), simplement si on autorise tout le traffic d'un VLAN a passer sur les autres au niveau du routeur, on perd tout l'interet du VLAN.
Une ACL est un liste d'instruction comportant un deny all implicite a la fin, c'est a dire que par défaut une ACL refuse tout SAUF ce qu'on a autorisé.
Ces listes sont appliqués sur le traffic entrant ou sortant d'une interface.
Elles peuvent porter sur le procotole, l'adresse source ou destination et le port.
D'ou la nécéssité des ACLs.
D'un point de vu sécurité, dans ton cas, le routeur prend la décision a partir de l'adresse IP :
_si le paquet IP (niveau 3) est destiné a une adresse de ta DMZ, le routeur l'encapsulera dans une trame ethernet (niveau 2) taggé VLAN DMZ. Les commutateurs sauront donc que cette trame ne doit pas etre mélangé avec les autres VLAN.
_ de meme, si le paquet est destiné a une adresse de ta zone privée, la trame sera taggé et les commutateurs sauront qu'elle ne doit pas etre envoyé n'importe ou.
Comme tu vois, il faut jongler avec les niveau OSI 2 & 3 pour comprendre ce petit mécanisme...
J'espere que ceci aidera a ta compréhension du probleme
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Un grand merci Speardhead d'avoir pris le temps de m'expliquer tout ça. C'est vraiment sympa.
Avec ces explications, c'est beaucoup plus claire pour moi.
Je m'aperçois finalement qu'involontairement, j'ai configuré les choses telles que tu me le décris.
Le VLAN DMZ de mon switch est relié à la patte DMZ de mon firewall et le VLAN par défaut est relié à la patte LAN de mon firewall.
Et au niveau de ce firewall, j'avais effectivement configuré des ACL ( mais je ne connaissais pas le terme ) pour diriger le trafic de mon serveur Frontal Exchange vers le réseau...
Donc finalement, mon firewall avec ses trois pattes DMZ, LAN et WAN gère ça comme des VLAN... ;o)
D'après ce que j'ai lu dans les autres discussions, il faut avoir un switch de niveau 3 ou un routeur pour pouvoir faire communiquer les VLAN. Dans mon cas, j'utilise la 2ème option.
Je ne sais pas si mon switch est de niveau 3, mais dans la mesure ou je n'ai pas pu communiquer entre les 2 VLAN, j'en déduit que si c'est le cas, les ACL dont tu parles sont définis par défaut sur le switch pour tout refuser.
Donc pour en revenir à ma question de départ, je peux en conclure que c'est bien mon firewall qui va gérer tout ça et qu'il n'y a pas plus de risque comme ça qu'en ayant mis un switch différent sur chaque patte de mon firewall... J'ai raison ? j'ai bien compris la lecçon ?... ;o)
En tout cas, je me répète, mais merci beaucoup d'avoir pris le temps de m'expliqer tout ça. ça va beaucoup m'aider...
A+
Un grand merci Speardhead d'avoir pris le temps de m'expliquer tout ça. C'est vraiment sympa.
Avec ces explications, c'est beaucoup plus claire pour moi.
Je m'aperçois finalement qu'involontairement, j'ai configuré les choses telles que tu me le décris.
Le VLAN DMZ de mon switch est relié à la patte DMZ de mon firewall et le VLAN par défaut est relié à la patte LAN de mon firewall.
Et au niveau de ce firewall, j'avais effectivement configuré des ACL ( mais je ne connaissais pas le terme ) pour diriger le trafic de mon serveur Frontal Exchange vers le réseau...
Donc finalement, mon firewall avec ses trois pattes DMZ, LAN et WAN gère ça comme des VLAN... ;o)
D'après ce que j'ai lu dans les autres discussions, il faut avoir un switch de niveau 3 ou un routeur pour pouvoir faire communiquer les VLAN. Dans mon cas, j'utilise la 2ème option.
Je ne sais pas si mon switch est de niveau 3, mais dans la mesure ou je n'ai pas pu communiquer entre les 2 VLAN, j'en déduit que si c'est le cas, les ACL dont tu parles sont définis par défaut sur le switch pour tout refuser.
Donc pour en revenir à ma question de départ, je peux en conclure que c'est bien mon firewall qui va gérer tout ça et qu'il n'y a pas plus de risque comme ça qu'en ayant mis un switch différent sur chaque patte de mon firewall... J'ai raison ? j'ai bien compris la lecçon ?... ;o)
En tout cas, je me répète, mais merci beaucoup d'avoir pris le temps de m'expliqer tout ça. ça va beaucoup m'aider...
A+
Bonjour à tous,
Fort de toutes les infos que m'a donné Speardhead, j'ai voulu mettre en place ma petit mixture.
Mais voilà, je me suis heurté à un petit soucis auquel je ne m'attendait pas.
En fait, ce que je n'avais pas précisé, c'est que sur mes serveurs, j'ai 2 cartes réseaus redondantes.
Et visiblement, ça ne plait pas à mon switch...
Je m'explique : dans le VLAN appelé DMZ, je connecte une carte réseau ( l'autre est débranchée) et la patte DMZ de mon FireWall. Dans ce cas, tout fonction bien...
Si ensuite, je connecte la deuxième carte réseau pour la redondance du réseau de mon serveur, ça ne fonctionne plus...
En regardant sur le switch, je m'aperçois qu'en face des 2 ports connecté à mes carte réseau, il m'indique Dyn1... Ce ce dyn1 ne peut-être gérer que par le VLAN par défaut. JE n'arrive pas à l'attribuer au VLAN DMZ...
Je ne sais pas si je suis assez claire, mais si quelqu'un connait le problème et peut me dire si il y a un moyen de s'en sortir, ça m'aiderait beaucoup...
