je bosse dans un immeuble où plusieurs associations utilisent le même
réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin
d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes
photocopieurs/imprimante en réseau.
D'où ma question :
pensez-vous qu'il soit possible de créer autant de VLAN (à partir des
adresses MAC) que d'associations tout en permettant aux
photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN afin
que toutes les asso y aient accès ?
Je précise que je viens de découvrir la notion de VLAN et je ne suis pas
du tout sûr que ce soit la solution la plus appropriée.
je bosse dans un immeuble où plusieurs associations utilisent le même réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes photocopieurs/imprimante en réseau.
D'où ma question : pensez-vous qu'il soit possible de créer autant de VLAN (à partir des adresses MAC) que d'associations tout en permettant aux photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN afin que toutes les asso y aient accès ?
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont configurés en mode accès (switchport access vlan XX) et tu mets imprimante et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Je précise que je viens de découvrir la notion de VLAN et je ne suis pas du tout sûr que ce soit la solution la plus appropriée.
Le protocole 802.1q (VLAN) sert à isoler des réseaux donc je pense que la notion de VLAN est tout à fait justifiée dans ton cas.
-- Jérôme Descoux.
SD wrote:
je bosse dans un immeuble où plusieurs associations utilisent le même
réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin
d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes
photocopieurs/imprimante en réseau.
D'où ma question :
pensez-vous qu'il soit possible de créer autant de VLAN (à partir des
adresses MAC) que d'associations tout en permettant aux
photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN afin
que toutes les asso y aient accès ?
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont
configurés en mode accès (switchport access vlan XX) et tu mets imprimante
et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu
définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Je précise que je viens de découvrir la notion de VLAN et je ne suis pas
du tout sûr que ce soit la solution la plus appropriée.
Le protocole 802.1q (VLAN) sert à isoler des réseaux donc je pense que
la notion de VLAN est tout à fait justifiée dans ton cas.
je bosse dans un immeuble où plusieurs associations utilisent le même réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes photocopieurs/imprimante en réseau.
D'où ma question : pensez-vous qu'il soit possible de créer autant de VLAN (à partir des adresses MAC) que d'associations tout en permettant aux photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN afin que toutes les asso y aient accès ?
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont configurés en mode accès (switchport access vlan XX) et tu mets imprimante et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Je précise que je viens de découvrir la notion de VLAN et je ne suis pas du tout sûr que ce soit la solution la plus appropriée.
Le protocole 802.1q (VLAN) sert à isoler des réseaux donc je pense que la notion de VLAN est tout à fait justifiée dans ton cas.
-- Jérôme Descoux.
SD
Salut,
merci de la réponse. Ca nécessite pour moi des recherches complémentaires mais au moins, j'ai les mots clés nécessaires.
A+
Stéphane.
Salut,
merci de la réponse. Ca nécessite pour moi des recherches
complémentaires mais au moins, j'ai les mots clés nécessaires.
merci de la réponse. Ca nécessite pour moi des recherches complémentaires mais au moins, j'ai les mots clés nécessaires.
A+
Stéphane.
kurtz_le_pirate
"SD" a écrit dans le message de news: 4395534c$0$20141$
Bonjour,
je bosse dans un immeuble où plusieurs associations utilisent le même réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes photocopieurs/imprimante en réseau.
D'où ma question : pensez-vous qu'il soit possible de créer autant de VLAN (à partir des adresses MAC) que d'associations tout en permettant aux photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN afin que toutes les asso y aient accès ?
Je précise que je viens de découvrir la notion de VLAN et je ne suis pas du tout sûr que ce soit la solution la plus appropriée.
Merci de vos réponses.
Stéphane.
juste une idée comme ça : tu mets des réseaux différents pour chaque association et tu mets plusieurs adresse ip sur la même carte du du photocopieur... si celui-çi le permet bien sûr.
"SD" <contact@s-delahaye.com> a écrit dans le message de news:
4395534c$0$20141$8fcfb975@news.wanadoo.fr...
Bonjour,
je bosse dans un immeuble où plusieurs associations utilisent le
même réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin
d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes
photocopieurs/imprimante en réseau.
