VLAN sur IPcop : A quoi ca sert ??

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

VLAN sur IPcop : A quoi ca sert ??

Messagepar ShonGail » 29 Sep 2004 11:18

Bonjour,

j'ai lu en diagonale plusieurs posts sur l'ajout de la gestion des VLAN sur un Ipcop.

mais je dois mal comprendre quelque chose ...

Si le but des VLAN est de cloisonner un poste ou un groupe de postes sur un même réseau, cela ne peut se gérer qu'au niveau des switchs.

Qu'est-ce que Ipcop a à voir la-dedans ??

Exemple :

sur mon switch, j'ai branché 3 postes et un ipcop. Sur le switch, je définis 3 VLAN incluant chacun un poste et l'ipcop.

résultat : chaque poste communique avec ipcop mais pas avec ses voisins.

Que le VLAN soit de niveau 1, 2 ou 3, en quoi Ipcop joue t'il un rôle ????
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar tomtom » 29 Sep 2004 11:32

Ta config est un peu etrange !

Cela veut dire que le masque de reseau de ton ipcop n'est pas le même que celui des clients...
Donc, si ton ipcop emet un broadcast, comment va se comporter le switch ???

En théorie, une interface d'un switch ne devrait appartenir qu'à un seul vllan, sauf sur les ports appelés "trunk" dans la littérature cisco. Sur ces ports, on considère que les equipements sont capables de "parler vlan", c'est à dire tagguer leurs trames ethernet en 802.1q (en général, il existe d'autres protocoles pour les vlans).

Dans ton cas, si ton IPCop n'est pas "vlan-aware" (jean-claude, si tu nous entends....), ca risque de poser des problèmes selon le comportement du swicth.
Par contre, si ton IPCop etait "vlan-aware", tu pourrais definir autant de sous-interfaces que tu as ed vlans, chacune dans son vlan...


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar ShonGail » 29 Sep 2004 11:53

L'exemple n'était sorti que de mon esprit.

Pourquoi veux-tu que mon ipcop ait un masque différent ?

imaginons 3 postes en 192.168.0.2, 192.168.0.3, 192.168.0.4 masque 255.255.255.0
ipcop en 192.168.0.1 masque 255.255.255.0

Sur mon switch, j'ai créé 3 VLAN de niveau 3 (par IP). Le 1er contient les IP 192.168.0.1 et 192.168.0.2
le 2nd : 192.168.0.1 et 192.168.0.3, le 3ème : 192.168.0.1 et 192.168.0.4

Comme ipcop est inclu dans chaque VLAN géré par le switch, s'il émet un broadcast alors le switch le laissera passer sur ses 3 VLAN et chaque poste le recevra, non ?

J'ai du mal à comprendre en quoi cela opère une différence quelconque pour Ipcop ?

mais j'avoue ne jamais avoir monté de VLAN, certaines choses doivent donc m'échapper ! :D
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar tomtom » 29 Sep 2004 12:04

ce n'est pas "par ip" un vlan.

un vlan sert à avoir plusieurs reseaux sur un switch.
On le cinfigure en decrivant au swicth quelles interfaces sont dans quel vlan. Ensuite, lorsque'un paquet arive sur une interface du vlan, il n'est renvoye que vers les interfaces gerant le même vlan.

De plus, il y a un "reseau ip" par vlan.

Donc, vlan1 = 192.168.0/24, vlan2=192.168.1/24 etc.

une machine ne peut pas etre directement "dans plusieurs vlans", il faut qu'elle ait des sous-interfaces dans chaque vlan, et qu'lle gere le 802.1q si on veut la connecter sur un port dit "trunk" (port d'un switch gerant plusieurs vlans)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar ShonGail » 29 Sep 2004 12:31

Dans un VLAN de niveau 1 oui

mais dans un vlan de niveau 3 (par IP ou Protocole) ???
et même dans un VLAN de niveau 2 (par MAC adress) ??
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar tomtom » 29 Sep 2004 14:40

Les vlans par port sont peu utilisés.

Dans le cas des vlans par sous-reseau ip, c'est pareil. Le commutateur determine l'apartenance à tel ou tel vlan en fonction du sous-reseau de l'ip source. Mais une plage ip source ne peut etre que dans un seul vlan, car sinon, comment le commutatuer peut-il savoir vers quel vlan destination envoyer les paquets ?

Un vlan est utilisé pour reduire le domaine de braodcast. on ne peut pas mettre des stations dont n veut qu'elles aient le même domaine de boradcast dans des vlans différents.


reprenons ton exemple.

Sur mon switch, j'ai créé 3 VLAN de niveau 3 (par IP). Le 1er contient les IP 192.168.0.1 et 192.168.0.2
le 2nd : 192.168.0.1 et 192.168.0.3, le 3ème : 192.168.0.1 et 192.168.0.4


Supposons que 192.168.0.2 veuille parler à 192.168.0.3 (même domaine de braodcast).
emission d'une requete arp who-as sur le domaine de boradcast. Or le commutateur ne devrait pas reproduire cette trame sur les autres vlans... elle n'ira donc jamais au vlan2, qui ne verra pas la requete.. Ca ne marchera pas.
D'ailleurs, il est probable que la plupart des switches refuseront de créer ces vlans.

Je n'ai de toutes facon jamais vu implementé en entreprise de vlans sans bloquer par ports et en utilisant du 802.1q... pour sortir d'un vlan créé ainsi, il suffit de changer d'ip !


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar cyprien2 » 29 Sep 2004 15:09

Pour communiquer avec plusieurs vlan, ipcop doit pouvoir "parler" le 802.1q. Elle ne peut le faire que si le programme vlan est installé dessus.
en fait, je crois que, avec le 802.1q, chaque trame ip est "taggée" avec le numéro du VLAN devant (mais je n'en suis pas sur).
Avatar de l’utilisateur
cyprien2
Major
Major
 
Messages: 74
Inscrit le: 17 Sep 2002 00:00

Messagepar Gesp » 29 Sep 2004 19:50

en fait, je crois que, avec le 802.1q, chaque trame ip est "taggée" avec le numéro du VLAN devant


Oui c'est de là que vient le problème pour supporter les vlan. La trame est plus longue que les 1500 octets habituels, donc soit le driver et le circuit accepte une trame plus longue, soit il faut réduire la taille des trames.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron