Bonjour.  
 
Je suis actuellement en étude informatiques, et pour un TP nous devons réaliser le plan suivant :  
 

 
Dans ce plan, nous devons mettre les ordinateurs Compta, et Direction ensembles, ils doivent pouvoir se voir et se ping. Facile.
 
- Nous devons aussi mettre le pc créa sur le réseau, mais il ne doit PAS VOIR compta et Direction.
 
- Nous sommes donc dans des calculs de masques sous-réseaux, pour diviser notre réseau de base, lui créer des "compartiments".
 
- On part d'un réseau déja fait, avec une passerelle déjà faite, et une plage ip déjà faite car attribuée pour mes postes d'office de classe avant.  
 
Il as les paramètres suivants :
 
Passerelle : 192.168.106.94
Masque sous réseau : 255.255.255.224 (/27)
Plages ip dispo grâce au sous réseau de base pour moi : 192.168.106.64 à 192.168.106.93 (sans la passerelle du coup).
 
- La réalisation du TP jusqu’à aujourd'hui
 
- J'ai utilisé mon masque de sous réseau existant en /27.  
- J'ai attribué, dans ce masque de sous-réseau en /27 les ip's des pc's de compta, et de direction : 192.168.106.65 et 192.168.106.66
- J'ai ensuite, "crée" / "utilisé" un nouveau masque de sous réseau en /28
- Ce sous réseau en /28 me permets de caser, seul, dans son coin, mon pc "créa / ingé". Je lui ait donné l'ip 192.168.106.92 pour l'éloigner au maximum des autres.  
 
Le résultat final devrait être OK, mais il se trouve que mon ingé, qui est plus bas (/28 pour lui /27 pour les autres) dans mon sous réseau arrive quand même, malgré la configuration à ping les pc direction et compta...  
 
Il est pourtant bien en dessous, bien séparé du reste.  

Est-ce qu'il y'a quelque-chose que je fais mal ?
 
La seule piste de ce soir : :  
 
Nous sommes branché sur un "gros switch" hp procurve 2626", nous ne l'avons pas paramétré. Est-ce que ce switch joue dans le fait que mon ingé puisse ping ma direction et compta ? Il y'a un paramétrage à lui faire EN PLUS des ordinateurs ?  
 
 
Thx

192.168.106.64/27 c'est les adresses de 192.168.106.64 à 192.168.106.95. D'après ce que tu dis, toutes tes machines routeur compris sont dedans. Si le but est de faire de la séparation, ce n'est pas bon. Il faut que ton /28 que tu veux mettre à part soit créé à l'extérieur de ton /27.

Mon 28 est bien crée à l'exterieur de mon 27, en fait je vais te le schématiser j'ai fais ça comme ça :  
 
https://www.casimages.com/i/200818082539968543.png.html
 
Sur mon schéma, ma plage "/27" pars bien de 192.168.106.64 à 192.168.106.95 < plage de base
 
Dedans j'ai mit "D entouré > direction" et "C entouré : Compta"
 
En dessous j'ai crée mon sous réseau / 28 avec dedans entouré en I "Ingé / Créa".
 
Mon ingé comme dit plus haut est en 192.168.106.92
Ma compta et direction ont les ip 192.168.106.65 et 192.168.106.66
 
Donc, mon ingé étant isolé de la créa et direction par le masque sous réseau devrais ne pas voir les autres postes. Il est cloisonné plus bas de son côté.

92 est bien entre 64 et 95, on est d'accord là-dessus ? Donc ta machine ingé est bien à l'intérieur du 192.168.106.64/27.

Oui 92 est bien entre 64 et 95, mais ma machine ingé as un masque sous réseau différent, elle est en /28. La plage que la machine ingé voit, doit du coup être pour le /28 là genre : encadré en vert
https://www.casimages.com/i/200818084453548653.png.html
 
Tout ce qui est hors de ce cadre vert, la machine ingé ne doit pas la voir donc ?  
 
