Je reviens avec encore une question au sujet du remplacement d'un firewall
ne sachant pas faire de QoS, par un sachant le faire, derrière un VLAN
existant.
Le firewall que je met est en mesure de faire de la QoS sur chacun des
VLAN.
Je crée ces derniers avec les meme VLANID que sur le switch VLAN (Summit48)
Ensuite, je me pose les questions suivantes:
- Sur chacun des postes de travail, la passerelle déclarée est le VLAN lui
correspondant (sur le switch, l'IP du VLAN est l'IP de la passerelle du
poste de travail).
- Dois-je déclarer la même IP sur le firewall, dans la déclaration des
VLANS??
- Physiquement, le FW est relié sur le port 48. Au niveau des ports
attribués au niveau de chacun des VLAN, le port taggé pour "sortir" est
systématiquement le 50. Je ne comprend pas ce schéma, pourquoi cette
différence??
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Caron
Salut,
On Wed, 11 Feb 2004 07:56:31 +0000 (UTC), Olivier Saulnier wrote:
- Sur chacun des postes de travail, la passerelle déclarée est le VLAN lui correspondant (sur le switch, l'IP du VLAN est l'IP de la passerelle du poste de travail).
Hu? Comprends pas. Un VLAN c'est un concept de niveau 2, un VLAN n'a pas d'IP. Par contre, chaque VLAN doit être associé à un réseau IP différent, et donc le firewall devrait avoir une IP dans chaque réseau, et cette IP devrait être la passerelle par défaut.
A moins bien sûr d'utiliser le switch comme routeur, mais je ne pense pas que ce soit utile. Une seule et unique adresse IP de management sur un VLAN dédié sera amplement suffisante.
- Physiquement, le FW est relié sur le port 48. Au niveau des ports attribués au niveau de chacun des VLAN, le port taggé pour "sortir" est systématiquement le 50. Je ne comprend pas ce schéma, pourquoi cette différence??
Ca fait longtemps que je n'ai pas touché un Summit 48i, donc j'avoue que je ne comprends pas trèes bien...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On Wed, 11 Feb 2004 07:56:31 +0000 (UTC), Olivier Saulnier
<steganux@steganux-no-spam.com> wrote:
- Sur chacun des postes de travail, la passerelle déclarée est le VLAN
lui correspondant (sur le switch, l'IP du VLAN est l'IP de la passerelle
du poste de travail).
Hu? Comprends pas. Un VLAN c'est un concept de niveau 2, un VLAN n'a pas
d'IP. Par contre, chaque VLAN doit être associé à un réseau IP différent,
et donc le firewall devrait avoir une IP dans chaque réseau, et cette IP
devrait être la passerelle par défaut.
A moins bien sûr d'utiliser le switch comme routeur, mais je ne pense pas
que ce soit utile. Une seule et unique adresse IP de management sur un
VLAN dédié sera amplement suffisante.
- Physiquement, le FW est relié sur le port 48. Au niveau des ports
attribués au niveau de chacun des VLAN, le port taggé pour "sortir" est
systématiquement le 50. Je ne comprend pas ce schéma, pourquoi cette
différence??
Ca fait longtemps que je n'ai pas touché un Summit 48i, donc j'avoue que
je ne comprends pas trèes bien...
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Wed, 11 Feb 2004 07:56:31 +0000 (UTC), Olivier Saulnier wrote:
- Sur chacun des postes de travail, la passerelle déclarée est le VLAN lui correspondant (sur le switch, l'IP du VLAN est l'IP de la passerelle du poste de travail).
Hu? Comprends pas. Un VLAN c'est un concept de niveau 2, un VLAN n'a pas d'IP. Par contre, chaque VLAN doit être associé à un réseau IP différent, et donc le firewall devrait avoir une IP dans chaque réseau, et cette IP devrait être la passerelle par défaut.
A moins bien sûr d'utiliser le switch comme routeur, mais je ne pense pas que ce soit utile. Une seule et unique adresse IP de management sur un VLAN dédié sera amplement suffisante.
- Physiquement, le FW est relié sur le port 48. Au niveau des ports attribués au niveau de chacun des VLAN, le port taggé pour "sortir" est systématiquement le 50. Je ne comprend pas ce schéma, pourquoi cette différence??