D'où ma question :
pensez-vous qu'il soit possible de créer autant de VLAN (à partir
des adresses MAC) que d'associations tout en permettant aux
photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN
afin que toutes les asso y aient accès ?
Je précise que je viens de découvrir la notion de VLAN et je ne suis
pas du tout sûr que ce soit la solution la plus appropriée.
Merci de vos réponses.
Stéphane.
juste une idée comme ça : tu mets des réseaux différents pour chaque
association et tu mets plusieurs adresse ip sur la même carte du du
photocopieur... si celui-çi le permet bien sûr.
"SD" a écrit dans le message de news: 4395534c$0$20141$
Bonjour,
je bosse dans un immeuble où plusieurs associations utilisent le même réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes photocopieurs/imprimante en réseau.
D'où ma question : pensez-vous qu'il soit possible de créer autant de VLAN (à partir des adresses MAC) que d'associations tout en permettant aux photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN afin que toutes les asso y aient accès ?
Je précise que je viens de découvrir la notion de VLAN et je ne suis pas du tout sûr que ce soit la solution la plus appropriée.
Merci de vos réponses.
Stéphane.
juste une idée comme ça : tu mets des réseaux différents pour chaque association et tu mets plusieurs adresse ip sur la même carte du du photocopieur... si celui-çi le permet bien sûr.
SD
J'aurais plutôt pensé à ce shéma là : - mettre en place des VLAN dynamiques basés sur la reconnaissance des adresses MAC - dans les bases d'adresses MAC de chaque VLAN, y inclure les adresses MAC des photocopieurs.
Ta proposition, si je la comprends bien est : - d'associer les ports des switchs aux prises murales (effectivement 95% des postes sont fixes) en fonction des VLAN à constituer - de créer 2 trunks sur lesquels sont branchés les photocopieurs réseau
Si je comprend bien, il s'agit d'une utilisation détournée du trunk qui est normalement prévu pour relier deux "appareils" entre eux. Non ?
Merci pour les éventuelles réponses.
Stéphane.
Bonjour,
je bosse dans un immeuble où plusieurs associations utilisent le même réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes photocopieurs/imprimante en réseau.
D'où ma question : pensez-vous qu'il soit possible de créer autant de VLAN (à partir des adresses MAC) que d'associations tout en permettant aux photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN afin que toutes les asso y aient accès ?
Je précise que je viens de découvrir la notion de VLAN et je ne suis pas du tout sûr que ce soit la solution la plus appropriée.
Merci de vos réponses.
Stéphane.
J'aurais plutôt pensé à ce shéma là :
- mettre en place des VLAN dynamiques basés sur la reconnaissance des
adresses MAC
- dans les bases d'adresses MAC de chaque VLAN, y inclure les adresses
MAC des photocopieurs.
Ta proposition, si je la comprends bien est :
- d'associer les ports des switchs aux prises murales (effectivement 95%
des postes sont fixes) en fonction des VLAN à constituer
- de créer 2 trunks sur lesquels sont branchés les photocopieurs réseau
Si je comprend bien, il s'agit d'une utilisation détournée du trunk qui
est normalement prévu pour relier deux "appareils" entre eux. Non ?
Merci pour les éventuelles réponses.
Stéphane.
Bonjour,
je bosse dans un immeuble où plusieurs associations utilisent le même
réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin
d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes
photocopieurs/imprimante en réseau.
D'où ma question :
pensez-vous qu'il soit possible de créer autant de VLAN (à partir des
adresses MAC) que d'associations tout en permettant aux
photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN afin
que toutes les asso y aient accès ?
Je précise que je viens de découvrir la notion de VLAN et je ne suis pas
du tout sûr que ce soit la solution la plus appropriée.
J'aurais plutôt pensé à ce shéma là : - mettre en place des VLAN dynamiques basés sur la reconnaissance des adresses MAC - dans les bases d'adresses MAC de chaque VLAN, y inclure les adresses MAC des photocopieurs.
Ta proposition, si je la comprends bien est : - d'associer les ports des switchs aux prises murales (effectivement 95% des postes sont fixes) en fonction des VLAN à constituer - de créer 2 trunks sur lesquels sont branchés les photocopieurs réseau
Si je comprend bien, il s'agit d'une utilisation détournée du trunk qui est normalement prévu pour relier deux "appareils" entre eux. Non ?
