Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux qui
vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec les
serveurs tout en gardant le même sous-réseau.
GuiGui a écrit : Merci pour tous ces précieux conseils
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les switchs ont une limite (variable suivant la gamme). si ton switch n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
A la rentrée 40 chambres, soit 90 utilisateurs. L'année prochaine 140 utilisateurs.
J'avais de toutes manières l'intention de faire du 802.1x sur des machines déclarées (au moins MAC même si c'est pas l'idéal).
Il y a plus simple : tu mets les ports en mode security avec un bail infini si ton switch le permet. Comme ça, le premier PC branché est autorisé à se connecter, mais impossible d'en mettre un autre (à moins de spoofer la mac, ce qui n'est pas difficile).
C'est vrai, mais le fait de limiter quand même le nombre d'appareils connectés en même temps me parait correct. Pour autoriser une autre
machine à se connecter, il faut faire un clear du port, il réapprend la mac et se verrouille dessus.
Bonne idée mais il faut penser au fait qu'ils puissent se brancher ailleurs, genre dans la salle d'études ou le foyer.
Tous les switchs L2 savent faire cela.
Le mieux est 802.1x basé sur l'authentification windows.
Le gros du matériel va être des portables personnels sous windows ou macos X. Peut être aussi quelques geek sous linux. Difficile à joindre à un domaine. Après on a la méthode ultime du certificat mais ça reste compliqué côté client, et aussi côté serveur.
La question étant de savoir combien de VLan je peux tagger avec ces switchs bas de gamme sans que ça merdoie...
En général pas beaucoup (souvent 256), dès que tu monte un peu en gamme (genre catalyst 3550) tu peux en général monter à 2048.
Sinon, j'ai regaqrdé chez HP, le 2810 possède la fonctionnalité protected port (en tout cas c'est dans la plaquette http://www.procurve.com/products/pdfs/datasheets/ProCurve_Switch_2810_Series.pdf)
Merci !!! Dommage qu'on aie pas cela dans la gamme 2610. Ils ont préféré rajouter le routage IP statique qui est une fonctionnalité vite limitée. Le 10/100 réduit quand même bien la facture par rapport au Gb.
RR
GuiGui a écrit :
Merci pour tous ces précieux conseils
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan
via freeradius avec un VLAN différent par poste déclaré routable
uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les
switchs ont une limite (variable suivant la gamme). si ton switch
n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
A la rentrée 40 chambres, soit 90 utilisateurs.
L'année prochaine 140 utilisateurs.
J'avais de toutes manières l'intention de faire du 802.1x sur des
machines déclarées (au moins MAC même si c'est pas l'idéal).
Il y a plus simple : tu mets les ports en mode security avec un bail
infini si ton switch le permet. Comme ça, le premier PC branché est
autorisé à se connecter, mais impossible d'en mettre un autre (à moins
de spoofer la mac, ce qui n'est pas difficile).
C'est vrai, mais le fait de limiter quand même le nombre d'appareils
connectés en même temps me parait correct.
Pour autoriser une autre
machine à se connecter, il faut faire un clear du port, il réapprend la
mac et se verrouille dessus.
Bonne idée mais il faut penser au fait qu'ils puissent se brancher
ailleurs, genre dans la salle d'études ou le foyer.
Tous les switchs L2 savent faire cela.
Le mieux est 802.1x basé sur l'authentification windows.
Le gros du matériel va être des portables personnels sous windows ou
macos X. Peut être aussi quelques geek sous linux.
Difficile à joindre à un domaine.
Après on a la méthode ultime du certificat mais ça reste compliqué côté
client, et aussi côté serveur.
La question étant de savoir combien de VLan je peux tagger avec ces
switchs bas de gamme sans que ça merdoie...
En général pas beaucoup (souvent 256), dès que tu monte un peu en gamme
(genre catalyst 3550) tu peux en général monter à 2048.
Sinon, j'ai regaqrdé chez HP, le 2810 possède la fonctionnalité
protected port (en tout cas c'est dans la plaquette
http://www.procurve.com/products/pdfs/datasheets/ProCurve_Switch_2810_Series.pdf)
Merci !!! Dommage qu'on aie pas cela dans la gamme 2610. Ils ont préféré
rajouter le routage IP statique qui est une fonctionnalité vite limitée.
Le 10/100 réduit quand même bien la facture par rapport au Gb.
GuiGui a écrit : Merci pour tous ces précieux conseils
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les switchs ont une limite (variable suivant la gamme). si ton switch n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
A la rentrée 40 chambres, soit 90 utilisateurs. L'année prochaine 140 utilisateurs.
J'avais de toutes manières l'intention de faire du 802.1x sur des machines déclarées (au moins MAC même si c'est pas l'idéal).