Ca fait longtemps que je n'ai pas touché un Summit 48i, donc j'avoue que je ne comprends pas trèes bien...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Samuel
Hu? Comprends pas. Un VLAN c'est un concept de niveau 2, un VLAN n'a pas d'IP. Par contre, chaque VLAN doit être associé à un réseau IP différent, et donc le firewall devrait avoir une IP dans chaque réseau, et cette IP devrait être la passerelle par défaut.
Bonjour et désolé de m'incruster dans la conversation,
Un vlan étant un concept de niveau 2, pourquoi chaque vlan devrait-il être dans un sous-réseau différent ? Le firewall pouvant reconnaître le tag 'vlan', quel est l'intêret de diviser en plus en sous-réseaux les vlan sur le firewall (puisque je suppose que vous parlez de sous-reseaux par rapport au firewall) ?
Merci. Samuel.
Hu? Comprends pas. Un VLAN c'est un concept de niveau 2, un VLAN n'a pas
d'IP. Par contre, chaque VLAN doit être associé à un réseau IP
différent, et donc le firewall devrait avoir une IP dans chaque réseau,
et cette IP devrait être la passerelle par défaut.
Bonjour et désolé de m'incruster dans la conversation,
Un vlan étant un concept de niveau 2, pourquoi chaque vlan devrait-il
être dans un sous-réseau différent ?
Le firewall pouvant reconnaître le tag 'vlan', quel est l'intêret de
diviser en plus en sous-réseaux les vlan sur le firewall (puisque je
suppose que vous parlez de sous-reseaux par rapport au firewall) ?
Hu? Comprends pas. Un VLAN c'est un concept de niveau 2, un VLAN n'a pas d'IP. Par contre, chaque VLAN doit être associé à un réseau IP différent, et donc le firewall devrait avoir une IP dans chaque réseau, et cette IP devrait être la passerelle par défaut.
Bonjour et désolé de m'incruster dans la conversation,
Un vlan étant un concept de niveau 2, pourquoi chaque vlan devrait-il être dans un sous-réseau différent ? Le firewall pouvant reconnaître le tag 'vlan', quel est l'intêret de diviser en plus en sous-réseaux les vlan sur le firewall (puisque je suppose que vous parlez de sous-reseaux par rapport au firewall) ?
Merci. Samuel.
T0t0
"Samuel" wrote in message news:c0d37n$63g$
Un vlan étant un concept de niveau 2, pourquoi chaque vlan devrait-il être dans un sous-réseau différent ?
Pour que deux machines dans deux VLANs différents puissent quand même dialoguer entre elles, si elles sont dans le même réseau, elles ne pourront pas se parler puisque les broadcasts seront limités au VLAN...
Le firewall pouvant reconnaître le tag 'vlan', quel est l'intêret de diviser en plus en sous-réseaux les vlan sur le firewall (puisque je suppose que vous parlez de sous-reseaux par rapport au firewall) ?
Ce n'est pas un intérêt, mais une obligation si on utilise des VLANs.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Samuel" <instituteur---@wanadoo.fr> wrote in message
news:c0d37n$63g$1@biggoron.nerim.net
Un vlan étant un concept de niveau 2, pourquoi chaque vlan devrait-il
être dans un sous-réseau différent ?
Pour que deux machines dans deux VLANs différents puissent quand même
dialoguer entre elles, si elles sont dans le même réseau, elles ne
pourront pas se parler puisque les broadcasts seront limités au VLAN...
Le firewall pouvant reconnaître le tag 'vlan', quel est l'intêret de
diviser en plus en sous-réseaux les vlan sur le firewall (puisque je
suppose que vous parlez de sous-reseaux par rapport au firewall) ?
Ce n'est pas un intérêt, mais une obligation si on utilise des VLANs.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Un vlan étant un concept de niveau 2, pourquoi chaque vlan devrait-il être dans un sous-réseau différent ?
Pour que deux machines dans deux VLANs différents puissent quand même dialoguer entre elles, si elles sont dans le même réseau, elles ne pourront pas se parler puisque les broadcasts seront limités au VLAN...
Le firewall pouvant reconnaître le tag 'vlan', quel est l'intêret de diviser en plus en sous-réseaux les vlan sur le firewall (puisque je suppose que vous parlez de sous-reseaux par rapport au firewall) ?