Je suis obligé de passer par la passerelle en 192.168.106.94, pas le choix =/ D'ou le fait que je veuille mettre l'ingé la et la Direction + compta hors du "champ visuel" de l'ingé en vert sur mon plan  

Si le PC ingé a le routeur en passerelle par défaut, quand tu tentes d'envoyer un paquet vers les autres PC il va l'envoyer à la gateway, qui va le renvoyer à la machine destinataire. Et la machine destinataire pour répondre va faire de la remise directe puisque de son point de vue le PC ingé est "directly connected" (ie à l'intérieur du /27).

Honnêtement le problème tel qu'énoncé n'a pas vraiment de sens, il n'y a pas vraiment d'isolation, personne ne ferait jamais ce genre de chose.

Dans un scénario plus réaliste, il y aurait deux réseau distincts (par exemple /28) avec chacun leur passerelle (et au niveau ethernet ils seraient aussi chacun dans leur vlan).

Le pc ingé as la même passerelle que les pc Direction et compta du coup, car visiblement on est bloqué par le réseau qu'on as déjà en place qui est déjà en /27 et as des passerelles fixes.
 
Si j'étais en entreprise vraiment, si j'ai bien compris, pour séparer mes direction + compta et mon pc ingé, j'aurais juste fais ça :  
https://www.casimages.com/i/200818085852247613.png.html
 
Et la, de part la séparation du /28, aucun ne se voyait.
 
 
J'ai juste des restrictions bizarres de part ce qui est déjà en place et cette passerelle que tout le monde vois comme tu le dis

Et du coup, normal que tout le monde se ping, puisque tout le monde utilise la même "Gateway" / passerelle

Dernier message :  
 
Si tu étais tombé face à cet exo
 
Avec la même passerelle pour tout le monde (ingé, compta, direction)
 
Que cette passerelle était fixe et inamovible.  
 
Comment tu aurais fait toi pour que l'ingé soit séparé des autres, en soi, à cause de la passerelle commune c'est impossible si je comprends bien ?

oui c'est impossible.

Par ailleurs, il faut faire attention avec les termes vagues comme "se voir" ou "être séparé" car quand on creuse un peu on peut l'interprèter de différentes façons :

- jusque là on n'a pas parlé de vlans, pourtant même si des machines sont dans des réseaux IP bien distincts, tant qu'elles sont dans le même vlan elles peuvent communiquer au niveau ethernet, faire du trafic ARP, etc. Elles ne sont donc pas isolées, on peut donc dire qu'elles "se voient". Dans le monde réel, la séparation par réseaux IP va de pair avec la séparation par vlans

- deux machines dans deux réseaux bien distincts séparées par un routeur ne peuvent pas échanger de paquets directement (au sens où elles ne sont pas "directly connected" ), mais elles peuvent tout à fait se pinguer et donc se "voir", c'est juste que dans se cas le routeur fait transiter les paquets d'un réseau à un autre (il fait son boulot de routeur). C'est pour ça que dans ce genre d'exercice quand il est question d'empêcher des machines de communiquer mais qu'il y a quand même un routeur dans l'énoncé, il faut se demander quel est le but réel de l'énoncé.

Quand on parle de machines qui doivent ou doivent ne pas pouvoir se joindre, il faut donc définir de quoi on parle à tous les niveaux :
- se joindre au niveau ethernet ? (notion de vlan)
- se joindre au niveau IP en remise directe ? (notion de sous-réseau)
- se joindre au niveau IP sur réseau routé ? (notion de routeur intermédiaire)

(et il existe encore d'autres niveaux au dessus après ça : joignabilité au niveau TCP/UDP avec la notion de firewall stateful, joignabilité au niveau appli avec tout un tas d'outils comme des proxies etc)

Du coup je ne sais pas du tout sur quel niveau ils parlent =/  
 
Jusque-là j'essayais de comprendre pourquoi toutes mes machines communiquaient malgré des masques de sous réseau différents, et tu as répondu : Ils ont tous la même passerelle, donc peu importe le sous réseau ça communique
 
Après, comment faire pour ne pas faire communiquer tout ce beau monde à mon avis ça va être des notions qui vont nous être apportées plus tard, car je ne vois pas trop.  
 
Qu'entends tu par "se joindre en ip en remise directe" car c'est peux être la le truc ?  
 