Merci pour les éventuelles réponses.
Stéphane.
Bonjour,
je bosse dans un immeuble où plusieurs associations utilisent le même réseau physique (ethernet 5E...).
Tous les postes sont sous W$ (entre 2000 et XP).
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Cependant, toutes ces asso utilisent les 2 mêmes photocopieurs/imprimante en réseau.
D'où ma question : pensez-vous qu'il soit possible de créer autant de VLAN (à partir des adresses MAC) que d'associations tout en permettant aux photocopieurs/imprimantes d'être présents sur l'ensemble des VLAN afin que toutes les asso y aient accès ?
Je précise que je viens de découvrir la notion de VLAN et je ne suis pas du tout sûr que ce soit la solution la plus appropriée.
Merci de vos réponses.
Stéphane.
SD
J'y avais pensé, mais j'ai du mal à obtenir l'info auprès des constructeurs.
De plus, se pose la question de l'accès à Internet via des routeurs tout simples à 2 ports (WAN / LAN) avec une seule adresse LAN possible...
Mais peut-être qu'en jouant avec les masques il y a une possibilité.
A+
Stéphane.
J'y avais pensé, mais j'ai du mal à obtenir l'info auprès des constructeurs.
De plus, se pose la question de l'accès à Internet via des routeurs tout
simples à 2 ports (WAN / LAN) avec une seule adresse LAN possible...
Mais peut-être qu'en jouant avec les masques il y a une possibilité.
J'y avais pensé, mais j'ai du mal à obtenir l'info auprès des constructeurs.
De plus, se pose la question de l'accès à Internet via des routeurs tout simples à 2 ports (WAN / LAN) avec une seule adresse LAN possible...
Mais peut-être qu'en jouant avec les masques il y a une possibilité.
A+
Stéphane.
Étienne Labaume
Le Tue, 6 Dec 2005 10:24:43 +0000 (UTC), Jérôme nous disait:
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
[...]
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont configurés en mode accès (switchport access vlan XX) et tu mets imprimante et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement être réglé grâce à des sous-réseaux ?
-- Tinou
Le Tue, 6 Dec 2005 10:24:43 +0000 (UTC), Jérôme nous disait:
J'aimerais que les associations soient sur des réseaux séparés afin
d'éviter l'accés notamment aux dossiers partagés, etc.
[...]
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont
configurés en mode accès (switchport access vlan XX) et tu mets imprimante
et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu
définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement
être réglé grâce à des sous-réseaux ?
Le Tue, 6 Dec 2005 10:24:43 +0000 (UTC), Jérôme nous disait:
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
[...]
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont configurés en mode accès (switchport access vlan XX) et tu mets imprimante et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement être réglé grâce à des sous-réseaux ?
-- Tinou
Guillaume
Bonjour Étienne,
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont configurés en mode accès (switchport access vlan XX) et tu mets imprimante et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement être réglé grâce à des sous-réseaux ?
Théoriquement si, mais la sécurité apportée par un vlan est supérieure.
Généralement, on attribue un réseau subnetté à chaque vlan que l'on crée, ce qui correspond à ce que tu suggères (et s'il y a un gateway, son interface a une adresse virtuelle dans chacune des plages gérées, et est en mode trunk).
Toutefois, si l'un des postes choisit de reconfigurer son paramétrage IP manuellement, il fait sauter le cloisonnement créé par les sous-réseaux, et accède à tout. Si cependant le port du switch sur lequel il est connecté est assigné à un vlan, c'est comme s'il était cloisonné physiquement. Si l'usager change d'IP/de masque, il perd la connexion et ne va pas plus loin.
-- Guillaume
Bonjour Étienne,
J'aimerais que les associations soient sur des réseaux séparés afin
d'éviter l'accés notamment aux dossiers partagés, etc.
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont
configurés en mode accès (switchport access vlan XX) et tu mets imprimante
et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu
définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement
être réglé grâce à des sous-réseaux ?
Théoriquement si, mais la sécurité apportée par un vlan est supérieure.