Ce n'est pas un intérêt, mais une obligation si on utilise des VLANs.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Samuel
Ce n'est pas un intérêt, mais une obligation si on utilise des VLANs.
Bonjour T0t0,
En effet, je viens de terminer les vlan sur un switch HP relié à une passerelle debian pour l'Internet, et nous avons dû mettre tous les vlan dans des sous-reseaux différents ... merci.
Samuel.
Ce n'est pas un intérêt, mais une obligation si on utilise des VLANs.
Bonjour T0t0,
En effet, je viens de terminer les vlan sur un switch HP relié à une
passerelle debian pour l'Internet, et nous avons dû mettre tous les vlan
dans des sous-reseaux différents ... merci.
Ce n'est pas un intérêt, mais une obligation si on utilise des VLANs.
Bonjour T0t0,
En effet, je viens de terminer les vlan sur un switch HP relié à une passerelle debian pour l'Internet, et nous avons dû mettre tous les vlan dans des sous-reseaux différents ... merci.
Samuel.
Jacques Caron
Salut,
On Wed, 11 Feb 2004 12:21:27 +0100, Samuel wrote:
Un vlan étant un concept de niveau 2, pourquoi chaque vlan devrait-il être dans un sous-réseau différent ?
Ben le but des VLANs est de faire des LANs différents, même s'ils sont "dans" le même switch, ou sur le même lien. Et deux LANs différents, ça fait deux sous-réseaux différents...
Le firewall pouvant reconnaître le tag 'vlan', quel est l'intêret de diviser en plus en sous-réseaux les vlan sur le firewall (puisque je suppose que vous parlez de sous-reseaux par rapport au firewall) ?
Je ne sais pas de quel type de firewall il s'agit ni comment il se configure, mais normalement un équipement de niveau 3 qui gère des VLANs sur une interface (i.e. qui supporte le tagging 802.1Q) va en fait considérer chaque VLAN comme une interface virtuelle séparée, et donc avec une IP pour chaque.
L'intérêt de passer par un switch pour "éclater" les VLANs c'est qu'un port de switch ça coûte beaucoup moins cher qu'un port sur un équipement L3, donc ça permet de multiplier les (V)LANs pour pas cher.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On Wed, 11 Feb 2004 12:21:27 +0100, Samuel <instituteur---@wanadoo.fr>
wrote:
Un vlan étant un concept de niveau 2, pourquoi chaque vlan devrait-il
être dans un sous-réseau différent ?
Ben le but des VLANs est de faire des LANs différents, même s'ils sont
"dans" le même switch, ou sur le même lien. Et deux LANs différents, ça
fait deux sous-réseaux différents...
Le firewall pouvant reconnaître le tag 'vlan', quel est l'intêret de
diviser en plus en sous-réseaux les vlan sur le firewall (puisque je
suppose que vous parlez de sous-reseaux par rapport au firewall) ?
Je ne sais pas de quel type de firewall il s'agit ni comment il se
configure, mais normalement un équipement de niveau 3 qui gère des VLANs
sur une interface (i.e. qui supporte le tagging 802.1Q) va en fait
considérer chaque VLAN comme une interface virtuelle séparée, et donc avec
une IP pour chaque.
L'intérêt de passer par un switch pour "éclater" les VLANs c'est qu'un
port de switch ça coûte beaucoup moins cher qu'un port sur un équipement
L3, donc ça permet de multiplier les (V)LANs pour pas cher.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Un vlan étant un concept de niveau 2, pourquoi chaque vlan devrait-il être dans un sous-réseau différent ?
Ben le but des VLANs est de faire des LANs différents, même s'ils sont "dans" le même switch, ou sur le même lien. Et deux LANs différents, ça fait deux sous-réseaux différents...
Le firewall pouvant reconnaître le tag 'vlan', quel est l'intêret de diviser en plus en sous-réseaux les vlan sur le firewall (puisque je suppose que vous parlez de sous-reseaux par rapport au firewall) ?
Je ne sais pas de quel type de firewall il s'agit ni comment il se configure, mais normalement un équipement de niveau 3 qui gère des VLANs sur une interface (i.e. qui supporte le tagging 802.1Q) va en fait considérer chaque VLAN comme une interface virtuelle séparée, et donc avec une IP pour chaque.