Jusque'ici pour tester si mes pc se voyaient, je lançais une commande "ping 192.168.106.65" depuis mon pc ingé, pour voir le pc direction.  
 
Je veux juste bloquer ça en fait, que le pc ingé ne puisse pas ping le pc direction, c'est tout ce que je sais =/

Encore merci pour les réponses complètes d'ailleurs Je vais déjà continuer à fouiller ça demain ^^ on attaque juste le réseau et les notions de base

En simplifiant un peu, quand une machine A veut envoyer un paquet IP à une machine B, A regarde l'adresse IP de destination (de B donc) et arrive à une de ces deux conclusions :

- Si B a une IP qui est dans le même réseau que A (réseau défini par l'IP de A et toutes celles qui sont "autour" d'après son masque), alors c'est ce qu'on appelle de la remise directe. Dans ce cas, pour envoyer le paquet, A fait une requête ARP pour demander à son entourage quelle est l'adresse MAC de B, obtient sa réponse, et envoie finalement le paquet IP sur le LAN, encapsulé dans une trame ethernet avec l'adresse MAC de B en destination.

- Si au contraire B a une IP qui est en dehors du réseau de A (toujours d'après l'IP de A et son masque), alors on est dans un cas où il va falloir passer par un routeur (à supposer qu'il y en ait un). Dans le cas basique il y a un seul routeur, qui sert la route par défaut. A doit donc envoyer son paquet non pas à B directement, mais au routeur. Donc même process que tout à l'heure, requête ARP sur le LAN pour connaitre l'adresse MAC du routeur, encapsulation du paquet IP dans une trame ethernet qui a pour destination l'adresse MAC du routeur. Ensuite le routeur reçoit le paquet (qui a toujours B comme IP destination) et charge à lui de se débrouiller pour l'acheminer jusqu'à B (et si B est directement connecté au routeur via une autre interface, le routeur se retrouve à son tour dans le cas "remise directe" décrit juste au dessus - en fait le routage IP fonctionne exactement pareil sur un routeur que sur un PC)

Un point qu'il faut bien comprendre, c'est que la notion de masque est locale à chaque machine (elle n'est communiquée à aucun moment entre les machines), et ce n'est pas parce que A considère que B est dans le même réseau qu'elle, que l'inverse est forcément vrai. Donc lors d'un ping le paquet aller peut être en remise directe et le paquet retour peut passer par le routeur, ou l'inverse, suivant ce que chaque machine aura décidé concernant ce qui fait partie de son réseau local.
Par contre ça n'a pas vraiment de sens de mettre en place volontairement ce genre de configuration et dans la pratique on ne fait jamais ça, on fait en sorte que les machines sur un même réseau aient le même "avis" sur quelles IP font partie de leur réseau local (et on leur met donc toutes le même masque, et des IP qui tombent dans le même réseau d'après ce masque).

tu peux :
- éteindre le routeur
- débrancher le routeur
- enlever l'IP du routeur
- enlever la route par défaut via le routeur sur la machine ingé (les machines non ingé pourront toujours envoyer des paquets à la machine ingé, mais pas l'inverse, donc le ping ne marchera pas)
- mettre sur la machine ingé une route bidon vers le 192.168.106.64/27 (ou /28) via une adresse IP du 192.168.106.80/28 qui ne correspond à rien, de façon à lui faire perdre volontairement tous les paquets à destination des machines d'à côté
- configurer le PC pour qu'il ne réponde plus au pings

Voilà, je ne dis pas que ces solutions sont intelligentes, mais elles devraient marcher Après je te conseillerais de ne pas trop perdre ton temps sur cette question en particulier car présentée comme ça elle n'a pas grand intérêt je trouve. Essaye surtout de comprendre d'une part les adhérences entre les vlans (la couche ethernet) et IP dans le cadre de l'isolation réseau, et d'autre par le routage IP (le fonctionnement d'une table de routage, l'algorithme LPM), qui sont vraiment les bases du réseau et dont pour le coup tu vas te resservir en permanence.

Ce sujet a été déplacé de la catégorie Systèmes & Réseaux Pro vers la categorie Emploi & Etudes par Je@nb

Arrêtez avec ces histoires de problèmes de masques, y'en a marre