Signaler

Problème pour sniffer paquet tagué

Posez votre question Quentin228 6Messages postés samedi 20 mai 2017Date d'inscription 15 août 2017 Dernière intervention - Dernière réponse le 20 mai 2017 à 16:43 par brupala
Bonjour,

Lors de la mise en place d'une infrastructure réseau d'entreprise durant un projet d'étude, je suis amené à configuré des vlan et réaliser donc le routage inter vlan.
Pour ceci j'ai crée mes vlans sur 3 switch cisco 2950 avec le protocole STP et attribué mes vlans aux différents ports.
Pour faire le routage j'utilise un routeur Zyxel sur lequel je crée mes adresses IP Virtuelles et des VLANs pour faire le routage. Je configure un second port sur ce routeur pour accéder au firewall pfsense qui filtre avant l'accès à internet (une route est crée pour aller vers 0.0.0.0 en passant par l'interface du pfsense)

Les postes ont donc comme passerelles l'ip virtuelles, les pings entre chaque vlan se font correctement.
Cependant lorsque je fais du port mirroring sur le port du switch trunk qui va vers le port du routeur Zyxel ou sont présentes les IP virtuelles, impossible de récupérer un paquet tagué VLAN.

Je ne comprend pas pourquoi les paquets ne sont pas tagué. Les vlans sur les switchs ont donc aucune utilité ?

J'accepte n'importe quels questions ou réponses pour m'éclaircir sur ce sujet...

merci beaucoup
Afficher la suite 
Utile
+0
plus moins
Salut,
Est ce que ton port miroir est bien configuré en trunk et laisse bien passer tous les vlan ?
Si tu mets ton pc de capture à la place du routeur, vois tu bien les tags dans wireshark ?
brupala 70671Messages postés lundi 16 juillet 2001Date d'inscription ModérateurStatut 22 août 2017 Dernière intervention - 20 mai 2017 à 15:21
Il faut que ton port miroir soit trunk, je ne suis pas sûr qu'il le passe directement quand tu mires un port trunk.
à la place du routeur, en coupant la connexion quelques minutes , le temps d'une petite capture.
Mettre un hub, ce serait pour choper le traffic sur une longue période, et de plus, les hubs sont le plus souvent 10Mbit/s, il y a eu des 100 mais ils doivent être difficiles à trouver aujourd'hui, quand au gigabit, il n'y en a jamais eu, je pense.
Répondre
Quentin228 6Messages postés samedi 20 mai 2017Date d'inscription 15 août 2017 Dernière intervention - 20 mai 2017 à 15:47
D'accord, merci du conseil.. En quoi le fait que le hub soit en 10Mbit/s empêche le transfert des paquets des VLANs ?

Et une autre question, est-ce que les ip virtuelles doivent apparaître dans un tracert ? Car elles n'apparaissent pas du tout.

Sinon vu que j'ai plusieurs switch en STP, je peux tester de mirror un port trunk qui interconnecte 2 switchs, et pinger deux vlans entre eux qui se situent sur deux switchs différents non ?

Penses tu que utiliser un zyxel zywall 70 est une solution adapté pour réaliser du routage inter vlan avec des switchs cisco 2950 ?
Répondre
brupala 70671Messages postés lundi 16 juillet 2001Date d'inscription ModérateurStatut 22 août 2017 Dernière intervention - 20 mai 2017 à 16:05
Non, c'est juste que le débit du réseau sera ralenti, c'est tout, ça ne gêne pas normalement sur un hub à moins qu'il jette les trames de plus de 1500 octets, mais bon, elles ne sont pas toutes de cette taille.
L'adresse ip d'un routeur sur une sous interface (c'est ce que tu appelles virtuelle, je suppose) n'est pas du tout virtuelle, mais bien réelle, sur un traceroute, tu dois avoir l'adresse de l'interface sous laquelle tu rentres dans le routeur, mais bon, elle peut être recopiée d'une autre interface (ip unumbered ....)
Pour le zyxel,
à priori, ton réseau fonctionne , non ?
PS,
si tu as des spanning-tree, attention de ne pas aller sniffer un port bloqué dans le STP.
Répondre
Quentin228 6Messages postés samedi 20 mai 2017Date d'inscription 15 août 2017 Dernière intervention - 20 mai 2017 à 16:19
En ce qui concerne le STP je sais vérifier quel port est bloqué oui tqt :)

Oui mon réseau fonctionne mais quelques trucs sont encore un peu flou. Je n'ai pas accès aux équipements ce week end donc je ne pourrait pas tester ce que tu m'as dis :/

En ce qui concerne l'organisation de mes VLANs sur mes switchs, j'ai le VLAN 10, 20, 30.
Niveau sécurité et optimisation tu me conseilles de faire comment ?
Actuellement chaque switch a 3 zones pour les 3 vlans, mais le mieux serait de faire un switch pour chaque vlan par exemple non ?

Merci vraiment pour tes réponses venant d'un vrai professionnel j'imagine, qui me sont d'une grande utilité pour mon projet.
Répondre
brupala 70671Messages postés lundi 16 juillet 2001Date d'inscription ModérateurStatut 22 août 2017 Dernière intervention - 20 mai 2017 à 16:43
mais le mieux serait de faire un switch pour chaque vlan par exemple non ?
je suppose que les switchs suivent la répartition géographique, mais pas les vlans.
après, un switch par vlan, ça veut dire pas de vlan ...
Vu que les vlans servent à avoir plusieurs réseaux différents sur un même switch.
Répondre
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !