Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Des VLAN pour faire ça ?

18 réponses
Avatar
tech08
Salut tout le monde !

Voilà ce que je souhaite faire :

(Impression) Toutes les machines

(Serveur de fichiers) Toutes les machines

(Internet) B1
B2
B3
B4
B5
B6
B7
B8
B9
B10

(Logiciel réseau) B2
B4
B8 B11
B13
B14
B15

Comment puis-je faire ça ? Avec des VLAN de niveau 1 ? C'est possible de
définir un port dans plusieurs VLAN ?
Ensuite, si c'est possible comme ça, les machines doivent toutes êtres sur
le même réseau pour pouvoir communiquer ensemble (selon les séparations
VLAN) ?

Merci d'avance ;-)

10 réponses

1 2
Avatar
mikael.kermorgant.nospam
On 12 avr, 23:18, "tech08" wrote:
Salut tout le monde !

Voilà ce que je souhaite faire :

(Impression) Toutes les machines

(Serveur de fichiers) Toutes les machines

(Internet) B1
B2
B3
B4
B5
B6
B7
B8
B9
B10

(Logiciel réseau) B2
B4
B8 B11
B13
B14
B15

Comment puis-je faire ça ? Avec des VLAN de niveau 1 ? C'est possible de
définir un port dans plusieurs VLAN ?
Ensuite, si c'est possible comme ça, les machines doivent toutes êtres sur
le même réseau pour pouvoir communiquer ensemble (selon les séparati ons
VLAN) ?

Merci d'avance ;-)


Je suis pas sûr de te suivre A la base, les vlans servent à isoler des
groupes de machines les un des autres sur des réseaux différents
(partageant seulement l'infrastructure hardware). Si tu te lances dans
la mise en place de vlan, il te faudra faire du filtrage inter-vlan
sur ton routeur (gère-t-il les vlans ?). Dans ce cas, je mettrais la
machine B2 (logiciel réseau) dans un vlan qu'on pourrait appeler "vlan
serveur", et ensuite, tu fais tes règles d'accès sur ton routeur.

Mikael

Avatar
tech08
"" a écrit
dans le message de groupe de discussion :

On 12 avr, 23:18, "tech08" wrote:
Salut tout le monde !

Voilà ce que je souhaite faire :

(Impression) Toutes les machines

(Serveur de fichiers) Toutes les machines

(Internet) B1
B2
B3
B4
B5
B6
B7
B8
B9
B10

(Logiciel réseau) B2
B4
B8
B11
B13
B14
B15

Comment puis-je faire ça ? Avec des VLAN de niveau 1 ? C'est possible de
définir un port dans plusieurs VLAN ?
Ensuite, si c'est possible comme ça, les machines doivent toutes êtres
sur
le même réseau pour pouvoir communiquer ensemble (selon les séparations
VLAN) ?

Merci d'avance ;-)


Je suis pas sûr de te suivre A la base, les vlans servent à isoler des
groupes de machines les un des autres sur des réseaux différents
(partageant seulement l'infrastructure hardware). Si tu te lances dans
la mise en place de vlan, il te faudra faire du filtrage inter-vlan
sur ton routeur (gère-t-il les vlans ?). Dans ce cas, je mettrais la
machine B2 (logiciel réseau) dans un vlan qu'on pourrait appeler "vlan
serveur", et ensuite, tu fais tes règles d'accès sur ton routeur.

Mikael


Impression, serveur de fichiers, internet et logiciel réseau sont des
fonctionnalités. Les B_quelque_chose sont les machines. Par exemple, B3 ne
doit pas pouvoir accéder au logiciel réseau mais doit avoir internet, alors
que B2 doit pouvoir accéder à internet ET au logiciel réseau. A la rigueur,
dans ma vision des choses, les fonctionnalités, on peut dire qu'il s'agit de
mes différents VLAN. Si j'ai bien pigé, j'vais devoir utiliser un
commutateur de niveau 3 avec fonctions de routage inter VLAN car un port ne
peut être que dans un seul VLAN si le commutateur ne joue pas au niveau de
la couche 3. Après je me plante peut-être ou y'a peut-être une autre
solution, c'est ce que j'attends de savoir :)


Avatar
Didier
"" a
écrit dans le message de groupe de discussion :

On 12 avr, 23:18, "tech08" wrote:
Salut tout le monde !