Généralement, on attribue un réseau subnetté à chaque vlan que l'on
crée, ce qui correspond à ce que tu suggères (et s'il y a un gateway,
son interface a une adresse virtuelle dans chacune des plages gérées,
et est en mode trunk).
Toutefois, si l'un des postes choisit de reconfigurer son paramétrage
IP manuellement, il fait sauter le cloisonnement créé par les
sous-réseaux, et accède à tout. Si cependant le port du switch sur
lequel il est connecté est assigné à un vlan, c'est comme s'il était
cloisonné physiquement. Si l'usager change d'IP/de masque, il perd la
connexion et ne va pas plus loin.
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont configurés en mode accès (switchport access vlan XX) et tu mets imprimante et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement être réglé grâce à des sous-réseaux ?
Théoriquement si, mais la sécurité apportée par un vlan est supérieure.
Généralement, on attribue un réseau subnetté à chaque vlan que l'on crée, ce qui correspond à ce que tu suggères (et s'il y a un gateway, son interface a une adresse virtuelle dans chacune des plages gérées, et est en mode trunk).
Toutefois, si l'un des postes choisit de reconfigurer son paramétrage IP manuellement, il fait sauter le cloisonnement créé par les sous-réseaux, et accède à tout. Si cependant le port du switch sur lequel il est connecté est assigné à un vlan, c'est comme s'il était cloisonné physiquement. Si l'usager change d'IP/de masque, il perd la connexion et ne va pas plus loin.
-- Guillaume
Guillaume
Bonjour Étienne,
Étienne Labaume a wroté :
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont
configurés en mode accès (switchport access vlan XX) et tu mets imprimante et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement être réglé grâce à des sous-réseaux ?
Théoriqument si, mais le cloisonnement est très vite limité.
Prenons un exemple : dans 192.168.1.0/24 , on a : 192.168.1.1/24 routeur (gw) 192.168.1.2/24 serveur de fichiers 192.168.1.3/24 imprimante / copieur
Tous les autres postes en 192.168.1.[4-62], masque 255.255.255.192 accèdent normalement aux trois éléments. Bien Maintenant si on prend la plage suivante, 192.168.1.[65-126], son adresse de réseau est 192.168.1.64 et son broadcast 192.168.1.127.
Si on lui met un masque en 255.255.255.192, elle n'accède pas aux éléments. Elle le fait avec un masque en 255.255.255.128 ... mais dans ce cas les postes de cette plage accèderont non seulement aux troix éléments, mais aussi à tous ceux de la première plage (qui ne pourront pas leur répondre, soit, mais bon, ça limite vite les possibilités).
La sécurité apportée par un vlan est supérieure.
Généralement, on attribue un réseau subnetté à chaque vlan que l'on crée, ce qui correspond à ce que tu suggères. L'interface de la gateway a une adresse virtuelle dans chacune des plages gérées, et est en mode trunk pour voir tout le monde.
Si l'on ne gère que les masques, si l'un des postes choisit de reconfigurer son paramétrage IP manuellement, il fait sauter le cloisonnement créé par les sous-réseaux, et accède à tous les auteres sous-réseaux.
Si cependant le port du switch sur lequel il est connecté est assigné à un vlan, c'est comme s'il était cloisonné physiquement. Si l'usager change d'IP/de masque, il perd la connexion et ne va pas plus loin. C'est ensuite sur la gateway que l'on crée des ACLs qui vont le cas échéant permettre d'aller d'un vlan à l'autre, ou sur quelq ports on pourra franchir la gateway, ou aller sur un serveur géré par un port en mode trunk. Le cloisonnement est plus fin, et il ne peut pas être contourné.
-- Guillaume
Bonjour Étienne,
Étienne Labaume a wroté :
J'aimerais que les associations soient sur des réseaux séparés afin
d'éviter l'accés notamment aux dossiers partagés, etc.
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont
configurés en mode accès (switchport access vlan XX) et tu mets imprimante
et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu
définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement
être réglé grâce à des sous-réseaux ?
Théoriqument si, mais le cloisonnement est très vite limité.