Merci d'avance à tous...
Fort de toutes les infos que m'a donné Speardhead, j'ai voulu mettre en place ma petit mixture.
Mais voilà, je me suis heurté à un petit soucis auquel je ne m'attendait pas.
En fait, ce que je n'avais pas précisé, c'est que sur mes serveurs, j'ai 2 cartes réseaus redondantes.
Et visiblement, ça ne plait pas à mon switch...
Je m'explique : dans le VLAN appelé DMZ, je connecte une carte réseau ( l'autre est débranchée) et la patte DMZ de mon FireWall. Dans ce cas, tout fonction bien...
Si ensuite, je connecte la deuxième carte réseau pour la redondance du réseau de mon serveur, ça ne fonctionne plus...
En regardant sur le switch, je m'aperçois qu'en face des 2 ports connecté à mes carte réseau, il m'indique Dyn1... Ce ce dyn1 ne peut-être gérer que par le VLAN par défaut. JE n'arrive pas à l'attribuer au VLAN DMZ...
Je ne sais pas si je suis assez claire, mais si quelqu'un connait le problème et peut me dire si il y a un moyen de s'en sortir, ça m'aiderait beaucoup...
Merci d'avance à tous...
brupala
Messages postés
109453
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 623
20 août 2007 à 13:29
20 août 2007 à 13:29
salut,
dyn1 ? ça veut dire quoi ? que le vlan est dynamique ? par adresse mac ? par protocole ?
si ton serveur a 2 cartes redondantes , il faut voir les utilitaires de ton serveur, mais normalement, tu dois pouvoir configurer ces 2 cartes pour qu' elles ne forment qu'une seule interface virtuelle ou bien des interfaces séparées au niveau adresses IP ou bien adresses MAC, là, il faudrait gérer en multilink 802.3ad
il faudrait donc que tu configures ton switch pour qu'il gére une interface multiports 802.3ad
il faut configurer un trunk lacp, je crois : ftp://ftp.hp.com/pub/networking/software/Mgmt-Oct2005-59906023-Chap12.pdf
En toute rigueur, les 2 cartes redondantes devraient d'ailleurs être reliées sur 2 switchs différents , mais c'est une autre histoire .
dyn1 ? ça veut dire quoi ? que le vlan est dynamique ? par adresse mac ? par protocole ?
si ton serveur a 2 cartes redondantes , il faut voir les utilitaires de ton serveur, mais normalement, tu dois pouvoir configurer ces 2 cartes pour qu' elles ne forment qu'une seule interface virtuelle ou bien des interfaces séparées au niveau adresses IP ou bien adresses MAC, là, il faudrait gérer en multilink 802.3ad
il faudrait donc que tu configures ton switch pour qu'il gére une interface multiports 802.3ad
il faut configurer un trunk lacp, je crois : ftp://ftp.hp.com/pub/networking/software/Mgmt-Oct2005-59906023-Chap12.pdf
En toute rigueur, les 2 cartes redondantes devraient d'ailleurs être reliées sur 2 switchs différents , mais c'est une autre histoire .
assanedjibril
Messages postés
1
Date d'inscription
lundi 20 août 2007
Statut
Membre
Dernière intervention
20 août 2007
20 août 2007 à 18:39
20 août 2007 à 18:39
Bonsoir,
Je vais configurer deux Vlan sur un Switch Cisco Catalyst 2950.
Pouriez vous m'aider à le faire.
Djbril
Je vais configurer deux Vlan sur un Switch Cisco Catalyst 2950.
Pouriez vous m'aider à le faire.
Djbril
Bonjour brupala et désolé pour le retard de ma réponse...
Pour répondre à tes questions, le serveur est un HP et les carte sont géré par son prorpre soft.
Ce soft cre une connexion réseau local 3 simulant une carte réseau unique qui tourne à 2 GB quand les 2 carte sont connectée.
Je suis d'accord avec toi qu'une carte par switch serait mieux, mais pour le moment, j'avance pas à pas pour comprendre totu ça avant d'allé plus loin et surtout, les finances ne suivent pas tout ce que je voudrais faire... ;o)
Côté switch, comme c'est un HP aussi, je pensais que ça se ferait tout seul... Bon je sais, je suis un peu naïf... ;o)
je ne suis pas familier avec tout les notion que tu dfonne, mais le lien que tu m'a trnasmi semble correspondre à ce que je cherche.
Il faut donc que je prenne le temps de le lire en détails et que je fasse des testes...
Un grand merci à toi et je reviendrais posté les résultats quand j'aurai avancé...
A+
Pour répondre à tes questions, le serveur est un HP et les carte sont géré par son prorpre soft.
Ce soft cre une connexion réseau local 3 simulant une carte réseau unique qui tourne à 2 GB quand les 2 carte sont connectée.
Je suis d'accord avec toi qu'une carte par switch serait mieux, mais pour le moment, j'avance pas à pas pour comprendre totu ça avant d'allé plus loin et surtout, les finances ne suivent pas tout ce que je voudrais faire... ;o)
Côté switch, comme c'est un HP aussi, je pensais que ça se ferait tout seul... Bon je sais, je suis un peu naïf... ;o)
je ne suis pas familier avec tout les notion que tu dfonne, mais le lien que tu m'a trnasmi semble correspondre à ce que je cherche.
Il faut donc que je prenne le temps de le lire en détails et que je fasse des testes...
Un grand merci à toi et je reviendrais posté les résultats quand j'aurai avancé...
A+
26 juil. 2007 à 17:43
Excuse moi pour la question qui va suivre, mais je débute sur ce sujet.
Tout ce que je connais, c'est ce que j'ai lu sur la doc de mon switch et les discussions de ce forum.
Alors je me lance : c'est quoi les ACL ?