Voilà ce que je souhaite faire :

(Impression) Toutes les machines

(Serveur de fichiers) Toutes les machines

(Internet) B1
B2
B3
B4
B5
B6
B7
B8
B9
B10

(Logiciel réseau) B2
B4
B8 B11
B13
B14
B15

Comment puis-je faire ça ? Avec des VLAN de niveau 1 ? C'est possible de
définir un port dans plusieurs VLAN ?
Ensuite, si c'est possible comme ça, les machines doivent toutes
êtres sur
le même réseau pour pouvoir communiquer ensemble (selon les séparations
VLAN) ?

Merci d'avance ;-)




Impression, serveur de fichiers, internet et logiciel réseau sont des
fonctionnalités. Les B_quelque_chose sont les machines. Par exemple, B3
ne doit pas pouvoir accéder au logiciel réseau mais doit avoir internet,
alors que B2 doit pouvoir accéder à internet ET au logiciel réseau. A la
rigueur, dans ma vision des choses, les fonctionnalités, on peut dire
qu'il s'agit de mes différents VLAN. Si j'ai bien pigé, j'vais devoir
utiliser un commutateur de niveau 3 avec fonctions de routage inter VLAN
car un port ne peut être que dans un seul VLAN si le commutateur ne joue
pas au niveau de la couche 3. Après je me plante peut-être ou y'a
peut-être une autre solution, c'est ce que j'attends de savoir :)
Je ne suis pas spécialiste, mais un port peut être dans plusieurs VLAN.

Ensuite, il faut déterminer à quels types de VLAN tu penses : par port,
par adresse mac, par protocole, ...
Il me semble que pour que cela ait un sens, ton logiciel réseau
correspond à une machine serveur (VLAN par port), ou à un protocole, ...
enfin à un des critères de constitution des VLAN.
Idem pour les autres fonctionnalités (on imagine que Internet correspond
à un routeur avec une patte vers l'extérieur).
Didier.



Avatar
GuiGui

Je ne suis pas spécialiste, mais un port peut être dans plusieurs VLAN.


Ça dépend de deux choses : la marque/modèle de switch et de la version
du firmware utilisée. Certaines marques refusent d'implémenter le
multi-vlan (802.1q), d'autres avaient supprimé puis réimplanté cette
fonctionnalité, d'autres l'ont toujours eu.

Ensuite, il faut déterminer à quels types de VLAN tu penses : par port,
par adresse mac, par protocole, ...


On peut le faire avec un matériel gérant le multi-vlan L2 en 802.1q

Il me semble que pour que cela ait un sens, ton logiciel réseau
correspond à une machine serveur (VLAN par port), ou à un protocole, ...
enfin à un des critères de constitution des VLAN.
Idem pour les autres fonctionnalités (on imagine que Internet correspond
à un routeur avec une patte vers l'extérieur).


Perso, si je devais implémenter ça uniquement avec des switchs L2, je
créerait un vlan 802.1q pour le serveur, un autre pour l'accès internet,
un pour l'accès entre machines, et je mettrais les machines dans l'un ou
l'autre vlan ou plusieurs en fonction des accès demandés.

Avatar
Didier
Perso, si je devais implémenter ça uniquement avec des switchs L2, je
créerait un vlan 802.1q pour le serveur, un autre pour l'accès internet,
un pour l'accès entre machines, et je mettrais les machines dans l'un ou
l'autre vlan ou plusieurs en fonction des accès demandés.
C'est aussi ce qui me paraît logique, mais je suis loin d'être très

costaud sur ce sujet.
Je débute plutôt, en autodidacte qui plus est (j'en suis à la QoS, je
commence à comprendre, ainsi que les ports tagged et untagged).
Didier.

Avatar
mikael.kermorgant.nospam
On 13 avr, 16:23, Didier wrote:
GuiGui a écrit :> Perso, si je devais implémenter ça uniquement avec des switchs L2, je
créerait un vlan 802.1q pour le serveur, un autre pour l'accès inter net,
un pour l'accès entre machines, et je mettrais les machines dans l'un ou
l'autre vlan ou plusieurs en fonction des accès demandés.


C'est aussi ce qui me paraît logique, mais je suis loin d'être très
costaud sur ce sujet.
Je débute plutôt, en autodidacte qui plus est (j'en suis à la QoS, j e
commence à comprendre, ainsi que les ports tagged et untagged).
Didier.