L'intérêt de passer par un switch pour "éclater" les VLANs c'est qu'un port de switch ça coûte beaucoup moins cher qu'un port sur un équipement L3, donc ça permet de multiplier les (V)LANs pour pas cher.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Samuel
L'intérêt de passer par un switch pour "éclater" les VLANs c'est qu'un port de switch ça coûte beaucoup moins cher qu'un port sur un équipement L3, donc ça permet de multiplier les (V)LANs pour pas cher.
Jacques.
Merci pour ce complément d'information ..
Samuel.
L'intérêt de passer par un switch pour "éclater" les VLANs c'est qu'un
port de switch ça coûte beaucoup moins cher qu'un port sur un équipement
L3, donc ça permet de multiplier les (V)LANs pour pas cher.
L'intérêt de passer par un switch pour "éclater" les VLANs c'est qu'un port de switch ça coûte beaucoup moins cher qu'un port sur un équipement L3, donc ça permet de multiplier les (V)LANs pour pas cher.
Jacques.
Merci pour ce complément d'information ..
Samuel.
Olivier Saulnier
Jacques Caron wrote in news::
Je ne sais pas de quel type de firewall il s'agit ni comment il se configure, mais normalement un équipement de niveau 3 qui gère des VLANs sur une interface (i.e. qui supporte le tagging 802.1Q) va en fait considérer chaque VLAN comme une interface virtuelle séparée, et donc avec une IP pour chaque.
En gros, sur mon Firewall, je dois déclarer les sous-réseaux correspondant aux VLAN afin que cela fonctionne??
Cordialement, OLS
Jacques Caron <jc@imfeurope.com> wrote in
news:opr271xzcpq1hokb@news.free.fr:
Je ne sais pas de quel type de firewall il s'agit ni comment il se
configure, mais normalement un équipement de niveau 3 qui gère des
VLANs sur une interface (i.e. qui supporte le tagging 802.1Q) va en
fait considérer chaque VLAN comme une interface virtuelle séparée, et
donc avec une IP pour chaque.
Je ne sais pas de quel type de firewall il s'agit ni comment il se configure, mais normalement un équipement de niveau 3 qui gère des VLANs sur une interface (i.e. qui supporte le tagging 802.1Q) va en fait considérer chaque VLAN comme une interface virtuelle séparée, et donc avec une IP pour chaque.
En gros, sur mon Firewall, je dois déclarer les sous-réseaux correspondant aux VLAN afin que cela fonctionne??
Cordialement, OLS
Samuel
En gros, sur mon Firewall, je dois déclarer les sous-réseaux correspondant aux VLAN afin que cela fonctionne??
Cordialement,
Bonjour,
Ce que nous avons fait (pour un test avec 2 vlan):
- Déclaration sur le switch de deux Vlan dans deux sous-réseaux différents. - Configuration des interfaces Vlan (tags correspondants au switch) sur la passerelle/firewall :
auto eth1.10 iface eth1.10 inet static address 10.10.40.1 pre-up ifconfig eth1 up pre-up vconfig add eth1 10 netmask 255.255.255.0 network 10.10.40.0 broadcast 10.10.40.255 post-down vconfig rem eth1.10
auto eth1.20 iface eth1.20 inet static address 10.10.20.1 pre-up ifconfig eth1 up pre-up vconfig add eth1 20 netmask 255.255.255.0 network 10.10.20.0 broadcast 10.10.20.255 post-down vconfig rem eth1.20
- Sur la passerelle, marquage des paquets dans la chaine prerouting de netfilter pour identifier leur vlan ... et un SNAT dans la chaine postrouting avec des tranches de ports différents pour identifier les paquets qui reviennent d'Internet et leur appliquer une Qos Ingress.
Ca fonctionne impec (sauf les valeurs concernant la Qos (burst etc..) que je dois adapter pour trouver les bons débits.
Voilà. Samuel ... pour une fois que je peux aider ;-)
En gros, sur mon Firewall, je dois déclarer les sous-réseaux correspondant
aux VLAN afin que cela fonctionne??
Cordialement,
Bonjour,
Ce que nous avons fait (pour un test avec 2 vlan):
- Déclaration sur le switch de deux Vlan dans deux sous-réseaux différents.
