Des VLAN pour faire ça ?

Non cela s'appelle multinetting (doc HP) :

Multinetting: Assigning Multiple IP Addresses to a VLAN. For a given
VLAN you can assign up to eight IP addresses. This allows you to combine
two
or more subnets on the same VLAN, which enables devices in the combined
subnets to communicate normally through the network without needing to
reconfigure the IP addressing in any of the combined subnets.

Non, ce que je décris, c'est du L2, pas du L3, donc pas besoin d'IP.

Non cela s'appelle multinetting (doc HP) :

Multinetting: Assigning Multiple IP Addresses to a VLAN. For a given
VLAN you can assign up to eight IP addresses. This allows you to combine
two
or more subnets on the same VLAN, which enables devices in the combined
subnets to communicate normally through the network without needing to
reconfigure the IP addressing in any of the combined subnets.

Puisque tu aimes les extraits de doc, voici un extrait de doc D-Link
(documentation du 3028 qui est L2) :

"Network resources such as printers and servers however, can be shared
across VLANs. This is achieved by setting up overlapping
VLANs. That is ports can belong to more than one VLAN group. For
example, setting VLAN 1 members to ports 1, 2, 3, and 4
and VLAN 2 members to ports 1, 5, 6, and 7. Port 1 belongs to two VLAN
groups."

Il n'est pas question d'attribuer plusieurs IP à un VLAN.

Ici, l'idée est que toutes les machines soient sur le même subnet. Les
VLAN servent à isoler des groupes de machines les une des autres.

Exemple :

J'ai 5 machines A, B, C, D, E, un serveur, une imprimante réseau et un
routeur pour l'internet. Les machines A,B,E peuvent faire de l'internet,
B,C,D peuvent accéder au serveur, C, D, E peuvent imprimer.

Je mets le serveur sur le port 1, l'imprimante sur le port 2, le routeur
sur le port 3.

Je mets les machines sur les ports A, B, C, D, E

Je crée 3 VLAN :

Impression, VID=2
Serveur, VID=3
Internet, VID=4

Je mets les ports 1,12,13,14 dans le VLAN 2
Je mets les ports 2,13,14,15 dans le VLAN 3
Je mets les ports 3,11,12,15 dans le VLAN 3

Maintenant, tout fonctionne sans avoir à définir la moindre IP.

A mon avis, il faut que le switch implémente le VPID.

Tout à fait. Les switchs D-Link le font. Les HP en fonction de la
version de firmware. Pour Cisco j'en suis resté à ce qu'ils refusent de
le faire au prétexte que c'est une faille de sécurité. Pour les autres
marques, j'ai pas regardé.

Non cela s'appelle multinetting (doc HP) :

Multinetting: Assigning Multiple IP Addresses to a VLAN. For a given
VLAN you can assign up to eight IP addresses. This allows you to combine
two
or more subnets on the same VLAN, which enables devices in the combined
subnets to communicate normally through the network without needing to
reconfigure the IP addressing in any of the combined subnets.

Puisque tu aimes les extraits de doc, voici un extrait de doc D-Link
(documentation du 3028 qui est L2) :

"Network resources such as printers and servers however, can be shared
across VLANs. This is achieved by setting up overlapping
VLANs. That is ports can belong to more than one VLAN group. For
example, setting VLAN 1 members to ports 1, 2, 3, and 4
and VLAN 2 members to ports 1, 5, 6, and 7. Port 1 belongs to two VLAN
groups."

Il n'est pas question d'attribuer plusieurs IP à un VLAN.

Ici, l'idée est que toutes les machines soient sur le même subnet. Les
VLAN servent à isoler des groupes de machines les une des autres.

Exemple :

J'ai 5 machines A, B, C, D, E, un serveur, une imprimante réseau et un
routeur pour l'internet. Les machines A,B,E peuvent faire de l'internet,
B,C,D peuvent accéder au serveur, C, D, E peuvent imprimer.

Je mets le serveur sur le port 1, l'imprimante sur le port 2, le routeur
sur le port 3.

Je mets les machines sur les ports A, B, C, D, E

Je crée 3 VLAN :

Impression, VID=2
Serveur, VID=3
Internet, VID=4

Je mets les ports 1,12,13,14 dans le VLAN 2
Je mets les ports 2,13,14,15 dans le VLAN 3
Je mets les ports 3,11,12,15 dans le VLAN 3

Maintenant, tout fonctionne sans avoir à définir la moindre IP.



