Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3067 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  [RESOLU] CISCO VLAN niv. 3 Isolation

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[RESOLU] CISCO VLAN niv. 3 Isolation

n°101077
FredoJFO
Posté le 24-09-2012 à 12:39:47  profilanswer
 

Bonjour à tous et à toutes,
 
Après avoir fait des recherches sur Internet, je me permet de venir poster ce message sur le forum.
je n'ai pas réussi à trouver de réponse à ma question, ou alors ça me semblait ambigu.
j'espère que quelqu'un pourra m'aider.
 
Voila je présente le contexte.
Imaginons un fournisseur de VoIP qui a des clients qui lui sont relié par des lignes sdsl (pas d'Internet, mais des liaisons spécialisées).
Donc les clients sont reliés au fournisseur via un routeur cisco, puis via un SBC (parefeu/routeur voip).
 
Si l'on part du principe que nous gérons le réseau de lignes SDSL (tous les clients passeraient via nos équipements), je dois donc prévoir l'isolation de chacun d'entre eux.
 
Ma question est comment gérer l'isolation des clients ?
J'ai deux pistes pour faire des VLAN de niveau 3 :
- les subinterfaces
- les VRF
 
Ci dessous les schémas des deux architectures.
 
http://img15.hostingpics.net/pics/720446Dessin1.png
 
http://img15.hostingpics.net/pics/290504Dessin2.png
 
Ensuite mon autre question c'est l'isolation entre le SBC et le routeur, les deux étant reliés par un seul lien.
Donc je ne sais pas si je dois propager les VLAN jusqu'au SBC ou non ?
Par défaut le routeur empêche t'il aussi les VLAN de communiquer entre eux (routage inter vlan).
Concrétement les clients doivent parler avec le softswitch et pas entre eux.
Mes pistes sont t'elles bonnes ?
 
Si je ne suis pas assez clair, n'hésitez pas à me le faire savoir :)
Bonne journée


Message édité par FredoJFO le 26-09-2012 à 23:56:07
mood
Publicité
Posté le 24-09-2012 à 12:39:47  profilanswer
 

n°101156
dreamer18
CDLM
Posté le 25-09-2012 à 18:05:25  profilanswer
 

Tes lignes SDSL in fine arrivent en Ethernet au format RJ45 via un DSLAM ?
 
Comme ça quoi :
 
http://www.cisco.com/en/US/prod/co [...] 08940.html
 
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps4324/images/white_paper__c78_608940-2.jpg
 
Si c'est le cas tu mets tout le monde dans le même subnet et si tout arrive sur un seul switch tu fais du "protected port" (private vlan edge) c'est même supporté sur un 2960; sinon du vrai private vlan avec tout le monde en isolated.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°101159
FredoJFO
Posté le 26-09-2012 à 00:20:41  profilanswer
 

Merci pour cette première réponse :)
 
Je met une architecture un peu plus claire.
Les SDSL passent par un réseau GBE.
Les clients auraient un switch level 3 de type CISCO ME 3400, idem pour nous.
Chaque ME est relié au GBE.
Donc entre le GBE et nous, nous avons un lien avec tous les flux des clients.
 
Voici l'architecture :
http://img4.hostingpics.net/pics/544892Dessin1.png
 
Dans ce type de configuration, le Private VLAN marcherait ?
Entre le SBC et le ME, je mettrais un primary VLAN et entre le ME et le GBE un isolated (tout comme entre les ME des entreprises et le GBE).
 
Du coup je pense que le private vlan edge ne pourrait pas s'appliquer ici vu qu'il n'y a qu'un seul lien partagé entre le GBE et notre ME ?

n°101160
dreamer18
CDLM
Posté le 26-09-2012 à 06:45:12  profilanswer
 

Je ne comprends pas un truc; tes clients sont en L2 ou en L3 ? :D
 
Où se trouvent les points de routage. Si t'es en L2 du client jusqu'à ton équipement sur l'équipement qui fédère toutes les lignes tu peux faire du PVLAN; sinon si tout est routé tu vas devoir te taper des access-lists :(


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°101161
FredoJFO
Posté le 26-09-2012 à 07:09:02  profilanswer
 

Nous allons utiliser le niv. 3 avec les ME, à la fois coté nous que coté client.
Cela nous permettra, par exemple, de faire du HSRP pour de la haute disponibilité (deux équipements chez chaque clients, pareil pour nous).  
Donc chaque client aura une adresse IP (d'où ma question sur le PVlan ou sur la nécessité de faire des sous réseau).
Par contre entre les clients et nous, il n'y a que du niv. 2 (GBE).
 
Merci pour l'aide :)


Message édité par FredoJFO le 26-09-2012 à 07:14:17
n°101162
FredoJFO
Posté le 26-09-2012 à 07:28:56  profilanswer
 

Voici un schéma peut être plus clair.
 
http://img4.hostingpics.net/pics/46966363dd.png
 
Donc en bas on voit bien les switchs level 3 des clients qui auraient chacun une adresse IP (même réseau ou sous réseau ?).
Et en haut le notre qui aurait la/les siennes.
 
Le lien passe par le GB Ethernet, et donc reste entièrement en niveau 2.
On voit aussi que l'ensemble des flux arrivent sur un port unique du ME coté chez nous.
 
Du coup à la base je me disais que j'allais devoir faire des VLANs avec des réseaux/sous réseaux différents.
Mais peut être que le PVLAN marcherait, même si je n'en suis pas sur.
 
:)

n°101163
dreamer18
CDLM
Posté le 26-09-2012 à 07:54:31  profilanswer
 

Non; si tu routes chez tes clients tu vas faire un gros subnet d'interco avec des routes statiques; les routeurs chez les clients n'ayant que des default routes configurées.
 
C'est toi qui impose le plan d'adressage de tes équipements chez le client ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°101210
FredoJFO
Posté le 26-09-2012 à 23:17:23  profilanswer
 

Effectivement c'est moi qui impose le plan d'adressage des équipements chez le client entre eux et nous.
Cependant les default routes n’empêcheraient pas la communication niveau 2 si je ne me trompe pas.
N'y aurait t'il pas du coup des failles de ce coté là ?

n°101211
dreamer18
CDLM
Posté le 26-09-2012 à 23:19:48  profilanswer
 

Non, pas si tes équipements routent ;) il faut juste que tes clients ne puissent pas prendre la main sur tes équipements pour ajouter des routes vers les autres clients. Au pire sur ton réseau L2 pour le coup tu peux faire du private Vlan ;)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°101212
FredoJFO
Posté le 26-09-2012 à 23:54:33  profilanswer
 

D'accord super merci pour ces infos :)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  [RESOLU] CISCO VLAN niv. 3 Isolation

 

Sujets relatifs
VLAN et NestasqCisco Catalyst Lite
Dhcp pour plusieurs VLAN[CISCO PIX 506E] Redirection de port
Question sur ASA ciscoQuel type de vlan choisir
Problème VPN Site to Site entre 2 Cisco SA520Déterminer l'appartenance à un VLAN en fonction de l'utilisateur
[RESOLU] Problème de configuration VPN côté client sur Cisco SR520[VPN] Configuration Cisco RV042
Plus de sujets relatifs à : [RESOLU] CISCO VLAN niv. 3 Isolation


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR