Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux qui
vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec les
serveurs tout en gardant le même sous-réseau.
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux qui
vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec les
serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
rr
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ? ici je pensais à un procurve 2510-48.
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux
qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec les
serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce
n'est pas standard ?
ici je pensais à un procurve 2510-48.
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ? ici je pensais à un procurve 2510-48.
GuiGui
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui lui semblent utiles ou commercialement attractives de façon à créer une gamme cohérente et concurrentielle. Il est clair que si tu mets toute les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux
qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec
les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce
n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer
les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui
lui semblent utiles ou commercialement attractives de façon à créer une
gamme cohérente et concurrentielle. Il est clair que si tu mets toute
les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus
cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui lui semblent utiles ou commercialement attractives de façon à créer une gamme cohérente et concurrentielle. Il est clair que si tu mets toute les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
rr
GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui lui semblent utiles ou commercialement attractives de façon à créer une gamme cohérente et concurrentielle. Il est clair que si tu mets toute les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Merci pour l'information. Pour avoir cette fonctionnalité sur un 48 ports quel modèle me conseilleriez vous ?
RR
GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux
qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec
les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités,
ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer
les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui
lui semblent utiles ou commercialement attractives de façon à créer une
gamme cohérente et concurrentielle. Il est clair que si tu mets toute
les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus
cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Merci pour l'information.
Pour avoir cette fonctionnalité sur un 48 ports quel modèle me
conseilleriez vous ?
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui lui semblent utiles ou commercialement attractives de façon à créer une gamme cohérente et concurrentielle. Il est clair que si tu mets toute les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Merci pour l'information. Pour avoir cette fonctionnalité sur un 48 ports quel modèle me conseilleriez vous ?
RR
rr
rr a écrit :
GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui lui semblent utiles ou commercialement attractives de façon à créer une gamme cohérente et concurrentielle. Il est clair que si tu mets toute les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Merci pour l'information. Pour avoir cette fonctionnalité sur un 48 ports quel modèle me conseilleriez vous ?
RR
J'ai trouvé des switchs a routage IP statique (niveau IP) mais pas de blocage de communication inter-port (niveau ethernet)
rr a écrit :
GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux
qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec
les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités,
ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer
les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités
qui lui semblent utiles ou commercialement attractives de façon à
créer une gamme cohérente et concurrentielle. Il est clair que si tu
mets toute les fonctionnalités d'un switch à 3000€ dans un switch à
100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Merci pour l'information.
Pour avoir cette fonctionnalité sur un 48 ports quel modèle me
conseilleriez vous ?
RR
J'ai trouvé des switchs a routage IP statique (niveau IP) mais pas de
blocage de communication inter-port (niveau ethernet)
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui lui semblent utiles ou commercialement attractives de façon à créer une gamme cohérente et concurrentielle. Il est clair que si tu mets toute les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Merci pour l'information. Pour avoir cette fonctionnalité sur un 48 ports quel modèle me conseilleriez vous ?
RR
J'ai trouvé des switchs a routage IP statique (niveau IP) mais pas de blocage de communication inter-port (niveau ethernet)
GuiGui
rr a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui lui semblent utiles ou commercialement attractives de façon à créer une gamme cohérente et concurrentielle. Il est clair que si tu mets toute les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Merci pour l'information. Pour avoir cette fonctionnalité sur un 48 ports quel modèle me conseilleriez vous ?
RR
J'ai trouvé des switchs a routage IP statique (niveau IP) mais pas de blocage de communication inter-port (niveau ethernet)
Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un private vlan, vous pouvez mettre des ports en mode "isolated" (ne communiquent pas avec les autres ports qui sont dans ce mode) ou en mode "promiscuous" (communiquent avec tous les ports du private vlan). Il existe également le mode "community" : les ports dans ce mode communiquent entre-eux et avec les promiscuous mais pas avec les isolated.
Je pense que ça doit exister chez les autres constructeurs.
rr a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés
(ceux qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec
les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités,
ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports,
gérer les vlans, snmp) mais chaque constructeur ajoute des
fonctionnalités qui lui semblent utiles ou commercialement
attractives de façon à créer une gamme cohérente et concurrentielle.
Il est clair que si tu mets toute les fonctionnalités d'un switch à
3000€ dans un switch à 100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Merci pour l'information.
Pour avoir cette fonctionnalité sur un 48 ports quel modèle me
conseilleriez vous ?
RR
J'ai trouvé des switchs a routage IP statique (niveau IP) mais pas de
blocage de communication inter-port (niveau ethernet)
Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un
private vlan, vous pouvez mettre des ports en mode "isolated" (ne
communiquent pas avec les autres ports qui sont dans ce mode) ou en mode
"promiscuous" (communiquent avec tous les ports du private vlan). Il
existe également le mode "community" : les ports dans ce mode
communiquent entre-eux et avec les promiscuous mais pas avec les isolated.
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de bloquer la communication entre les ports, sauf ceux autorisés (ceux qui vont vers les serveurs) Le but étant de ne pas communiquer avec son voisin mais juste avec les serveurs tout en gardant le même sous-réseau.
merci,
Ça dépend des switchs, certains permettent de le faire.
Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce n'est pas standard ?
Non. Les fonctionnalités de base sont standard (gérer les ports, gérer les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui lui semblent utiles ou commercialement attractives de façon à créer une gamme cohérente et concurrentielle. Il est clair que si tu mets toute les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus cher ne se vendra pas.
ici je pensais à un procurve 2510-48.
Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
Merci pour l'information. Pour avoir cette fonctionnalité sur un 48 ports quel modèle me conseilleriez vous ?
RR
J'ai trouvé des switchs a routage IP statique (niveau IP) mais pas de blocage de communication inter-port (niveau ethernet)
Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un private vlan, vous pouvez mettre des ports en mode "isolated" (ne communiquent pas avec les autres ports qui sont dans ce mode) ou en mode "promiscuous" (communiquent avec tous les ports du private vlan). Il existe également le mode "community" : les ports dans ce mode communiquent entre-eux et avec les promiscuous mais pas avec les isolated.
Je pense que ça doit exister chez les autres constructeurs.
GuiGui
GuiGui a écrit :
Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un private vlan, vous pouvez mettre des ports en mode "isolated" (ne communiquent pas avec les autres ports qui sont dans ce mode) ou en mode "promiscuous" (communiquent avec tous les ports du private vlan). Il existe également le mode "community" : les ports dans ce mode communiquent entre-eux et avec les promiscuous mais pas avec les isolated.
Je pense que ça doit exister chez les autres constructeurs.
Il y a aussi la notion de "protected port" sur des switchs plus bas de gamme (par exemple sur un 3550). Les ports en mode protégés ne communiquent pas entre eux mais communiquent avec les ports qui ne sont pas dans ce mode. C'est un peu moins souple que les private vlan mais peut-être cela suffit-il pour ce que tu veux faire.
Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un
private vlan, vous pouvez mettre des ports en mode "isolated" (ne
communiquent pas avec les autres ports qui sont dans ce mode) ou en mode
"promiscuous" (communiquent avec tous les ports du private vlan). Il
existe également le mode "community" : les ports dans ce mode
communiquent entre-eux et avec les promiscuous mais pas avec les isolated.
Je pense que ça doit exister chez les autres constructeurs.
Il y a aussi la notion de "protected port" sur des switchs plus bas de
gamme (par exemple sur un 3550). Les ports en mode protégés ne
communiquent pas entre eux mais communiquent avec les ports qui ne sont
pas dans ce mode. C'est un peu moins souple que les private vlan mais
peut-être cela suffit-il pour ce que tu veux faire.
Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un private vlan, vous pouvez mettre des ports en mode "isolated" (ne communiquent pas avec les autres ports qui sont dans ce mode) ou en mode "promiscuous" (communiquent avec tous les ports du private vlan). Il existe également le mode "community" : les ports dans ce mode communiquent entre-eux et avec les promiscuous mais pas avec les isolated.
Je pense que ça doit exister chez les autres constructeurs.
Il y a aussi la notion de "protected port" sur des switchs plus bas de gamme (par exemple sur un 3550). Les ports en mode protégés ne communiquent pas entre eux mais communiquent avec les ports qui ne sont pas dans ce mode. C'est un peu moins souple que les private vlan mais peut-être cela suffit-il pour ce que tu veux faire.
Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un private vlan, vous pouvez mettre des ports en mode "isolated" (ne communiquent pas avec les autres ports qui sont dans ce mode) ou en mode "promiscuous" (communiquent avec tous les ports du private vlan). Il existe également le mode "community" : les ports dans ce mode communiquent entre-eux et avec les promiscuous mais pas avec les isolated.
Je pense que ça doit exister chez les autres constructeurs.
Il y a aussi la notion de "protected port" sur des switchs plus bas de gamme (par exemple sur un 3550). Les ports en mode protégés ne communiquent pas entre eux mais communiquent avec les ports qui ne sont pas dans ce mode. C'est un peu moins souple que les private vlan mais peut-être cela suffit-il pour ce que tu veux faire.
Merci pour tous ces renseignements. Effectivement la gamme n'est pas la même.
Le but était d'éviter qu'un internat avec prise réseau dans les chambres ne se transforme en vaste lan-party. La première idée simple était donc bloquer le trafic entre les chambres au niveau du switch. (switchs non accessibles physiquement).
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q. J'avais de toutes manières l'intention de faire du 802.1x sur des machines déclarées (au moins MAC même si c'est pas l'idéal). Tous les switchs L2 savent faire cela. La question étant de savoir combien de VLan je peux tagger avec ces switchs bas de gamme sans que ça merdoie...
RR
GuiGui a écrit :
GuiGui a écrit :
Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un
private vlan, vous pouvez mettre des ports en mode "isolated" (ne
communiquent pas avec les autres ports qui sont dans ce mode) ou en
mode "promiscuous" (communiquent avec tous les ports du private vlan).
Il existe également le mode "community" : les ports dans ce mode
communiquent entre-eux et avec les promiscuous mais pas avec les
isolated.
Je pense que ça doit exister chez les autres constructeurs.
Il y a aussi la notion de "protected port" sur des switchs plus bas de
gamme (par exemple sur un 3550). Les ports en mode protégés ne
communiquent pas entre eux mais communiquent avec les ports qui ne sont
pas dans ce mode. C'est un peu moins souple que les private vlan mais
peut-être cela suffit-il pour ce que tu veux faire.
Merci pour tous ces renseignements.
Effectivement la gamme n'est pas la même.
Le but était d'éviter qu'un internat avec prise réseau dans les chambres
ne se transforme en vaste lan-party.
La première idée simple était donc bloquer le trafic entre les chambres
au niveau du switch. (switchs non accessibles physiquement).
Une autre idée pourrait être éventuellement de faire un dynamic vlan via
freeradius avec un VLAN différent par poste déclaré routable uniquement
vers l'internet, en passant par un routeur linux 802.1q.
J'avais de toutes manières l'intention de faire du 802.1x sur des
machines déclarées (au moins MAC même si c'est pas l'idéal). Tous les
switchs L2 savent faire cela.
La question étant de savoir combien de VLan je peux tagger avec ces
switchs bas de gamme sans que ça merdoie...
Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un private vlan, vous pouvez mettre des ports en mode "isolated" (ne communiquent pas avec les autres ports qui sont dans ce mode) ou en mode "promiscuous" (communiquent avec tous les ports du private vlan). Il existe également le mode "community" : les ports dans ce mode communiquent entre-eux et avec les promiscuous mais pas avec les isolated.
Je pense que ça doit exister chez les autres constructeurs.
Il y a aussi la notion de "protected port" sur des switchs plus bas de gamme (par exemple sur un 3550). Les ports en mode protégés ne communiquent pas entre eux mais communiquent avec les ports qui ne sont pas dans ce mode. C'est un peu moins souple que les private vlan mais peut-être cela suffit-il pour ce que tu veux faire.
Merci pour tous ces renseignements. Effectivement la gamme n'est pas la même.
Le but était d'éviter qu'un internat avec prise réseau dans les chambres ne se transforme en vaste lan-party. La première idée simple était donc bloquer le trafic entre les chambres au niveau du switch. (switchs non accessibles physiquement).
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q. J'avais de toutes manières l'intention de faire du 802.1x sur des machines déclarées (au moins MAC même si c'est pas l'idéal). Tous les switchs L2 savent faire cela. La question étant de savoir combien de VLan je peux tagger avec ces switchs bas de gamme sans que ça merdoie...