Il y a peut-être un léger décalage (pa exemple, impression vid=2, C,d et

E peuvent imprimer, mais ce sont B, C et D qui sont dans le VLAN 2).
Peut importe, mais la question que je me pose est : par exemple, si le
poste A devait pouvoir immprimer, le port 11 searit aussi dans le VLAN
2. Dans ce cas, les VLAN 2 et 4 (je suppose que le 4ème est le VLAN 4 et
pas 3) ne sont plus étanches : les machines A et B sont toutes les deux
dans les deux.
Peut-on assurer que ces postes ne pourront pas communiquer entre eux, ou
faut-il passer par le niveau IP pour cela (mais il est tellement facile
de modifier la config IP d'un PC ...).
Merci.
Didier.

Il y a peut-être un léger décalage (pa exemple, impression vid=2, C,d et
E peuvent imprimer, mais ce sont B, C et D qui sont dans le VLAN 2).
Peut importe, mais la question que je me pose est : par exemple, si le
poste A devait pouvoir immprimer, le port 11 searit aussi dans le VLAN
2. Dans ce cas, les VLAN 2 et 4 (je suppose que le 4ème est le VLAN 4 et
pas 3) ne sont plus étanches : les machines A et B sont toutes les deux
dans les deux.
Peut-on assurer que ces postes ne pourront pas communiquer entre eux, ou
faut-il passer par le niveau IP pour cela (mais il est tellement facile
de modifier la config IP d'un PC ...).
Merci.
Didier.

Effectivement, tu as raison sur les 2 points ;-)

Dans le cas que tu exposes, ce n'est plus étanche, mais en y
réfléchissant, c'est comme de dire :

- Paul doit être dans le même bureau que Jean car ils ont un projet commun

- Jean doit être dans le même bureau que Michel car ils ont un projet en
commun.

- Michel ne doit pas être dans le même bureau que Paul car ils ne
doivent pas pouvoir communiquer directement.

Il faut parfois faire des choix...

Salut tout le monde !

Voilà ce que je souhaite faire :
[...]

Salut,

Je vais sans doute dire une con****ie, mais est-ce que tu ne peux pas
déléguer cette tâche à un système de type login/passwd (celui de l'OS
des machines par exemple ?)

Cela si évidement tu peux définir des comptes d'accès pour ton logiciel
réseau.

En général, pour les imprimantes ou les accès internet, on trouve des
serveurs et proxy qui font cela (payant ou gratuit).

Donc pas de VLAN, seuls peuvent accéder aux applis et impr. ceux qui ont
les privilèges pour le faire. Pas d'accès DIRECT Internet, mais via un
proxy qui "n'ouvre la porte" qu'aux titulaires d'un compte habilité.

Pas possible ça ?

Charly

Peut-on assurer que ces postes ne pourront pas communiquer entre eux, ou
faut-il passer par le niveau IP pour cela (mais il est tellement facile
de modifier la config IP d'un PC ...).

A bien y réfléchir, si on veut bloquer l'accès entre 2 machines du même
vlan, il suffit d'écrire une ACL basée sur les ports interdisant la
communication.

Il y a peut-être un léger décalage (pa exemple, impression vid=2, C,d et
E peuvent imprimer, mais ce sont B, C et D qui sont dans le VLAN 2).
Peut importe, mais la question que je me pose est : par exemple, si le
poste A devait pouvoir immprimer, le port 11 searit aussi dans le VLAN
2. Dans ce cas, les VLAN 2 et 4 (je suppose que le 4ème est le VLAN 4 et
pas 3) ne sont plus étanches : les machines A et B sont toutes les deux
dans les deux.
Peut-on assurer que ces postes ne pourront pas communiquer entre eux, ou
faut-il passer par le niveau IP pour cela (mais il est tellement facile
de modifier la config IP d'un PC ...).
Merci.
Didier.

Effectivement, tu as raison sur les 2 points ;-)

Dans le cas que tu exposes, ce n'est plus étanche, mais en y
réfléchissant, c'est comme de dire :

- Paul doit être dans le même bureau que Jean car ils ont un projet commun

- Jean doit être dans le même bureau que Michel car ils ont un projet en
commun.

- Michel ne doit pas être dans le même bureau que Paul car ils ne
doivent pas pouvoir communiquer directement.

Il faut parfois faire des choix...
C'est vrai.

Merci.
Didier.