Création
d'entreprise
Posez votre question Signaler

Probleme VLAN [Résolu]

Etn - Dernière réponse le 8 avril 2008 à 16:14
Bonjour, je suis actuellement en stage dans une entreprise mettant en place des solutions téléphonique et informatique. Une de leur société (X) cliente voudrait que l'on mette en place des vlans.
Cette entreprise possède (entre autre) deux switchs: un AT-8350GB et un D-Link DES3550, tout les deux manageables et supportant les vlans. D'autres entreprises (Y) vont s'installer dans les mêmes locaux. La problématique est que l'entreprise X ne veut pas que Y est accès à son réseaux mais souhaite qu'un télécopieur soit disponible pour les deux réseaux. Une des solutions est de créer un vlan par port (niveau 1) pour X et un pour Y.
Au bureaux nous avons un switch AT8000S, sur lequel j'ai pu mettre en place cette configuration: un vlan1 pour le port1 (accueillant X), un vlan2 pour le port2 (accueillant Y). Le port3 (destiné au télécopieur) appartient au deux vlans.
--------------Vlan1-------------Vlan2
port1-------tagged----------forbidden
port2-------forbidden-------tagged
port3-------tagged----------tagged
Avec cette configuration cela fonctionnait comme voulu : port1 ne peut pinger port2 et inversement mais port1 et port2 peuvent pinger port3.
J'ai ensuite voulu faire la même chose sur l'AT8350GB de l'entreprise, seulement la configuration se fait différemment et je ne peut faire appartenir un port à plusieurs vlan. Soit, nous "embarquons" le switch DES3550 pour le configurer au bureaux. J'essaye de mettre en place une configuration similaire sur ce switch.
Problème: lorsque je met en place la même configuration que sur l'AT8000s, le port1 et le port2 ne peuvent se pinger, seulement aucun d'eux n'a accès au port3 "commun".
Si je ne tag pas un des vlan sur le port3, celui y a accès mais pas l'autre et je ne peut pas untagged le port3 pour les deux vlan (erreur untagged vlan overlapped).
Voila où j'en suis. Je ne vois pas quel solution adopter et sur quel switch la mettre en place. La solution viendrait peut être des liens Trunk (de vlan et non d'agrégation) mais je n'ai pas trop compris leur fonctionnement. Pourriez vous m'éclairer à ce sujet s'il vous plait?
J'espère avoir été clair. Si ce n'est pas le cas, faites le moi savoir.
Merci d'avance pour votre attention et votre aide.
Lire la suite 

Probleme VLAN »

6 réponses
Réponse
+2
moins plus
ianvs 541Messages postés 26 juin 2007Date d'inscription 8 avril 2008 à 15:51
Je confirme que les VLANs sont au niveau 2 (ethernet) et que normalement 2 VLANs ont un plan d'adressage différent.

Leur affectation pas port est un fonctionnement normal et avoir le même subnet pour deux VLANs n'est absolument pas normal (et ça ne marche que par effet de bord quand ça marche).

Le filtrage par adresse MAC correspond à un autre mécanisme et l'affectation dans des VLANs en fonction de l'adresse MAC est également un autre mécanisme.

A priori, un seul de tes équipements permet de faire ce que tu veux (avoir un port dans deux VLANs en même temps), mais attention le routeur devra aussi être sur un port de même type pour donner l'accès à Internet aux deux sociétés.

Cordialement,

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
kiki 8 avril 2008 à 14:00
Bonjour,

Par defaut les ports doivent être en type access et untagged
Les VLAN sont destines a segmenter les LAN.

Le port type access avec plusieurs VLAN tagged sert pour les liens inter-switch. Plusieurs VLAN passent par le même lien mais restent "etanches" (c'est la raison d'etre des VLAN).
Autrement il faut un peripherique qui gere les VLAN.

La solution est de creer un VLAN 3 pour le fax.
Mettre des IP sur les interface de VLAN et creer des regles de routage statique ou des ACL.

Il en faudra de toute facon pour acceder au net...

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Etn 8 avril 2008 à 14:54
Tout d'abord merci a tous d'avoir répondu aussi vite.

Ianvs je ne suis pas d'accord avec ton Vlan=niveau2 : un vlan niveau 2 correspond a un filtrage d'adresse MAC or je souhaite segmenter mon réseau au niveau des ports physiques du switch (ce qui est bien de niveau 1) car en définitif un switch sera pour EntrepriseX et un pour EntrepriseY.

