Vlan

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Vlan

Messagepar NeoAragorn » 22 Fév 2005 16:12

Bonjour
en fait, je me trouve dans une entreprise qui veut mettre des vlan en place.
D'un coté il y a un réseau Ip 10.x.x.x et de l'autre 172.20.x.0
le noeud principal du réseau est le switch des 6000, ( le seul administrable du réseau)
en fait, je dois faire en sorte que certains postes du réseau 10 puissent accéder a des ressources ( serveurs) du réseau 172
et les postes du réseau 172 ne doivent pas accéder au réseau 10
j'ai test selon l'adresse mac et ports = cela ne convient pas
la je suis sur le norme 802.1q et je ne comprend pas trop comment ca marche
qq pourrai m'expliquer ?


je pensais mettre en place un routeur entre deux switchs pour faire communiquer les vlan ?

voila
je ne sais pas si j'ai bien expliqué mon pb
NeoAragorn
Matelot
Matelot
 
Messages: 2
Inscrit le: 22 Fév 2005 16:07

Messagepar krisnalada » 22 Fév 2005 21:14

Il faut faire du trunking entre les VLANs pour que ca marche et avec un routeur, ca te permettra de filtrer le traffic avec des access list.

Je présume que tu parles de Catalist 6000, voici donc les commandes :
pour creer en vlan
(en mode config)
vlan database
vlan <numero_vlan>

pour l'assigner à un port :
interface fastethernet 0/9 (enfin celle qui s'applique quoi)
switchport mode access
switchport access vlan <numero_vlan>

pour creer un trunk sur un port (par exemple le port qui va relier ton switch et ton routeur)
interface fastethernet 0/12
switchport mode trunk
switchport trunk encap dot1q (je te conseille de rester en 802.1Q)

si tu as un routeur cisco, il fo config une interface ethernet avec des sub interfaces (une différente pour chaque VLAN)

exemple :
sur le routeur en mode config :
interface fastethernet 0/1.110 (pour le 110, généralement on met le numero de vlan, sinon ben 1, 2 ...)
encapsulation dot1q <numero de vlan> (ici fo mettre la même que sur le switch donc dot1q)
ip address <adresse ip> <mask de sous reseau> (l'adresse ip c'est l'adresse de la sous interface du routeur, ca doit être une des adresses ip dans le vlan )

et voila

Pour restreinde les acces, ben y a plus qu'a mettre des access list sur les interfaces du routeur.

lol, comme quoi, des fois ca me sert d'avoir une certif cisco ^_^
Avatar de l’utilisateur
krisnalada
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 270
Inscrit le: 24 Jan 2005 19:09
Localisation: UK

Messagepar NeoAragorn » 24 Fév 2005 15:50

c'est que des switch dlink
et en fait, le problème c''est que j'ai qu'un switch administrable
l'autre ne l'ai pas
ca pose un pb pour le trunking ?
NeoAragorn
Matelot
Matelot
 
Messages: 2
Inscrit le: 22 Fév 2005 16:07

Messagepar gregory.legrand » 24 Fév 2005 15:54

NeoAragorn a écrit:c'est que des switch dlink
et en fait, le problème c''est que j'ai qu'un switch administrable
l'autre ne l'ai pas
ca pose un pb pour le trunking ?


Pour créer tes VLAN sur chacun des swtich il faut que tes 2 switchs soient administrables (pour le trunking aussi...)

C'est bien cela que tu voulais savoir?
Avatar de l’utilisateur
gregory.legrand
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 185
Inscrit le: 08 Fév 2005 09:50
Localisation: Orléans et Brest

Messagepar krisnalada » 24 Fév 2005 20:36

En effet, ca pause un problème ... Il faut que les switchs soient administrables, de toute façon, sur un switch non administrable, tu ne peux pas allouer les différents ports à des VLANs
Avatar de l’utilisateur
krisnalada
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 270
Inscrit le: 24 Jan 2005 19:09
Localisation: UK


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité