Bonjour à tous,

Nous avons pour projet, là où je travaille, de mettre en place des vlans pour séparer les flux, et améliorer la bande passante.
Mais, nous avons une contrainte : tous les vlans doivent avoir accès un serveur.

Nous avons donc prévu l'achat d'un équipement de niveau 3 (Switch N3), pour réaliser ce projet.

Je me suis lancé sur packet tracer, afin de simuler le projet avant de me lancer sur du physique.
J'ai donc trois VLANs :
 - 1 : default
 - 2 : Adf
 - 3 : Pdg

Les PC sont dans un réseau IP : 10.31.0.00 /16
Le serveur est dans un réseau 192.168.1.0 /24

=> Et il n'y a que le premier vlan qui accède au serveur.
=> Les vlans n'ont pas d'adresse IP.

Quelles sont les configurations nécessaires pour que tous les vlans accèdent à ce serveur ?

Merci pour vos réponses ! Je reste à disposition, afin de donner des informations complémentaires si besoin !

on ne voit pas ton schéma.
 
de plus, tu parles de 3 vlans mais seulement 2 réseaux IP, précise la correspondance.

Il y a en effet 3 vlans, dont celui par défaut qui n'est pas utilisé.  
 
Le premier réseau, est le réseau qui accueil les utilisateurs, qui seront scindés via les deux vlans (Adf et Pdg)
Et le second réseau et celui qui accueillera les serveurs.
 
http://www.noelshack.com/2014-06-1 [...] plifie.png
 
Je me suis peut-être trompé dans la démarche, mais le but de ce projet, c'est d'avoir des flux séparés entre utilisateurs, et d'avoir un serveur accessible pour les deux vlans.  
 
Nous n'avons que des switchs de niveau 2, et on prévoit l'achat de switch de niveau 3.

un réseau = un vlan déjà et après c'est juste du routage (sur ton switch n3) et des acl

D'accord !  
Je voyais les VLAN comme une séparation logique de niveau deux, et le routeur/switch n3 une séparation au niveau trois du modèle OSI. Donc cela reste tout deux des sous réseaux ?  
 
Pourquoi sur ma simulation, le vlan 1 est bien routé, et a accès à tous les serveurs, et les autres vlans non ?  
N'étant pas un spécialiste du domaine, j'ai tenté certaines choses, comme trunker les ports du routeur/sw n3, sans succès. J'ai bien configuré les passerelles pourtant.  
 
La mise en place des ACL pallierait ce soucis de vlans qui passent pas ?
 
Merci pour votre aide !  

oui c'est une séparation logique de niveau 2. Mais si tu as une séparation niveau 2 tu en as forcément une niveau 3.
 
avec ton schéma on peut pas deviner ce qui est configuré donc pourquoi ton vlan 1 a accès aux serveurs
 
tu devrais lire de la doc avant de tester des trucs au hasard, tu gagnerais du temps

Donc, si on oublie mon schéma. Que faudrait-il faire pour que tous mes vlans aient accès au même serveur après un SW n3 ou routeur ?  
 
Si il est possible, as-tu un exemple pour illustrer ?  
 
Je regarderai de la doc volontiers, mais si tu peux m'apporter quelques éléments de réponses permettant d'une part de mieux cibler mes recherches, et d'autre part, enlever des doutes et ignorances qui pourraient être vraiment lacunaires, je suis preneur !

 
2 switchs niveau 2 dans l'exemple qui gèrent les vlan, 1 cisco l3 avec routage (regarde pas où sont branchés les switchs sur le schéma visio fait des conneries )
 
Ports vert : VLAN 10 mode access
Ports orange : VLAN 20 mode access
Port noir : VLAN 2 mode access (serveur)
Ports noirs gras : ports mode trunk
 
Réseau vert : 192.168.1.0/24
Réseau orange : 192.168.2.0/24
Réseau serveur : 10.0.0.0/24
 
Le switch cisco est n3 et a une IP dans chacun des réseau, le routage activé et des ACL pour permettre uniquement les flux vert<>serveur et orange<>serveur

Merci de prendre du temps pour m'expliquer !  
 
Comment fais-tu pour activer le routage (s'il n'est pas activé nativement) sur packet tracer ?  
 
Encore merci !

non, le réseau vert et le réseau orange sont les réseau des machines clientes. Tu les mets dans des vlan différents pour les isoler niveau 2. Pour transporter plusieurs vlan dans un lien il faut un trunk d'où les ports gras. Ca permet aux machines vertes connectées sur des switchs différents de parler entre elles par exemple.
 
l'acess/untagged c'est juste pour éviter de devoir configurer les machines avec des vlan sur leurs cartes réseaux et pour la sécu (éviter qu'une machine verte se dise orange)
 
sans acl tout le monde communique avec tt le monde via la table de routage du routeur/Switch l3, faut donc des acl pour bloquer ce que tu veux.
 
pour activer le routage, un ip routing doit suffire je pense (j'ai jamais fait de packet tracer et j'ai pas touché un switch depuis des années c'est pas mon domaine)

J'ai fait une erreur de lecture, j'avais lu que l'accès du serveur était dans le vlan 20 (au lieu de 2), donc grosse confusion, au temps pour moi !  
 
Oui, j'ai déjà vu ce que c'était de configurer des interfaces virtuelles sur une même carte physique. Faut généralement un utilitaire du constructeur de la carte, et gérer/créer de nouvelles interfaces pour chaque vlan, et tagger le port coté switch.
 
Eh bien grand merci. Je suis un moins dans le doute, et je vais essayer de mettre en pratique cela.

Une dernière petit question !  
 

 
Cette configuration ci, le fait de donner une IP au vlan, cela doit se monter manuellement sur tous les switchs ?