Il y a plus simple : tu mets les ports en mode security avec un bail infini si ton switch le permet. Comme ça, le premier PC branché est autorisé à se connecter, mais impossible d'en mettre un autre (à moins de spoofer la mac, ce qui n'est pas difficile).
C'est vrai, mais le fait de limiter quand même le nombre d'appareils connectés en même temps me parait correct. Pour autoriser une autre
machine à se connecter, il faut faire un clear du port, il réapprend la mac et se verrouille dessus.
Bonne idée mais il faut penser au fait qu'ils puissent se brancher ailleurs, genre dans la salle d'études ou le foyer.
Tous les switchs L2 savent faire cela.
Le mieux est 802.1x basé sur l'authentification windows.
Le gros du matériel va être des portables personnels sous windows ou macos X. Peut être aussi quelques geek sous linux. Difficile à joindre à un domaine. Après on a la méthode ultime du certificat mais ça reste compliqué côté client, et aussi côté serveur.
La question étant de savoir combien de VLan je peux tagger avec ces switchs bas de gamme sans que ça merdoie...
En général pas beaucoup (souvent 256), dès que tu monte un peu en gamme (genre catalyst 3550) tu peux en général monter à 2048.
Sinon, j'ai regaqrdé chez HP, le 2810 possède la fonctionnalité protected port (en tout cas c'est dans la plaquette http://www.procurve.com/products/pdfs/datasheets/ProCurve_Switch_2810_Series.pdf)
Merci !!! Dommage qu'on aie pas cela dans la gamme 2610. Ils ont préféré rajouter le routage IP statique qui est une fonctionnalité vite limitée. Le 10/100 réduit quand même bien la facture par rapport au Gb.
RR
GuiGui
rr a écrit :
GuiGui a écrit : Merci pour tous ces précieux conseils
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les switchs ont une limite (variable suivant la gamme). si ton switch n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
A la rentrée 40 chambres, soit 90 utilisateurs. L'année prochaine 140 utilisateurs.
Donc c'est jouable avec la majorité des switchs.
Bonne idée mais il faut penser au fait qu'ils puissent se brancher ailleurs, genre dans la salle d'études ou le foyer.
Tu n'est pas obligé de mettre tous les ports dans ce mode, tu peux laisser des ports en libre accès.
Le mieux est 802.1x basé sur l'authentification windows.
Le gros du matériel va être des portables personnels sous windows ou macos X. Peut être aussi quelques geek sous linux. Difficile à joindre à un domaine.
Ok, pour des machines personnelles c'est plus difficile. Dans ce cas il reste la solution du portail captif qui peut être intéressante
Après on a la méthode ultime du certificat mais ça reste compliqué côté client, et aussi côté serveur.
Ça demande une infra de certif complète, et se pose le pb de la diffusion et conservation du certificat.
Merci !!! Dommage qu'on aie pas cela dans la gamme 2610. Ils ont préféré rajouter le routage IP statique qui est une fonctionnalité vite limitée.
De mon coté, je préfère que le routage passe par le firewall.
Le 10/100 réduit quand même bien la facture par rapport au Gb.
C'est clair, c'est deux à trois fois moins cher.
Je peux te proposer une autre solution pas trop couteuse : chez D-Link, il y a la notion de vlan assymétriques. Tu mets les ports dans des vlans différents, donc ils sont isolés, tu active le mode vlans asymétriques et tu met certains ports (firewall, serveurs) dans tous les vlans.
Le DES-3550 est pas trop cher (entre 700 et 800€) et ça pourrait correspondre à ton besoin.
Une doc ici avec le 26 ports : ftp://ftp.dlink.fr/DES/DES-3526/Manuel/des-3526_Asymmetric_VLAN_setup.pdf
rr a écrit :
GuiGui a écrit :
Merci pour tous ces précieux conseils
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan
via freeradius avec un VLAN différent par poste déclaré routable
uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les
switchs ont une limite (variable suivant la gamme). si ton switch
n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera
pas.
A la rentrée 40 chambres, soit 90 utilisateurs.
L'année prochaine 140 utilisateurs.
Donc c'est jouable avec la majorité des switchs.
Bonne idée mais il faut penser au fait qu'ils puissent se brancher
ailleurs, genre dans la salle d'études ou le foyer.
Tu n'est pas obligé de mettre tous les ports dans ce mode, tu peux
laisser des ports en libre accès.
Le mieux est 802.1x basé sur l'authentification windows.
Le gros du matériel va être des portables personnels sous windows ou
macos X. Peut être aussi quelques geek sous linux.
Difficile à joindre à un domaine.
Ok, pour des machines personnelles c'est plus difficile. Dans ce cas il
reste la solution du portail captif qui peut être intéressante
Après on a la méthode ultime du certificat mais ça reste compliqué côté
client, et aussi côté serveur.