Prenons un exemple : dans 192.168.1.0/24 , on a :
192.168.1.1/24 routeur (gw)
192.168.1.2/24 serveur de fichiers
192.168.1.3/24 imprimante / copieur
Tous les autres postes en 192.168.1.[4-62], masque 255.255.255.192
accèdent normalement aux trois éléments. Bien
Maintenant si on prend la plage suivante, 192.168.1.[65-126], son
adresse de réseau est 192.168.1.64 et son broadcast 192.168.1.127.
Si on lui met un masque en 255.255.255.192, elle n'accède pas aux
éléments. Elle le fait avec un masque en 255.255.255.128 ... mais dans
ce cas les postes de cette plage accèderont non seulement aux troix
éléments, mais aussi à tous ceux de la première plage (qui ne pourront
pas leur répondre, soit, mais bon, ça limite vite les possibilités).
La sécurité apportée par un vlan est supérieure.
Généralement, on attribue un réseau subnetté à chaque vlan que l'on
crée, ce qui correspond à ce que tu suggères. L'interface de la
gateway a une adresse virtuelle dans chacune des plages gérées, et est
en mode trunk pour voir tout le monde.
Si l'on ne gère que les masques, si l'un des postes choisit de
reconfigurer son paramétrage IP manuellement, il fait sauter le
cloisonnement créé par les sous-réseaux, et accède à tous les auteres
sous-réseaux.
Si cependant le port du switch sur lequel il est connecté est assigné
à un vlan, c'est comme s'il était cloisonné physiquement. Si l'usager
change d'IP/de masque, il perd la connexion et ne va pas plus loin.
C'est ensuite sur la gateway que l'on crée des ACLs qui vont le cas
échéant permettre d'aller d'un vlan à l'autre, ou sur quelq ports on
pourra franchir la gateway, ou aller sur un serveur géré par un port
en mode trunk. Le cloisonnement est plus fin, et il ne peut pas être
contourné.
J'aimerais que les associations soient sur des réseaux séparés afin d'éviter l'accés notamment aux dossiers partagés, etc.
Selon moi, tu relies physiquement tes ordinateurs sur des ports qui sont
configurés en mode accès (switchport access vlan XX) et tu mets imprimante et photocopieur sur des ports en mode trunk (switchport mode trunk) et tu définies les VLAN autorisés (switchport trunk allowed vlan XX,XX,XX).
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement être réglé grâce à des sous-réseaux ?
Théoriqument si, mais le cloisonnement est très vite limité.
Prenons un exemple : dans 192.168.1.0/24 , on a : 192.168.1.1/24 routeur (gw) 192.168.1.2/24 serveur de fichiers 192.168.1.3/24 imprimante / copieur
Tous les autres postes en 192.168.1.[4-62], masque 255.255.255.192 accèdent normalement aux trois éléments. Bien Maintenant si on prend la plage suivante, 192.168.1.[65-126], son adresse de réseau est 192.168.1.64 et son broadcast 192.168.1.127.
Si on lui met un masque en 255.255.255.192, elle n'accède pas aux éléments. Elle le fait avec un masque en 255.255.255.128 ... mais dans ce cas les postes de cette plage accèderont non seulement aux troix éléments, mais aussi à tous ceux de la première plage (qui ne pourront pas leur répondre, soit, mais bon, ça limite vite les possibilités).
La sécurité apportée par un vlan est supérieure.
Généralement, on attribue un réseau subnetté à chaque vlan que l'on crée, ce qui correspond à ce que tu suggères. L'interface de la gateway a une adresse virtuelle dans chacune des plages gérées, et est en mode trunk pour voir tout le monde.
Si l'on ne gère que les masques, si l'un des postes choisit de reconfigurer son paramétrage IP manuellement, il fait sauter le cloisonnement créé par les sous-réseaux, et accède à tous les auteres sous-réseaux.
Si cependant le port du switch sur lequel il est connecté est assigné à un vlan, c'est comme s'il était cloisonné physiquement. Si l'usager change d'IP/de masque, il perd la connexion et ne va pas plus loin. C'est ensuite sur la gateway que l'on crée des ACLs qui vont le cas échéant permettre d'aller d'un vlan à l'autre, ou sur quelq ports on pourra franchir la gateway, ou aller sur un serveur géré par un port en mode trunk. Le cloisonnement est plus fin, et il ne peut pas être contourné.
