Salut, je m'arrache les cheveux sur un problème de Vlans depuis quelques temps
 
Le point de départ est assez simple pourtant :
J'ai deux accès internet dans l'entreprise
 
Accès 1 : Freebox et bornes wifi (réseau invités)
Accès 2 : Réseau des bureaux
 
J'ai créé 4 vlans sur mes switchs TP-Link
 
Vlan 1 : Système
Vlan 2 : invité
Vlan 3 : bureaux
Vlan 4 : 3CX - téléphonie
 
Sur mon vlan invité j'ai branché la freebox
et sur mon vlan bureaux j'ai branché mon accès internet numéro 2
 
Les deux switchs communiquent via un port tagué sur les deux switchs
 
Lors de la mise en place, tout marchait parfaitement
En arrivant ce matin, je me rende compte que les vlans ne sont plus étanches, je peux pinger les deux passerelles depuis les deux réseaux
 
Je ne comprends pas ce qui se passe,  c'est la première fois que j'installe des switchs manageables TP-Link.
 
Si vous avez des conseils ou des retours d'utilisation sur Tp-Link, je suis preneur
 
 
 
 
 

Hello,
je ne connais pas trop les TP-Link (je suis plus cisco).
Pour une meilleure compréhension, peux-tu faire un schéma réseau?
Les plans d'adressages sont différents?
Les passerelles des clients sont bien freebox + accès internet numéro 2 pour les clients concernés?
Accès internet 2 est un routeur ou une box?
Ils sont tagués en access sur les switchs ou en trunk?

Salut
Voici un shéma grossier des switchs :
 

 
Les plans d'adressages sont identiques : 192.168.10.x (avec passerelle 10.2 pour free, et 10.1 pour bureaux)
accès internet 2 : routeur zyxel
sur mes switchs, à priori pas de notion d'accès ou trunk (pour faire un trunk, je tague le port correspandant et je l'affecte aux deux vlans)

Souvent on utilise un plan d'adressage par vlan, pour éviter la confusion et être sur d'attaquer le bon équipement.
Car par exemple le 192.168.10.2 peut etre un client dans le vlan 3 et la freebox dans le vlan 2.
Niveau schéma cela me semble cohérent.
Vlan 2 freebox en mode access
Vlan 3 Omega en mode access.
Trunk entre les switchs pour laisser passer les vlans.
Tous tes clients sont tagués en access dans le vlan correspondants?

Oui, je c'est comme ça pour des raisons historiques, mais je pense à change le range pour le réseau freebox.
Sur les vlans, les ports sont en untagged avec un pvid correspondant au numero de vlan (c'est un peu différent de cisco)
Ce qui est étrange, c'est qu'on arrive à pinger une passerelle qui est sur un autre vlan, mais la réponse au ping est super lente, voir un ping sur deux qui passe

pour la Freebox et Omega + tes clients, il faut que tu sois en tagué.
Ce que je te conseilles au lieu de toucher en premier à la prod, fait tes essais sur le réseau invité et profite de changer le plan d'adressage.
 
Tag de la freebox sur port du switch en vlan 2.
Tag des ports du switchs des clients du réseau invité en vlan2.
 
Si c'est ok -> même chose pour la prod mais en vlan 3.

Peut-être ça peut t'aider:
https://www.tp-link.com/fr/support/faq/570/
 
TRUNK:  Le port Trunk peut être ajouté dans plusieurs VLAN et permet de connecter un appareil en cascade au réseau, c'est à dire lier un commutateur à un autre. La règle de sortie par défaut est TAG.
 
GENERAL:  Le port général peut également être ajouté à plusieurs VLAN. La règle de sortie par défaut est UNTAG (les ordinateurs acceptent le plus souvent les trames non tagués).
 
ACCÈS:  Le port d'accès peut être ajouté à une seule ID de VLAN.
 
Ce que je te conseille
Le trunk = interco switch - routeur mais tu n'as pas de routeur dans ton cas.
General = Par exemple pour les bornes wifi qui diffusent plusieurs réseau.
ACCES: clients.
 
Ensuite tu peux utiliser le Mode General si tu as des tel IP et le pc est branché sur le tel. Dans ce cas tu laisses passer le VLAN VOIX + le VLAN que tu désires 2 ou 3 et tu tagues les ports untag dans le vlan correspondant.

Je te remercie pour les éclaircissements, je vais revérifier ma conf à 14h

 
Merci, je vais essayer, mais quel est l'intéret de taguer les ports du vlan2 ?
 