Ça demande une infra de certif complète, et se pose le pb de la
diffusion et conservation du certificat.
Merci !!! Dommage qu'on aie pas cela dans la gamme 2610. Ils ont préféré
rajouter le routage IP statique qui est une fonctionnalité vite limitée.
De mon coté, je préfère que le routage passe par le firewall.
Le 10/100 réduit quand même bien la facture par rapport au Gb.
C'est clair, c'est deux à trois fois moins cher.
Je peux te proposer une autre solution pas trop couteuse : chez D-Link,
il y a la notion de vlan assymétriques. Tu mets les ports dans des vlans
différents, donc ils sont isolés, tu active le mode vlans asymétriques
et tu met certains ports (firewall, serveurs) dans tous les vlans.
Le DES-3550 est pas trop cher (entre 700 et 800€) et ça pourrait
correspondre à ton besoin.
Une doc ici avec le 26 ports :
ftp://ftp.dlink.fr/DES/DES-3526/Manuel/des-3526_Asymmetric_VLAN_setup.pdf
GuiGui a écrit : Merci pour tous ces précieux conseils
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les switchs ont une limite (variable suivant la gamme). si ton switch n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
A la rentrée 40 chambres, soit 90 utilisateurs. L'année prochaine 140 utilisateurs.
Donc c'est jouable avec la majorité des switchs.
Bonne idée mais il faut penser au fait qu'ils puissent se brancher ailleurs, genre dans la salle d'études ou le foyer.
Tu n'est pas obligé de mettre tous les ports dans ce mode, tu peux laisser des ports en libre accès.
Le mieux est 802.1x basé sur l'authentification windows.
Le gros du matériel va être des portables personnels sous windows ou macos X. Peut être aussi quelques geek sous linux. Difficile à joindre à un domaine.
Ok, pour des machines personnelles c'est plus difficile. Dans ce cas il reste la solution du portail captif qui peut être intéressante
Après on a la méthode ultime du certificat mais ça reste compliqué côté client, et aussi côté serveur.
Ça demande une infra de certif complète, et se pose le pb de la diffusion et conservation du certificat.
Merci !!! Dommage qu'on aie pas cela dans la gamme 2610. Ils ont préféré rajouter le routage IP statique qui est une fonctionnalité vite limitée.
De mon coté, je préfère que le routage passe par le firewall.
Le 10/100 réduit quand même bien la facture par rapport au Gb.
C'est clair, c'est deux à trois fois moins cher.
Je peux te proposer une autre solution pas trop couteuse : chez D-Link, il y a la notion de vlan assymétriques. Tu mets les ports dans des vlans différents, donc ils sont isolés, tu active le mode vlans asymétriques et tu met certains ports (firewall, serveurs) dans tous les vlans.
Le DES-3550 est pas trop cher (entre 700 et 800€) et ça pourrait correspondre à ton besoin.
Une doc ici avec le 26 ports : ftp://ftp.dlink.fr/DES/DES-3526/Manuel/des-3526_Asymmetric_VLAN_setup.pdf
rr
Le 16/06/2010 14:13, GuiGui a écrit :
rr a écrit :
GuiGui a écrit : Merci pour tous ces précieux conseils
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les switchs ont une limite (variable suivant la gamme). si ton switch n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
A la rentrée 40 chambres, soit 90 utilisateurs. L'année prochaine 140 utilisateurs.
Donc c'est jouable avec la majorité des switchs.
Moui, a étudier. Sachant qu'il est possible que le réseau soit complété en wifi histoire que le petit qui arrive avec son ipad ne soit pas lésé... Sinon je devrais trouver une autre méthode de cloisonnement. en portail captif je pense partir sur notalweg des confrères de l'université de Metz. J'ai déjà installé ce système en config moins complexe et cela fonctionne très bien.
De mon coté, je préfère que le routage passe par le firewall.
iptables est aussi mon ami. Cisco aussi mais pas le même prix :(
Le 10/100 réduit quand même bien la facture par rapport au Gb.
C'est clair, c'est deux à trois fois moins cher.
Je peux te proposer une autre solution pas trop couteuse : chez D-Link, il y a la notion de vlan assymétriques. Tu mets les ports dans des vlans différents, donc ils sont isolés, tu active le mode vlans asymétriques et tu met certains ports (firewall, serveurs) dans tous les vlans.
Le DES-3550 est pas trop cher (entre 700 et 800€) et ça pourrait correspondre à ton besoin.
Une doc ici avec le 26 ports : ftp://ftp.dlink.fr/DES/DES-3526/Manuel/des-3526_Asymmetric_VLAN_setup.pdf
wow ! merci, content d'être tombé sur un roi du switch. vlan asymétrique signifie, faire passer plusieurs vlan sur un port sans tagger ?