-- Guillaume
Étienne Labaume
Le Tue, 06 Dec 2005 16:32:35 +0100, Guillaume nous disait:
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement être réglé grâce à des sous-réseaux ?
Théoriqument si, mais le cloisonnement est très vite limité.
Prenons un exemple : dans 192.168.1.0/24 , on a : 192.168.1.1/24 routeur (gw) 192.168.1.2/24 serveur de fichiers 192.168.1.3/24 imprimante / copieur
Tous les autres postes en 192.168.1.[4-62], masque 255.255.255.192 accèdent normalement aux trois éléments. Bien Maintenant si on prend la plage suivante, 192.168.1.[65-126], son adresse de réseau est 192.168.1.64 et son broadcast 192.168.1.127.
Si on lui met un masque en 255.255.255.192, elle n'accède pas aux éléments. Elle le fait avec un masque en 255.255.255.128 ... mais dans ce cas les postes de cette plage accèderont non seulement aux troix éléments, mais aussi à tous ceux de la première plage (qui ne pourront pas leur répondre, soit, mais bon, ça limite vite les possibilités).
Ben, désolé de ma nioubitude, mais je me rends compte que je n'ai pas compris un truc: Qu'est-ce qui nécessite qu'une machine ait sa passerelle par défaut sur le même sous-réseau ? Effectivement, quand je parcours tous les HOWTOs grâce auxquels j'ai appris grosso-merdo comment fonctionne IPv4, je m'aperçois que tous les exemples de configuration font appel à une passerelle sur le même sous-réseau. Mais ça ne me dit pas si c'est obligatoire, ni pourquoi ...
P't-être c'est tout le Tannenbaum que je dois lire ?
Sinon, je viens de lire la RFC 3069, et je comprends bien l'intérêt des VLANs.
-- Tinou
Le Tue, 06 Dec 2005 16:32:35 +0100, Guillaume nous disait:
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement
être réglé grâce à des sous-réseaux ?
Théoriqument si, mais le cloisonnement est très vite limité.
Prenons un exemple : dans 192.168.1.0/24 , on a :
192.168.1.1/24 routeur (gw)
192.168.1.2/24 serveur de fichiers
192.168.1.3/24 imprimante / copieur
Tous les autres postes en 192.168.1.[4-62], masque 255.255.255.192
accèdent normalement aux trois éléments. Bien
Maintenant si on prend la plage suivante, 192.168.1.[65-126], son
adresse de réseau est 192.168.1.64 et son broadcast 192.168.1.127.
Si on lui met un masque en 255.255.255.192, elle n'accède pas aux
éléments. Elle le fait avec un masque en 255.255.255.128 ... mais dans
ce cas les postes de cette plage accèderont non seulement aux troix
éléments, mais aussi à tous ceux de la première plage (qui ne pourront
pas leur répondre, soit, mais bon, ça limite vite les possibilités).
Ben, désolé de ma nioubitude, mais je me rends compte que je n'ai pas
compris un truc: Qu'est-ce qui nécessite qu'une machine ait sa passerelle
par défaut sur le même sous-réseau ? Effectivement, quand je parcours
tous les HOWTOs grâce auxquels j'ai appris grosso-merdo comment
fonctionne IPv4, je m'aperçois que tous les exemples de configuration
font appel à une passerelle sur le même sous-réseau. Mais ça ne me dit
pas si c'est obligatoire, ni pourquoi ...
P't-être c'est tout le Tannenbaum que je dois lire ?
Sinon, je viens de lire la RFC 3069, et je comprends bien l'intérêt des
VLANs.
Le Tue, 06 Dec 2005 16:32:35 +0100, Guillaume nous disait:
Juste pour ma culture: Ce genre de problème ne peut-il pas simplement être réglé grâce à des sous-réseaux ?
Théoriqument si, mais le cloisonnement est très vite limité.
Prenons un exemple : dans 192.168.1.0/24 , on a : 192.168.1.1/24 routeur (gw) 192.168.1.2/24 serveur de fichiers 192.168.1.3/24 imprimante / copieur
Tous les autres postes en 192.168.1.[4-62], masque 255.255.255.192 accèdent normalement aux trois éléments. Bien Maintenant si on prend la plage suivante, 192.168.1.[65-126], son adresse de réseau est 192.168.1.64 et son broadcast 192.168.1.127.