Sinon, je viens de faire le tour de mon premier switch 24, et aucune notion de trunk/general/acces, les seuls paramètres modifiables sont tag/untagged et le pvid.

Je ne comprends pas ta question, ta freebox n'est pas capable de taguer un vlan du coup tu le fais au niveau du port du switch pour dire que tout traffic de ce port est du vlan 2.
Les pc en rj ayant accès au réseau invité aussi faut les taguer.

si tu n'as que tag/untagged et pvid.
Mettre pour ton réseau invité -> untag pvid 2

Il me semble que sur Tp-Link, c'est le PVID qui ajoute une balise sur les trames qui viennent des pcs ou freebox

Je pense que ce lien correspond à ton schéma avec la notion untag, tagged, pvid.
 
https://www.tp-link.com/fr/support/faq/788/
 
Je ferais donc un vlan dédié:
- pour la box Omega
- pour la  freebox
- pour les clients de la freebox (invité)
- pour les clients Omega
- pour l'inteco entre les switchs.
J'ai l'impression qu'il n y a pas de notion de trunk.

trunk et tag 802.1q ça correspond à une même réalité technique, ie trames ethernet taggées avec leur vlan id via le protocole 802.1q (ce qui permet de faire transiter plusieurs vlans sur un même port/câble).
Faut essayer de comprendre un minimum la théorie avant d'implémenter sinon ça va être compliqué (et en effet malheureusement les constructeurs ont adopté des paradigmes différents pour décrire la configuration de leurs équipements, même si au final les résultats sont les mêmes).
Ensuite en espérant que ton switch le permette (mais normalement c'est une fonctionnalité de base), regarde les tables MAC, comme ça tu verras directement quelle machine est mise dans quel vlan, et tu verras facilement d'où vient le problème.

Merci pour vos conseils, j'ai changé mon range IP sur la vlan2 pour éviter les confusions, et revérifié mon cablage, à priori ça semble étanche maintenant. Je n'arrive plus à reproduire le problème (ce qui est assez frustrant en fait)

Salut,
 
A vu du problème, as-tu bien enregistré ta configuration dans le switch ?
 
Cela me rappelle des pertes de config après une coupure elec sur des HP où si tu n'enregistres pas en haut de page, tu perds la config

Salut
Oui la conf a été bien enregistrée.
Ça m’est arrivé une fois ou deux aussi, je ne me fais plus avoir

Si tu veux t'assurer de la bonne étanchéité de tes VLAN maintenant que tu as mis en place des plans d'@ IP différents, tu peux tester de la façon suivante :
- depuis un PC relié au VLAN bureau
- tu te mets en IP fixe avec une adresse dans le plan d'@ du VLAN invités
- tu tentes un ping vers le routeur du VLAN invité sur ce même plan d'@

=> si le routeur répond, tu as un soucis de configuration qq part.

Edit : on est bien d'accord que dans tes différents VLAN, aucune machine cliente n'a comme passerelle par défaut une IP d'un de tes switchs ?

C'est exactement ce que j'ai fait pour mes tests de ping, et ça ne répond plus.

Parfait, et quand tu as eu des soupçons sur l'étanchéité, à part des tests de ping, as-tu tenté une prise en main sur l'interface de gestion de la passerelle de l'autre VLAN ?
 
En gros, étais-tu certain que derrière l'adresse IP associée à l'autre passerelle, c'était vraiment la passerelle qui répondait et pas une machine lambda de ton même VLAN ?
(voilà pourquoi il faut des plans d'@ différents comme dit plus haut ^^)

Oui, j'ai fait cette vérif aussi, et c'est bien le bon équipement qui répondait, d'ailleurs ma freebox envoyait des réponses dhcp à mes clients du VLAN bureaux qui en faisait la demande, c'est comme ça que j'ai découvert le problème, et comme ce DHCP était sur le même range, mais renvoyait de mauvais DNS et une mauvaise passerelle ça mettait la zone

Chelou ^^
 
Il doit y avoir un truc tout bête qu'on rate pour expliquer le pb que tu rencontrais.
Bref, à surveiller

Oui, si je trouve, je le posterai ici

Question bête : tes switchs sont uniquement L2, pas de fonctions L3 ?

le 24 ports est L2 uniquement, le 48 ports est L3

Et tu n’aurais pas configuré des trucs en L3 sans faire gaffe ?

faut quand même y aller fort pour configurer des adresses IP sur des interfaces sans faire gaffe

Je n'ai rien configuré en L3
 

C'est ce que je disais, c'est pour des raisons historiques, à l'époque le réseau n'était pas très équipé, et on utilisait la freebox comme failover, d'où le range d'ip identique