Bonjour,
 
J'aurais besoin d'un coup de main pour configurer mon switch. Je souhaiterais que la machine VLAN2 ne puisse accéder à aucun port du switch, si ce n'est celui qui mène au firewall (boite du haut), c'est à dire le port numéro 1.  
 

 
Tous les ports du switch connectés à des machines sont en Access, les VLANs semblent correctement configurés puisque la machine VLAN2 n'accède à rien, et les VLAN1 se voient entre elles. J'ai mis le port 1 en mode Trunk, mais visiblement ça ne suffit pas, la machine VLAN2 n'arrive pas à sortir.
 
Toutes les IPs sont dans le même sous-réseau 192.168.1.0.
 
Une idée ?
 

qu'est-ce que tu appelles "sortir" ? au niveau IP ça donne quoi ?

Tu fais 2 vlan mais tu fous le même réseau IP, ya un bleme là ...

il te faut deux réseaux IP distincts, et deux interfaces IP sur ton firewall (ou l'équipement qui fait du routage), une dans chaque réseau.

Ah il faut nécessairement un sous-réseau par VLAN ? C'est fâcheux  

c'est un peu le but des vlan qd même

Pour moi le but c'était de segmenter le réseau.
Là, de ce que tu me dis, ça sert juste à faire des économies en switches, au lieu d'en avoir un par sous réseau, on peut mettre plusieurs sous-réseaux sur un.

les vlans/réseaux IP ça sert à segmenter le réseau, oui. Et ça n'aurait aucun sens de séparer au niveau ethernet mais pas IP.

Bonjour,
 
1 Vlan 192.168.1.X
1 Vlan 192.168.2.X
 
1 switch port mode-access pour laisser passer les trames sur chaque port sur lequel il y a un PC.
1 switch port mode-trunk sur les ports trunk.
 
Ensuite, tu as forcément un routeur sur ton réseau qui gère le routage inter-vlan sinon ça ne sert à rien.
 
C'est un sujet pro ? Je doute...
 

Merci.
Oui c'est un sujet pro, je vais pas m'emmerder à faire des VLANs chez moi  

 
Deux interfaces physiques tu veux dire ? On peut pas avoir un seul port sur le firewall, mais possédant 2 interfaces virtuelles (dans le cas où on a seulement 2 VLAN) ?
Genre :
- VLAN 1 : 192.168.1.0, passerelle : 192.168.1.1 (= ip de l'interface virtuelle no 1 sur le port 1 du firewall)
- VLAN 2 : 192.168.2.0, passerelle : 192.168.2.1 (= ip de l'interface virtuelle no 2 sur le port 1 du firewall)
?
 
 

bah non je te dis deux interfaces IP, justement en opposition à deux interfaces physiques

Et il faut pas oublier de configurer le firewall pour gérer le trunk me semble

 
D'accord. Ca peut servir à la maison. 1 Vlan parents, 1 Vlan enfants et pas besoin de surveiller les mômes la nuit. ^^

Je n'en suis pas là encore
 
Voilà ce que j'ai niveau configuration sur mon firewall :
 

 
J'ai pas touché aux switches donc tous les ports sont sur le VLAN1.
Pourtant je n'arrive pas à pinguer le firewall depuis le LAN (adressé en 192.168.1.0/24).
Une idée ?
 

J'ai trouvé ... pour une raison que j'ignore les ports de mon routeur étaient en mode trunk par défaut  

Je reviens à la charge
 
Voici le schéma de mon archi :

 
Le but : faire cohabiter VLAN1 et VLAN2 (pas encore présent) sur mes switches.
Actuellement, tous les ports des switches sont mappés sur le VLAN1 et les postes connectés dessus ont pour passerelle par défaut le routeur en bas (qui ne gère pas les VLANs, donc le but est de le supprimer au profit du routeur du haut, qui lui les gère).
 
Les branchements sont pour l'instant ceux du schéma, et depuis n'importe quel poste pluggué sur mes switches j'arrive à pinguer l'interface virtuelle du VLAN1 sur le routeur du haut, c'est un bon début.
 
J'aurais donc trois questions :
 
1) Pour faire cohabiter plusieurs VLANS, il faut, si j'ai bien compris, que je passe tous les ports d'interconnexion des switches (port 2 sur le switch 1, port 1 sur le switch 2, et ports 1 et 2 sur le switch 3) en mode trunk ? C'est ça ?
 