ça se donne à tous les équipements qui parlent niveau 3 ouais donc PC, serveurs et switch l3 (qui est la passerelle des pc donc pour faire simple)

Donc, entre des switchs de niveau 2 ?
 
Car quand je mets ces attributs à un switch de niveau deux (j'ai une vingtaine de switchs de niveau 2 reliés dans différents bâtiments), ils ne sont pas répliqués sur les autres. Pour cela que je me posais la question.  
 
Donc, je ne configure rien sur ces SW n2, je ne le fais que sur les Sw n3 ?

les switchs l2 n'ont pas d'ip sauf pour le management donc non. Je comprends pas ce que tu appelles répliqués

Abus de langage peut-être. Je pense notamment à VTP de Cisco, qui permet de diffuser les vlans sur chaque switchs du "domain" configuré en client, envoyé depuis un switch en mode server.
 
Tu es sûre de cela ? J'ai plein de switch l2 (des HP procurve) auquel je peux affecter différentes adresse sur chaque vlan, enfin il me semble.  
 
http://www.noelshack.com/2014-06-1 [...] -titre.png

fais pas de vtp, configure à la main, tu vas te prendre la tête pour rien.
 
les ip tu peux en mettre pour le management ouais mais ça va pas servir à grand chose sinon vu que tu peux pas router

Voilà ma configuration pour l'instant.  
 
http://www.noelshack.com/2014-06-1391529188--.png
 
Pour les acl, j'ai fait :
SW(conf)#access-list 1 permit 10.31.2.1 0.0.0.255
SW(conf)#access-list 2 permit 10.31.3.1 0.0.0.255
 
Et pour le routage, s'il y a, je ne sais pas quoi faire.

y'a rien à faire, faut juste qu'il soit activé. Par contre tes acl marcheront ou pas suivant l'endroit où tu les appliques.

Ils ont été fait sur le Switch de niveau 3 ! Il doit me manquer quelque chose, car je ne peux pas pinguer encore.

chaque machine pingue bien sa passerelle par défaut, déjà ?
 
et oui tu as créé tes acl sur ton switch niveau 3, mais après il faut les appliquer à des interfaces...

Le Switch pinguait sur chacun des postes/serveurs disposés dans leur VLAN. Donc, à ce niveau là c'est correctement configuré je pense.  
 
Maintenant, j'ai mis en Gateway, l'adresse du vlan auquel est accordé l'équipement.  
http://www.noelshack.com/2014-06-1391594389-zdqz.png
 
A partir de là, chaque machine ping l'adresse de son vlan qui est en passerelle (est-ce bien ce qu'il fallait faire?)
 
Et enfin, les ACL que j'avais déjà mises en place :  
SW(conf)#access-list 1 permit 10.31.2.1 0.0.0.255  
SW(conf)#access-list 2 permit 10.31.3.1 0.0.0.255  
 
Et maintenant après ces deux changements, tout le monde ping tout le monde. Quelle erreur ai-je faite ? Qu'est-ce que je n'ai pas fait ?  
Si ce sont des ACL, je dois mettre quoi ?  
 
Merci pour vos réponses ! En espérant que ce topic aidera également d'autres personnes qui, comme moi, débutent là-dedans.

qu'est-ce que c'est que ces routes ? tu es en directly connected sur tous les réseau, tu n'as pas besoin d'ajouter de route (et en dehors de ça elles ne veulent rien dire, la next hop d'une route doit être un hôte, pas un réseau). C'est vraiment les bases d'IP là, c'est dommage de se lancer dans la mise en place d'une architecture sans même comprendre ce qu'est une route.

Et tu n'as toujours pas dit sur quoi tu avais appliqué tes ACL.

J'ai enlevé les routes.

Mes acl ont été appliqué sur le SW layer 3.
J'ai juste entré la commande donnée plus haut.

En fait, là où je m'y connais peu, c'est arrivé à la couche 3. Je suis en pleine auto-"formation" sur ça.

Un exemple d'application d 'une ACL ?

http://www.cisco.com/en/US/product [...] #applyacls

SW(conf)#access-list 100 deny ip 10.31.2.0 0.0.0.255 10.31.3.0 0.0.0.255
SW(conf)#access-list 100 deny ip 10.31.3.0 0.0.0.255 10.31.2.0 0.0.0.255
 
SW(conf)#access-list 101 permit ip 10.31.2.0 0.0.0.255 192.168.1.0 0.0.0.255
SW(conf)#access-list 101 permit ip 192.168.1.0 0.0.0.255 10.31.2.0 0.0.0.255
 
SW(conf)#access-list 102 permit ip 10.31.3.0 0.0.0.255 192.168.1.0 0.0.0.255
SW(conf)#access-list 102 permit ip 192.168.1.0 0.0.0.255 10.31.3.0 0.0.0.255
 
SW(conf)#int vlan 2
SW(config-if)#ip access-group 100 in
SW(config-if)#ip access-group 101 in
SW(config-if)#exit
 
SW(conf)#int vlan 3
SW(config-if)#ip access-group 100 in
SW(config-if)#ip access-group 102 in
SW(config-if)#exit
 
 
Voilà ce que j'ai fait comme ACL. Cela à l'air de fonctionner. Les deux vlans ping le serveur, mais ne peuvent se pinguer entre eux.  
Après, je n'ai pas très bien compris la notion de IN/OUT.
Les ACLs vous paraissent correctes, ou il y a encore moyen de faire mieux ?

le in c'est pour traiter les paquets qui arrivent sur l'interface depuis le réseau, le out c'est pour traiter les paquets qui sortent de l'interface vers le réseau.

Merci beaucoup pour tes réponses rapides !  
 
Donc, pas de défaut dans la liste postée ?