Tu peux mettre plusieurs vlans sur un même port de switch. ça
s'appelle du "trunking" ou "port trunk" me semble-t-il.
Maintenant, tu ne mets pas des fonctionnalités sur tel ou tel vlan
mais une machine sur tel ou tel vlan, je suis donc plutôt sceptique
par rapport à la proposition ci-dessus (sous réserve d'avoir mal
compris).
Tu vas définir pour chaque vlan :
* un numéro de vlan (qui servira pour le tag ajouté aux trames
ethernet)
* une adresse de réseau

Pour la fonction de routage, tu peux choisir un switch de niveau 3 ou
un routeur.
Perso, je vais probablement monter un routeur avec openbsd avec 2
interfaces, dont l'une sera sur un port trunk (avec création de sub
interfaces correspondant à chaque vlan et filtrage basé sur ces sub-
interfaces). Mais ce filtrage ne sera réalisé que lorsqu'une machine
fera une requête vers une adresse hors de son adresse de réseau et
c'est ça qui va déterminer sur quel vlan tu le mets (c'est pourquoi le
vlan accès internet me paraît superflu en fait).

Voila voila, j'espère que ça apporte un peu d'eau à ton moulin :)

Bonne continuation,

Mikael


Avatar
GuiGui

Tu peux mettre plusieurs vlans sur un même port de switch. ça
s'appelle du "trunking" ou "port trunk" me semble-t-il.


Non, non, non. Le trunking de vlans c'est quand tu mets plusieurs vlans
taggués sur un port. Dans ce cas, il faut que l'équipement connecté sur
ce port supporte ce mode (un autre switch L2 ou un serveur avec une
interface supportant les vlans).

Attention : le truncking de ports c'est autre chose : c'est de
l'aggrégation de ports (on regroupe plusieurs ports pour communiquer
entre 2 switchs pour augmenter le débit). Se méfier sur les docs, c'est
parfois pas très clair.

Ce dont je parle, c'est de mettre plusieurs vlans en mode untagged sur
un même port. J'ai précisé que ce n'est pas supporté par tous les
switchs (lire les docs avant d'acheter).


Maintenant, tu ne mets pas des fonctionnalités sur tel ou tel vlan
mais une machine sur tel ou tel vlan, je suis donc plutôt sceptique
par rapport à la proposition ci-dessus (sous réserve d'avoir mal
compris).


Vi, mal compris ;-) Je mets le serveur sur un vlan, le routeur sur un
autre. Les machines sur d'autres vlans (un vlan par groupe de machines à
isoler du reste). Chaque port correspondant à une machine est en untag
sur plusieurs vlans (les vlans avec lesquels j'autorise la connexion).

J'avoue que ce n'est pas l'utilisation normale des vlans, mais ça
fonctionne.

Tu vas définir pour chaque vlan :
* un numéro de vlan (qui servira pour le tag ajouté aux trames
ethernet)


oui

* une adresse de réseau



Pas utile en L2.

Pour la fonction de routage, tu peux choisir un switch de niveau 3 ou
un routeur.


Si le routeur supporte les vlans.

Inconvénient de ta méthode : tu est obligé de subnetter ton réseau (ou
utiliser des subnets différents pour chaque groupe de machine).

Si tu fais tout en L2, toutes les machines sont sur le même subnet.

Avatar
Didier

Tu peux mettre plusieurs vlans sur un même port de switch. ça
s'appelle du "trunking" ou "port trunk" me semble-t-il.


Non, non, non. Le trunking de vlans c'est quand tu mets plusieurs vlans
taggués sur un port. Dans ce cas, il faut que l'équipement connecté sur
ce port supporte ce mode (un autre switch L2 ou un serveur avec une
interface supportant les vlans).

Attention : le truncking de ports c'est autre chose : c'est de
l'aggrégation de ports (on regroupe plusieurs ports pour communiquer
entre 2 switchs pour augmenter le débit). Se méfier sur les docs, c'est
parfois pas très clair.

Ce dont je parle, c'est de mettre plusieurs vlans en mode untagged sur
un même port. J'ai précisé que ce n'est pas supporté par tous les
switchs (lire les docs avant d'acheter).


Si j'ai bien compris la notion, un switch L2 qui autorise plusieurs

numéros de VLANs untagged sur un même port doit implémenter la notion de
PVId sur chaque port, afin qu'une trame untagged entrant sur ce port
puisse éventuellement être tagguée en sortant si nécessaire.
Didier.


Avatar
Arnal

Tu peux mettre plusieurs vlans sur un même port de switch. ça
s'appelle du "trunking" ou "port trunk" me semble-t-il.




