PO20 a écrit :
Là je touche le fond de mon incompréhension :
Supposons que je mette sur le même port physique 2 Vlans V1 et V2 et que j'ai donc plusieurs pc sur ce même port physique sensés ne pas se voir. Ces pc ne savent pas s'identifier avec des tags.
|
Cela est impossible, si tu as 2 vlans configurés sur un même port, ils sont forcément taggés (ou au pire un est non taggé et l'autre l'est). Ensuite pour tout vlan qui fonctionne en mode taggé sur ce port, la machine en face doit également être configurée pour émettre/recevoir ses trames sur ce tag (aka vlan id).
Ce qu'il se passe dans une config d'entreprise classique, c'est qu'entre le routeur/firewall et les postes il y a un switch, et le tagging sert surtout sur le lien entre le routeur et le switch. Les machines clientes sont branchées sur le switch, chacune sur leur port. Ce dernier peut donc fonctionner en mode non taggé (tout en permettant quand même que différentes machines soient dans différents vlans).
PO20 a écrit :
Supposons que pour V1 et V2 j'active le DHCP avec donc des plages de ports différentes.
>Quand je branche une machine sur le port physique, comment, par quelle magie, le routeur peut-il savoir que la machine est à mettre sur V1 ou V2 quand il fait son job de DHCP ?
|
Pas de magie donc, il se fie simplement à la configuration de son port et le tag avec lequel la trame est arrivée (si elle en avait un).
PO20 a écrit :
Supposons maintenant que le DHCP est inactif
>Si je branche une machine sur le port physique partagé par V1 et V2, suffirait-il que je donne une IP propre à V1 pour que la machine fonctionne sur V1 en étant isolée de V2 ?
>A quoi me servirait les tags vu que ce serait juste l'IP de la machine qui conditionnerait le choix du Vlan ?
>Quid de la sécurité, 802.1q seul ne permet pas ici de brancher une machine inconnue qui serait branchée avec une IP valide. Faudrait-il pouvoir gérer autre part les IP autorisées ou non sur chaque Vlan ?
|
L'IP n'a rien à voir là dedans, 802.1q est un concept purement ethernet, ce qu'il y a dans le payload des trames ethernet (que ce soit de l'IP, IPv6, ARP ou n'importe quoi d'autre) n'a aucune influence à ce niveau.
En tant que mécanisme de sécu, 802.1q n'a pas du tout pour objectif de permettre ou d'interdire des machines d'accéder au réseau, il permet simplement de créer différents réseaux étanches les uns des autres sur un même matériel (switch, routeur).
---------------
♪ look at me still talking when there's science to do, when I look up there it makes me glad I'm not you ♪