- Configuration des interfaces Vlan (tags correspondants au switch) sur
la passerelle/firewall :
auto eth1.10
iface eth1.10 inet static
address 10.10.40.1
pre-up ifconfig eth1 up
pre-up vconfig add eth1 10
netmask 255.255.255.0
network 10.10.40.0
broadcast 10.10.40.255
post-down vconfig rem eth1.10
auto eth1.20
iface eth1.20 inet static
address 10.10.20.1
pre-up ifconfig eth1 up
pre-up vconfig add eth1 20
netmask 255.255.255.0
network 10.10.20.0
broadcast 10.10.20.255
post-down vconfig rem eth1.20
- Sur la passerelle, marquage des paquets dans la chaine prerouting de
netfilter pour identifier leur vlan ... et un SNAT dans la chaine
postrouting avec des tranches de ports différents pour identifier les
paquets qui reviennent d'Internet et leur appliquer une Qos Ingress.
Ca fonctionne impec (sauf les valeurs concernant la Qos (burst etc..)
que je dois adapter pour trouver les bons débits.
Voilà.
Samuel ... pour une fois que je peux aider ;-)
En gros, sur mon Firewall, je dois déclarer les sous-réseaux correspondant aux VLAN afin que cela fonctionne??
Cordialement,
Bonjour,
Ce que nous avons fait (pour un test avec 2 vlan):
- Déclaration sur le switch de deux Vlan dans deux sous-réseaux différents. - Configuration des interfaces Vlan (tags correspondants au switch) sur la passerelle/firewall :
auto eth1.10 iface eth1.10 inet static address 10.10.40.1 pre-up ifconfig eth1 up pre-up vconfig add eth1 10 netmask 255.255.255.0 network 10.10.40.0 broadcast 10.10.40.255 post-down vconfig rem eth1.10
auto eth1.20 iface eth1.20 inet static address 10.10.20.1 pre-up ifconfig eth1 up pre-up vconfig add eth1 20 netmask 255.255.255.0 network 10.10.20.0 broadcast 10.10.20.255 post-down vconfig rem eth1.20
- Sur la passerelle, marquage des paquets dans la chaine prerouting de netfilter pour identifier leur vlan ... et un SNAT dans la chaine postrouting avec des tranches de ports différents pour identifier les paquets qui reviennent d'Internet et leur appliquer une Qos Ingress.
Ca fonctionne impec (sauf les valeurs concernant la Qos (burst etc..) que je dois adapter pour trouver les bons débits.
Voilà. Samuel ... pour une fois que je peux aider ;-)
Jacques Caron
On Thu, 12 Feb 2004 07:04:56 +0000 (UTC), Olivier Saulnier wrote:
En gros, sur mon Firewall, je dois déclarer les sous-réseaux correspondant aux VLAN afin que cela fonctionne??
Je ne sais pas quel firewall est envisagé, mais c'est comme ça qu'on fait dans la plupart des cas, oui. On fait comme si on avait une interface Ethernet par VLAN, et on configure chaque VLAN séparément.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On Thu, 12 Feb 2004 07:04:56 +0000 (UTC), Olivier Saulnier
<steganux@steganux-no-spam.com> wrote:
En gros, sur mon Firewall, je dois déclarer les sous-réseaux
correspondant aux VLAN afin que cela fonctionne??
Je ne sais pas quel firewall est envisagé, mais c'est comme ça qu'on fait
dans la plupart des cas, oui. On fait comme si on avait une interface
Ethernet par VLAN, et on configure chaque VLAN séparément.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Thu, 12 Feb 2004 07:04:56 +0000 (UTC), Olivier Saulnier wrote:
En gros, sur mon Firewall, je dois déclarer les sous-réseaux correspondant aux VLAN afin que cela fonctionne??
Je ne sais pas quel firewall est envisagé, mais c'est comme ça qu'on fait dans la plupart des cas, oui. On fait comme si on avait une interface Ethernet par VLAN, et on configure chaque VLAN séparément.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Olivier Saulnier
Bonjour à tous,
Merci de m'avoir éclairé un peu plus sur le sujet...Je met tout ca en pratique demain, en espérant ne pas avoir d'autres surprises....
Cordialement, OLS
Bonjour à tous,
Merci de m'avoir éclairé un peu plus sur le sujet...Je met tout ca en
pratique demain, en espérant ne pas avoir d'autres surprises....