Non le trunking (dénomination Cisco) ou LACP (Link Aggregation Control
Protocol) ou 802.3ad c'est (doc HP) :

Port trunking allows you to assign up to eight physical links to one
logical link (trunk) that functions as a single, higher-speed link
providing dramatically increased bandwidth. This capability applies to
connections between backbone devices as well as to connections in other
network areas where traffic bottlenecks exist. A trunk group is a set of
up to eight ports configured as members of the same port trunk.


Non, non, non. Le trunking de vlans c'est quand tu mets plusieurs vlans
taggués sur un port. Dans ce cas, il faut que l'équipement connecté sur
ce port supporte ce mode (un autre switch L2 ou un serveur avec une
interface supportant les vlans).


La c'est dans le 802.1p/Q qu'il faut chercher


Attention : le truncking de ports c'est autre chose : c'est de
l'aggrégation de ports (on regroupe plusieurs ports pour communiquer
entre 2 switchs pour augmenter le débit). Se méfier sur les docs, c'est
parfois pas très clair.

Ce dont je parle, c'est de mettre plusieurs vlans en mode untagged sur
un même port. J'ai précisé que ce n'est pas supporté par tous les
switchs (lire les docs avant d'acheter).



Non cela s'appelle multinetting (doc HP) :

Multinetting: Assigning Multiple IP Addresses to a VLAN. For a given
VLAN you can assign up to eight IP addresses. This allows you to combine two
or more subnets on the same VLAN, which enables devices in the combined
subnets to communicate normally through the network without needing to
reconfigure the IP addressing in any of the combined subnets.



Maintenant, tu ne mets pas des fonctionnalités sur tel ou tel vlan
mais une machine sur tel ou tel vlan, je suis donc plutôt sceptique
par rapport à la proposition ci-dessus (sous réserve d'avoir mal
compris).


Vi, mal compris ;-) Je mets le serveur sur un vlan, le routeur sur un
autre. Les machines sur d'autres vlans (un vlan par groupe de machines à
isoler du reste). Chaque port correspondant à une machine est en untag
sur plusieurs vlans (les vlans avec lesquels j'autorise la connexion).

J'avoue que ce n'est pas l'utilisation normale des vlans, mais ça
fonctionne.

Tu vas définir pour chaque vlan :
* un numéro de vlan (qui servira pour le tag ajouté aux trames
ethernet)


oui

* une adresse de réseau



Pas utile en L2.

Pour la fonction de routage, tu peux choisir un switch de niveau 3 ou
un routeur.


Si le routeur supporte les vlans.

Inconvénient de ta méthode : tu est obligé de subnetter ton réseau (ou
utiliser des subnets différents pour chaque groupe de machine).

Si tu fais tout en L2, toutes les machines sont sur le même subnet.



Avatar
Didier

Tu peux mettre plusieurs vlans sur un même port de switch. ça
s'appelle du "trunking" ou "port trunk" me semble-t-il.




Non le trunking (dénomination Cisco) ou LACP (Link Aggregation Control
Protocol) ou 802.3ad c'est (doc HP) :

Port trunking allows you to assign up to eight physical links to one
logical link (trunk) that functions as a single, higher-speed link
providing dramatically increased bandwidth. This capability applies to
connections between backbone devices as well as to connections in other
network areas where traffic bottlenecks exist. A trunk group is a set of
up to eight ports configured as members of the same port trunk.


Non, non, non. Le trunking de vlans c'est quand tu mets plusieurs vlans
taggués sur un port. Dans ce cas, il faut que l'équipement connecté sur
ce port supporte ce mode (un autre switch L2 ou un serveur avec une
interface supportant les vlans).


La c'est dans le 802.1p/Q qu'il faut chercher


Attention : le truncking de ports c'est autre chose : c'est de
l'aggrégation de ports (on regroupe plusieurs ports pour communiquer
entre 2 switchs pour augmenter le débit). Se méfier sur les docs, c'est
parfois pas très clair.

Ce dont je parle, c'est de mettre plusieurs vlans en mode untagged sur
un même port. J'ai précisé que ce n'est pas supporté par tous les
switchs (lire les docs avant d'acheter).



Non cela s'appelle multinetting (doc HP) :

Multinetting: Assigning Multiple IP Addresses to a VLAN. For a given
VLAN you can assign up to eight IP addresses. This allows you to combine
two
or more subnets on the same VLAN, which enables devices in the combined
subnets to communicate normally through the network without needing to
reconfigure the IP addressing in any of the combined subnets.


Non, il ne s'agit pas de mettre plusieurs IP sur le même port, mais de

mettre un même port en untagged dans plusieurs VLAN.
A mon avis, il faut que le switch implémente le VPID.
Didier.



1 2