Si on lui met un masque en 255.255.255.192, elle n'accède pas aux éléments. Elle le fait avec un masque en 255.255.255.128 ... mais dans ce cas les postes de cette plage accèderont non seulement aux troix éléments, mais aussi à tous ceux de la première plage (qui ne pourront pas leur répondre, soit, mais bon, ça limite vite les possibilités).
Ben, désolé de ma nioubitude, mais je me rends compte que je n'ai pas compris un truc: Qu'est-ce qui nécessite qu'une machine ait sa passerelle par défaut sur le même sous-réseau ? Effectivement, quand je parcours tous les HOWTOs grâce auxquels j'ai appris grosso-merdo comment fonctionne IPv4, je m'aperçois que tous les exemples de configuration font appel à une passerelle sur le même sous-réseau. Mais ça ne me dit pas si c'est obligatoire, ni pourquoi ...
P't-être c'est tout le Tannenbaum que je dois lire ?
Sinon, je viens de lire la RFC 3069, et je comprends bien l'intérêt des VLANs.
-- Tinou
Vincent Bernat
OoO Pendant le repas du mardi 06 décembre 2005, vers 19:36, Étienne Labaume disait:
Ben, désolé de ma nioubitude, mais je me rends compte que je n'ai pas compris un truc: Qu'est-ce qui nécessite qu'une machine ait sa passerelle par défaut sur le même sous-réseau ? Effectivement, quand je parcours tous les HOWTOs grâce auxquels j'ai appris grosso-merdo comment fonctionne IPv4, je m'aperçois que tous les exemples de configuration font appel à une passerelle sur le même sous-réseau. Mais ça ne me dit pas si c'est obligatoire, ni pourquoi ...
Si la passerelle par défaut n'est pas dans le même sous-réseau, comment peut-il l'atteindre ? Il doit passer par une autre machine, laquelle ? S'il la connait, c'est cette machine qui devient passerelle par défaut. -- Don't use conditional branches as a substitute for a logical expression. - The Elements of Programming Style (Kernighan & Plauger)
OoO Pendant le repas du mardi 06 décembre 2005, vers 19:36, Étienne
Labaume <etienne.lab@wanadoo.fr> disait:
Ben, désolé de ma nioubitude, mais je me rends compte que je n'ai pas
compris un truc: Qu'est-ce qui nécessite qu'une machine ait sa passerelle
par défaut sur le même sous-réseau ? Effectivement, quand je parcours
tous les HOWTOs grâce auxquels j'ai appris grosso-merdo comment
fonctionne IPv4, je m'aperçois que tous les exemples de configuration
font appel à une passerelle sur le même sous-réseau. Mais ça ne me dit
pas si c'est obligatoire, ni pourquoi ...
Si la passerelle par défaut n'est pas dans le même sous-réseau,
comment peut-il l'atteindre ? Il doit passer par une autre machine,
laquelle ? S'il la connait, c'est cette machine qui devient passerelle
par défaut.
--
Don't use conditional branches as a substitute for a logical expression.
- The Elements of Programming Style (Kernighan & Plauger)
OoO Pendant le repas du mardi 06 décembre 2005, vers 19:36, Étienne Labaume disait:
Ben, désolé de ma nioubitude, mais je me rends compte que je n'ai pas compris un truc: Qu'est-ce qui nécessite qu'une machine ait sa passerelle par défaut sur le même sous-réseau ? Effectivement, quand je parcours tous les HOWTOs grâce auxquels j'ai appris grosso-merdo comment fonctionne IPv4, je m'aperçois que tous les exemples de configuration font appel à une passerelle sur le même sous-réseau. Mais ça ne me dit pas si c'est obligatoire, ni pourquoi ...
Si la passerelle par défaut n'est pas dans le même sous-réseau, comment peut-il l'atteindre ? Il doit passer par une autre machine, laquelle ? S'il la connait, c'est cette machine qui devient passerelle par défaut. -- Don't use conditional branches as a substitute for a logical expression. - The Elements of Programming Style (Kernighan & Plauger)