RR
Le 16/06/2010 14:13, GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
Merci pour tous ces précieux conseils
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan
via freeradius avec un VLAN différent par poste déclaré routable
uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les
switchs ont une limite (variable suivant la gamme). si ton switch
n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera
pas.
A la rentrée 40 chambres, soit 90 utilisateurs.
L'année prochaine 140 utilisateurs.
Donc c'est jouable avec la majorité des switchs.
Moui, a étudier. Sachant qu'il est possible que le réseau soit complété
en wifi histoire que le petit qui arrive avec son ipad ne soit pas
lésé... Sinon je devrais trouver une autre méthode de cloisonnement.
en portail captif je pense partir sur notalweg des confrères de
l'université de Metz. J'ai déjà installé ce système en config moins
complexe et cela fonctionne très bien.
De mon coté, je préfère que le routage passe par le firewall.
iptables est aussi mon ami. Cisco aussi mais pas le même prix :(
Le 10/100 réduit quand même bien la facture par rapport au Gb.
C'est clair, c'est deux à trois fois moins cher.
Je peux te proposer une autre solution pas trop couteuse : chez D-Link,
il y a la notion de vlan assymétriques. Tu mets les ports dans des vlans
différents, donc ils sont isolés, tu active le mode vlans asymétriques
et tu met certains ports (firewall, serveurs) dans tous les vlans.
Le DES-3550 est pas trop cher (entre 700 et 800€) et ça pourrait
correspondre à ton besoin.
Une doc ici avec le 26 ports :
ftp://ftp.dlink.fr/DES/DES-3526/Manuel/des-3526_Asymmetric_VLAN_setup.pdf
wow ! merci,
content d'être tombé sur un roi du switch.
vlan asymétrique signifie, faire passer plusieurs vlan sur un port sans
tagger ?
GuiGui a écrit : Merci pour tous ces précieux conseils
rr a écrit :
Une autre idée pourrait être éventuellement de faire un dynamic vlan via freeradius avec un VLAN différent par poste déclaré routable uniquement vers l'internet, en passant par un routeur linux 802.1q.
C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les switchs ont une limite (variable suivant la gamme). si ton switch n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.
A la rentrée 40 chambres, soit 90 utilisateurs. L'année prochaine 140 utilisateurs.
Donc c'est jouable avec la majorité des switchs.
Moui, a étudier. Sachant qu'il est possible que le réseau soit complété en wifi histoire que le petit qui arrive avec son ipad ne soit pas lésé... Sinon je devrais trouver une autre méthode de cloisonnement. en portail captif je pense partir sur notalweg des confrères de l'université de Metz. J'ai déjà installé ce système en config moins complexe et cela fonctionne très bien.
De mon coté, je préfère que le routage passe par le firewall.
iptables est aussi mon ami. Cisco aussi mais pas le même prix :(
Le 10/100 réduit quand même bien la facture par rapport au Gb.
C'est clair, c'est deux à trois fois moins cher.
Je peux te proposer une autre solution pas trop couteuse : chez D-Link, il y a la notion de vlan assymétriques. Tu mets les ports dans des vlans différents, donc ils sont isolés, tu active le mode vlans asymétriques et tu met certains ports (firewall, serveurs) dans tous les vlans.
Le DES-3550 est pas trop cher (entre 700 et 800€) et ça pourrait correspondre à ton besoin.
Une doc ici avec le 26 ports : ftp://ftp.dlink.fr/DES/DES-3526/Manuel/des-3526_Asymmetric_VLAN_setup.pdf
wow ! merci, content d'être tombé sur un roi du switch. vlan asymétrique signifie, faire passer plusieurs vlan sur un port sans tagger ?
RR
GuiGui
rr a écrit :
vlan asymétrique signifie, faire passer plusieurs vlan sur un port sans tagger ?
C'est exactement ça. C'est un truc que Cisco avait à une époque et qu'il a retiré en estimant que cela affaiblissait trop la sécurité (mais dans le même temps ils ont proposé les pvlan sur le haut de gamme).
rr a écrit :
vlan asymétrique signifie, faire passer plusieurs vlan sur un port sans
tagger ?
C'est exactement ça. C'est un truc que Cisco avait à une époque et qu'il
a retiré en estimant que cela affaiblissait trop la sécurité (mais dans
le même temps ils ont proposé les pvlan sur le haut de gamme).
vlan asymétrique signifie, faire passer plusieurs vlan sur un port sans tagger ?
C'est exactement ça. C'est un truc que Cisco avait à une époque et qu'il a retiré en estimant que cela affaiblissait trop la sécurité (mais dans le même temps ils ont proposé les pvlan sur le haut de gamme).