RR
GuiGui
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les switchs ont une limite (variable suivant la gamme). si ton switch n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
J'avais de toutes manières l'intention de faire du 802.1x sur des machines déclarées (au moins MAC même si c'est pas l'idéal).
Il y a plus simple : tu mets les ports en mode security avec un bail infini si ton switch le permet. Comme ça, le premier PC branché est autorisé à se connecter, mais impossible d'en mettre un autre (à moins de spoofer la mac, ce qui n'est pas difficile). Pour autoriser une autre machine à se connecter, il faut faire un clear du port, il réapprend la mac et se verrouille dessus.
Tous les switchs L2 savent faire cela.
Le mieux est 802.1x basé sur l'authentification windows.
La question étant de savoir combien de VLan je peux tagger avec ces switchs bas de gamme sans que ça merdoie...
En général pas beaucoup (souvent 256), dès que tu monte un peu en gamme (genre catalyst 3550) tu peux en général monter à 2048.
Sinon, j'ai regaqrdé chez HP, le 2810 possède la fonctionnalité protected port (en tout cas c'est dans la plaquette http://www.procurve.com/products/pdfs/datasheets/ProCurve_Switch_2810_Series.pdf)
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan via
freeradius avec un VLAN différent par poste déclaré routable uniquement
vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les
switchs ont une limite (variable suivant la gamme). si ton switch
n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
J'avais de toutes manières l'intention de faire du 802.1x sur des
machines déclarées (au moins MAC même si c'est pas l'idéal).
Il y a plus simple : tu mets les ports en mode security avec un bail
infini si ton switch le permet. Comme ça, le premier PC branché est
autorisé à se connecter, mais impossible d'en mettre un autre (à moins
de spoofer la mac, ce qui n'est pas difficile). Pour autoriser une autre
machine à se connecter, il faut faire un clear du port, il réapprend la
mac et se verrouille dessus.
Tous les
switchs L2 savent faire cela.
Le mieux est 802.1x basé sur l'authentification windows.
La question étant de savoir combien de VLan je peux tagger avec ces
switchs bas de gamme sans que ça merdoie...
En général pas beaucoup (souvent 256), dès que tu monte un peu en gamme
(genre catalyst 3550) tu peux en général monter à 2048.
Sinon, j'ai regaqrdé chez HP, le 2810 possède la fonctionnalité
protected port (en tout cas c'est dans la plaquette
http://www.procurve.com/products/pdfs/datasheets/ProCurve_Switch_2810_Series.pdf)
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les switchs ont une limite (variable suivant la gamme). si ton switch n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
J'avais de toutes manières l'intention de faire du 802.1x sur des machines déclarées (au moins MAC même si c'est pas l'idéal).
Il y a plus simple : tu mets les ports en mode security avec un bail infini si ton switch le permet. Comme ça, le premier PC branché est autorisé à se connecter, mais impossible d'en mettre un autre (à moins de spoofer la mac, ce qui n'est pas difficile). Pour autoriser une autre machine à se connecter, il faut faire un clear du port, il réapprend la mac et se verrouille dessus.
Tous les switchs L2 savent faire cela.
Le mieux est 802.1x basé sur l'authentification windows.
La question étant de savoir combien de VLan je peux tagger avec ces switchs bas de gamme sans que ça merdoie...
En général pas beaucoup (souvent 256), dès que tu monte un peu en gamme (genre catalyst 3550) tu peux en général monter à 2048.
Sinon, j'ai regaqrdé chez HP, le 2810 possède la fonctionnalité protected port (en tout cas c'est dans la plaquette http://www.procurve.com/products/pdfs/datasheets/ProCurve_Switch_2810_Series.pdf)
Erwan David
GuiGui écrivait :
Tous les switchs L2 savent faire cela.
Le mieux est 802.1x basé sur l'authentification windows.
Et ça se passe comment quand on branche autre chose qu'un windows ?
802.1x se base sur du Radius, donc ça peut aussi être basé sur un ldap...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
GuiGui <GuiGui@nospam.fr> écrivait :
Tous les switchs L2 savent faire cela.
Le mieux est 802.1x basé sur l'authentification windows.
Et ça se passe comment quand on branche autre chose qu'un windows ?
802.1x se base sur du Radius, donc ça peut aussi être basé sur un ldap...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