2) En passant le port 2 du switch 1 en mode trunk, tous les postes présents sur ce switch ont été déconnectés du réseau (impossible d'atteindre la passerelle par défaut). Me confirmez-vous que c'est simplement car je n'ai pas configuré l'autre extrémité du branchement (le port 2 du switch 3 donc) en mode trunk ?
 
3) Suite à cette déconnexion, j'ai même perdu l'accès à la configuration du switch 1 depuis les postes connectés sur ce switch ?? Pourquoi ?
 
 

oui

oui

les postes avaient toujours une adresse IP ? si le DHCP est sur le routeur ils l'ont peut-être perdue...

 
Et bien non, je suis en adressage fixe  

Bonjour,
 
Je reviens avec mes questions
Voilà où j'en suis :
 

 
Au niveau des VLANs, tout fonctionne : une machine plugguée sur un port "VLAN1" choppe un adressage par le DHCP du VLAN1, et idem pour une machine plugguée sur un port "VLAN2".
C'est au niveau des configurations des switches que je ne comprends pas pourquoi ça fonctionne    
 
J'ai 2 Cisco et 1 HP.
Sur les ports trunk des 2 Cisco, j'ai bien sûr configuré le VLAN2 en "tagged" mais j'ai été obligé de laisser le VLAN1 en "untagged" sinon rien ne marchait. Pourquoi ?
Sur le HP c'est encore pire, tout est en "tagged", sinon pareil, ça ne fonctionne pas.
 
Sauriez-vous pourquoi ?
 

Bonjour,

Fais attention aux protocoles que tu utilises. En effet, certains sont propriétaires cisco et ne sont pas forcément compatibles avec les switchs/routeurs hp and co. ^^

Dans un environnement multi-marques, il faut utiliser les protocoles standards. Je pense en particulier aux RIP/BGP/OSPF ...

 
le vlan 1 est un vlan spécial, dès le moment où tu as plusieurs vlans il est conseillé de ne pas l'utiliser. En tout cas tu ne peux pas le mettre en trunk.

 
Bon bah si tout plante je saurai d'où ça vient.
Je touche du bois en attendant.

Bon j'en rajoute une couche
 
Le "DHCP du VLAN1", d'IP 192.168.1.60, attribue des adresses de 192.168.1.100 à 192.168.1.150.
Une borne wifi, branchée en trunk, et possédant elle aussi un DHCP, attribue des adresses de 192.168.1.180 à 192.168.1.200.
Elle irradie les SSID suivants :
- "reseau1" sur VLAN1
- "reseau2" sur VLAN2
 
Problématique : bloquer le "DHCP du VLAN1" pour que les clients wifi "reseau1" utilisent le DHCP de la borne (le DHCP du VLAN2 passe lui aussi, mais c'est exactement ce que je veux).
 
J'ai tenté un truc comme ça sur le port sur lequel est branché la borne, mais ça suffit visiblement pas :

 
Une idée ?
 

stop, ce n'est pas une bonne façon de faire. Plutôt que de bloquer les messages, il faut penser un système dans lequel ils ne sont pas envoyés/transmis, puisqu'ils sont inutiles.

Tu as deux serveurs DHCP qui attribuent des IPs sur le même réseau ? c'est pas bon.
Tu dis que tu as deux réseaux wifi différents, mais tu ne donnes qu'un range pour le deux ? précise.

Sauf bonne raison de faire autrement, fais un seul serveur DHCP avec un range bien défini par réseau.

 
Oué mais je voudrais justement pouvoir faire des ACL différentes selon que la personne est connectée en filaire ou pas sur le VLAN1, c'est pour ça que j'ai 2 DHCP ...
Le DHCP du VLAN2 dessert le reseau2, et voilà le range : 192.168.2.100 à 192.168.2.150 mais c'est clairement pas lui qui pose problème  

si le fait d'être connecté en filaire ou pas à une importance, sépare en deux réseaux, un filaire, un wifi.

Genre un 3ième VLAN 192.168.3.0/24 pour le wifi "reseau1" ?

par exemple oui.

Ca m'arrange pas    
Mais je vais suivre ton conseil, je vire le DHCP de la borne, j'étends celui du "serveur DHCP VLAN1", et je fais des réservations DHCP pour les 3 péquins connectés en wifi à qui je dois restreindre les accès ...