Si j'ai bien compris ce que tu m'as dit:
_ l'AT8000s possède un fonctionnement particulier pour ce qui est de faire passer plusieurs Vlan dans un même port. Donc une des solutions serait d'échanger l'AT8350GB de l'entreprise par l'AT8000s en mettant une configuration "identique" a la première réalisée au bureau. Est ce propre?
_ Etant donné que je ne veut pas toucher a l'adressage du réseau et que les switch que j'ai ne font pas de PVLan, désolé mais je ne retiens pas t'es solutions.

Cependant, l'idée du routeur m'intéresse: si je branche le télécopieur sur le routeur de l'entreprise ou a un "niveau au dessus" des switchs, est ce que celui ci sera vu par les deux Vlans?

Cordialement

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Etn 8 avril 2008 à 16:11
Bon, ianvs je ne suis toujours pas d'accord avec toi: ce que tu me dis ne correspond pas a la documentation que j'ai pu trouver sur internet (cf http://www.commentcamarche.net/internet/vlan.php3 par exemple).

MAIS ce n'est pas grave car j'ai trouver la solution : le DES3550 gère la QoS et propose une segmentation du trafic port par port. C'est a dire qu'il est possible de régler pour chaque port a quel(s) port(s) celui ci peut transmettre une trame.
J'ai donc mis la configuration suivante:
_ le port 1 (liaison entre les deux switchs) ne peut transmettre qu'au port 2 (télécopieur)
_ le port 2 peut transmettre a tous les ports
_ les ports 3 à 50 peuvent transmettre a tous les ports sauf le 1

Cette méthode me semble "propre" et fonctionnelle!

Un grand MERCI a tous (surtout ianvs) pour votre disponibilité!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
kiki 8 avril 2008 à 16:14
Bonjour,

On peut avoir le meme plan d'adressage pour 2 VLAN. Mais dans ce cas c'est pas possible de les faire communiquer. Un seul des 2 VLAN sera routable.

Les switchs de niveau 2 (vlan par port) se raccordent a un routeur (niveau 3) ou a un switch de niveau 3.

Les switchs de niveau 3 peuvent faire du routage.

Si le routeur possede 3 interfaces LAN et une interface WAN, alors il est possible de raccorder chaque switch sur une interface LAN du routeur et le fax sur la 3e interface LAN. Attention : je parle bien d'interface IP ! Le routage c'est du niveau 3.

Si le routeur n'a qu'une interface LAN (une seule adresse IP), alors il faut faire gerer le routage par un switch de niveau 3.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
-1
moins plus
ianvs 541Messages postés 26 juin 2007Date d'inscription 8 avril 2008 à 14:03
Bonjour,

D'abord quelques rappels :
* VLAN = niveau 2 (par définition)
* chaque VLAN a son propre plan d'adressage
* les échanges entre VLANs se fait via un routeur (ou tout équipement disposant de la fonction de routage : Firewall, switch niveau 3)
Les machines acceptant qu'un port appartienne à plusieurs VLANs ne sont pas nombreuses et ce fonctionnement tient plus de l'effet de bord que du fonctionnement normal.

Le lien Trunk :
Lien "inter-switch" qui permet de faire transiter les numéros de VLANs pour conserver leur appartenance.
Objectif : avoir un seul lien entre deux commutateurs qui permette de faire transiter tous les VLANs et non pas un lien par VLAN (avec 15 VLANs on imagine tout de suite l'économie de ce type de lien). Généralement ce lien Trunk a un débit plus élevé que les liens "normaux".

La solution "propre" n°1 :
3 VLANs avec chacun un plan d'adressage :
VLAN1 : 192.168.1.0 / 24
VLAN2 : 192.168.2.0 / 24
VLAN3 : 192.168.3.0 / 24
Et un routeur pour connecter tout le monde (avec des filtres pour que 1 ne puisse pas communiquer avec 2).

La solution "propre" n°2 :
Disposer d'un switch permettant de faire du PVLAN (Private VLAN) :
PVLAN 1 = inclus dans le VLAN1
PVLAN 2 = inclus dans le VLAN1
Promiscuous mode : visible depuis tous les PVLANs d'un VLAN "maitre"
Port 1 : PVLAN 1
Port 2 : PVLAN 2
Port 2 : Promiscuous mode
=> les machines que tu mentionnes ne font pas ça.

Cordialement,

Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Probleme VLAN » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?