Bonjour.
hi, je rencontre des problemes pour la mise en place d un reseau; pour deservir internet pour plusieurs réseaux locaux. Isolé par des VLAN.
locaux A == VLAN 3
locaux B == VLAN 4
locaux C == VLAN 5
Etc, juste car 8 VLAN
Pour la mise en places de VLAN. J`utilise un swicth Linksys 224P.
Pour le serveur DHCP j utilise IPcop/Firewall. Avec deux interfaces reseaux 10/100mbits :
eth0 WAN
eth1 LAN
Schema Réseau :
INTERNET----------MODEM-------------IPCOP------------SWICTH LINKSYS--------------VLAN 3 a 12
Ipcop
interface WAN = eth0 / 25.154.256.31
interface LAN = eth1 / 192.168.0.1
LAN des differents réseaux :
eth1:3 / 192.168.3.1
eth1:4 / 192.168.4.1
eth1:5 / 192.168.5.1
eth1:6 / 192.168.6.1
eth1:7 / 192.168.7.1
eth1:8 / 192.168.8.1
eth1:9 / 192.168.9.1
Swicth linksys
Port swicth 3 Vlan 3
Port swicth 4 Vlan 4
Port swicth 5 Vlan 5
Port swicth 6 Vlan 6
Port swicth 7 Vlan 7
Port swicth 8 Vlan 8
Port swicth 9 Vlan 9
La difficulte pour moi est de configurer le swicth pour qui fonctionne avec mon serveur ipcop via les reseau virtuel pour chaque VLAN.
Le support technique ne peuvent me support pour mettre celui-ci en place.
Pour moi la realisation cette archicteture reseau est fesable. Seul par facile est n ayant pour pas toutes les notions et connaissance de topologie reseau 802.1q Vlan
Swicth + Serveur Linux + Probleme
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
Swicth + Serveur Linux + Probleme
par P-touch » 15 Mai 2007 15:55
- P-touch
- Matelot
- Messages: 2
- Inscrit le: 15 Mai 2007 15:38
par Wizard_Spike » 15 Mai 2007 18:09
hum... j'avoue ne pas avoir de connaissance en VLAN, malheureusement. Cependant je me pose quelques questions après avoir lu le user guide de ton switch. Je me permets de poster ici ma réflexion espérant orienter ta recherche....
Pour moi, un switch qui gère des VLAN est un switch que l'on peut "découper" en plusieurs switchs indépendants en affectant un à un ses ports à des VLANs différents et ainsi pouvoir séparer "physiquement" son réseau en plusieures parties indépendantes et "hermétiques".
L'avantage de ce système est de pouvoir, sans toucher aux branchements, spécifier/changer immédiatement l'appartenance d'un port à un VLAN, donc l'appartenance d'une machine à un réseau "physique".
Si l'on part de ce principe, cela veut dire que pour 2 VLANs qui veulent discuter entre eux, il faut une machine qui servira de passerelle entre ces deux réseaux (à priori comme on change de sous-réseau, je ne vois pas d'autre moyen).
Si on s'arrête là, cela veut dire que ton IpCop doit avoir 10 cartes réseaux !! (1 Internet et 9 LANs) ... ... ... pas terrible...
Après cette réflexion, on peut se demander quand même si il n'existerait pas un port ou un VLAN spécial qui servirait de point d'entrée. Un accès par lequel on pourrait déservir tous les autres VLANs... Je n'ai pas vu dans le User Guide une quelconque affectation d'une adresse IP de sous-réseau à un VLAN. Il ne semble pas y avoir de lien entre VLAN et adresse IP à priori, mais rien n'empêche d'effectuer une requête ARP sur tout le switch pour savoir par quel port envoyer le message (comme c'est le cas normalement). Le point d'entrée serait un port ou un VLAN qui ne tiendrait pas compte des VLANs...
Ce point d'entrée serait justement là où brancher ta passerelle Internet (je pense que tu avais deviné
).
Alors j'ai vu qu'il y a une histoire de "tagged", "untagged" et "none" qui définit l'appartenance ou non d'un port à un VLAN et la possibilité de "tagger" les paquets au sein du VLAN. Mais je ne sais pas à quoi cela correspond et l'explication est assez spartiate...
Peut-être que quelqu'un d'autre à une idée là dessus...
Pour moi, un switch qui gère des VLAN est un switch que l'on peut "découper" en plusieurs switchs indépendants en affectant un à un ses ports à des VLANs différents et ainsi pouvoir séparer "physiquement" son réseau en plusieures parties indépendantes et "hermétiques".
L'avantage de ce système est de pouvoir, sans toucher aux branchements, spécifier/changer immédiatement l'appartenance d'un port à un VLAN, donc l'appartenance d'une machine à un réseau "physique".
Si l'on part de ce principe, cela veut dire que pour 2 VLANs qui veulent discuter entre eux, il faut une machine qui servira de passerelle entre ces deux réseaux (à priori comme on change de sous-réseau, je ne vois pas d'autre moyen).
Si on s'arrête là, cela veut dire que ton IpCop doit avoir 10 cartes réseaux !! (1 Internet et 9 LANs) ... ... ... pas terrible...
Après cette réflexion, on peut se demander quand même si il n'existerait pas un port ou un VLAN spécial qui servirait de point d'entrée. Un accès par lequel on pourrait déservir tous les autres VLANs... Je n'ai pas vu dans le User Guide une quelconque affectation d'une adresse IP de sous-réseau à un VLAN. Il ne semble pas y avoir de lien entre VLAN et adresse IP à priori, mais rien n'empêche d'effectuer une requête ARP sur tout le switch pour savoir par quel port envoyer le message (comme c'est le cas normalement). Le point d'entrée serait un port ou un VLAN qui ne tiendrait pas compte des VLANs...
Ce point d'entrée serait justement là où brancher ta passerelle Internet (je pense que tu avais deviné
).
Alors j'ai vu qu'il y a une histoire de "tagged", "untagged" et "none" qui définit l'appartenance ou non d'un port à un VLAN et la possibilité de "tagger" les paquets au sein du VLAN. Mais je ne sais pas à quoi cela correspond et l'explication est assez spartiate...
Peut-être que quelqu'un d'autre à une idée là dessus...
Linux c'est dur!! pfiou....
-
Wizard_Spike - Aspirant
- Messages: 125
- Inscrit le: 20 Août 2003 00:00
par fred-info » 16 Mai 2007 12:33
Salut,
P-touch je pense que tu fais fausse route avec ton architecture réseau.
Mais tu as peut-être aussi de très bonnes raisons pour l'avoir choisit.
J'ai un doute aussi sur DHCP vu ce que tu décris.
Tu as donné tes @ip mais les masques sont essentiels pour débuter une reflexion.
Si tu pouvais nous en dire un peu plus.
Niveau de confidentialité entre les réseaux.
Nombre de postes par réseau, de serveurs, leurs fonctions.
Services partagés, ...
A bientôt.
P-touch je pense que tu fais fausse route avec ton architecture réseau.
Mais tu as peut-être aussi de très bonnes raisons pour l'avoir choisit.
J'ai un doute aussi sur DHCP vu ce que tu décris.
Tu as donné tes @ip mais les masques sont essentiels pour débuter une reflexion.
Si tu pouvais nous en dire un peu plus.
Niveau de confidentialité entre les réseaux.
Nombre de postes par réseau, de serveurs, leurs fonctions.
Services partagés, ...
A bientôt.
- fred-info
- Lieutenant de vaisseau
- Messages: 200
- Inscrit le: 04 Oct 2006 14:57
par antolien » 16 Mai 2007 14:48
En fait il faut que ipcop puisse communiquer avec tous les vlans.
Pour cela il faut que les vlans soient en "tagged" sur le port du switch où ipcop est branché.
Puis il faut que ipcop gère les vlans, ce qui n'est pas le cas il me semble.
Pour cela il faut que les vlans soient en "tagged" sur le port du switch où ipcop est branché.
Puis il faut que ipcop gère les vlans, ce qui n'est pas le cas il me semble.
-
antolien - Amiral
- Messages: 3134
- Inscrit le: 31 Août 2002 00:00
par P-touch » 16 Mai 2007 20:53
Wizard_Spike a écrit:Après cette réflexion, on peut se demander quand même si il n'existerait pas un port ou un VLAN spécial qui servirait de point d'entrée. Un accès par lequel on pourrait déservir tous les autres VLANs... Je n'ai pas vu dans le User Guide une quelconque affectation d'une adresse IP de sous-réseau à un VLAN. Il ne semble pas y avoir de lien entre VLAN et adresse IP à priori, mais rien n'empêche d'effectuer une requête ARP sur tout le switch pour savoir par quel port envoyer le message (comme c'est le cas normalement). Le point d'entrée serait un port ou un VLAN qui ne tiendrait pas compte des VLANs...
Ce point d'entrée serait justement là où brancher ta passerelle Internet (je pense que tu avais deviné
Alors j'ai vu qu'il y a une histoire de "tagged", "untagged" et "none" qui définit l'appartenance ou non d'un port à un VLAN et la possibilité de "tagger" les paquets au sein du VLAN. Mais je ne sais pas à quoi cela correspond et l'explication est assez spartiate...
Peut-être que quelqu'un d'autre à une idée là dessus...
Dans mes :
Mon premier test. j`avais deservir le VLAN 1 au port 1 , dans lequel été brancher le lan du serveur Ipcop. Non fonctionnelle ou mauvaise configuration.
Mon deuxieme test. j ai ai reserv. le port 24 du swicth TRUNK.. dans le quelle été branche le lan du serveur IPcop, ou les VLAN été tagger dessus.
Non fonctionnelle ou mauvaise configuration.
fred-info a écrit:Salut,
P-touch je pense que tu fais fausse route avec ton architecture réseau.
Mais tu as peut-être aussi de très bonnes raisons pour l'avoir choisit.
J'ai un doute aussi sur DHCP vu ce que tu décris.
Tu as donné tes @ip mais les masques sont essentiels pour débuter une reflexion.
Si tu pouvais nous en dire un peu plus.
Niveau de confidentialité entre les réseaux.
Nombre de postes par réseau, de serveurs, leurs fonctions.
Services partagés, ...
A bientôt.
Merci , pour des point interrogation. que je trouve fort intéressant.
Pour le choix de mon implementation a quitté apres divers lecture et recherche. Qui ma semblé la plus securitaire face : aux bugtets, exigences des clients, la solidité du reseau. Mais ca peut etre discuté avec vous. ou critique constructive.
Concernant l adressage ip, de chaque reseaux qui sera distingué par VLAN.
également que les vlan ne communique par entre eux.
Sera
Pour le VLAN3 - Name VLAN : Data Internet Site A
LAN : 192.168.3.0
MSQ: 225.255.255.0
Gateway : 192.168.3.1
----------------------------------------------------------
Pour le VLAN4 - Name VLAN : Data Internet Site B
LAN : 192.168.4.0
MSQ: 225.255.255.0
Gateway : 192.168.4.1
----------------------------------------------------------
Pour le VLAN5 - Name VLAN : Data Internet Site C
LAN : 192.168.5.0
MSQ: 225.255.255.0
Gateway : 192.168.5.1
----------------------------------------------------------
etc...
Sécurité :
Chaque VLAN sont isolé les uns des autres.
il sera impossible de faire de scan, ping,
Chaque unite ip (station de travail, serveur, imprimante serveur, Serveur TSE, Active directory, AP, Smarphone) tout appareillage IP est liste par lors adresse mac, dans lors VLAN repectifs. impossible de s associer a d autres VLAN Ou ajouter un nouveau element ip.
Concernant le deploiement des VLAN :
VLAN A === admin pour acceder au interface swicht
VLAN B === réseau local B = 6 station XP - 2 suse - 1 Active directory - serveur impression
VLAN C === serveur backup
VLAN D === serveur antivirus
VLAN E === AP Wireless
VLAN F === réseau local F = 10 station XP - imprimante réseau
VLAN G === réseau local G = 6 station XP - 2 suse - 1 Active directory - serveur impression
VLAN H === réseau local H = 6 station XP - 2 suse - 1 Active directory - imprimante réseau
VLAN I === réseau local I = 10 station XP - imprimante reseau
VLAN J === serveur
VLAN K === caméra Ip
VLAN L === réseau local L = 10 station XP - imprimante réseau
VLAN M === réseau local M = 10 station XP - imprimante réseau
Nota :
le VLAN C peut acceder au VLAN B pour des backups
le VLAN D peut acceder au VLAN B et VLAN F pour Antivirus.
le VLAN L et VLAN M peuvent communiquer ensemble.
ACL
Le VLAN A = port 443
etc...
antolien a écrit:En fait il faut que ipcop puisse communiquer avec tous les vlans.
Pour cela il faut que les vlans soient en "tagged" sur le port du switch où ipcop est branché.
Puis il faut que ipcop gère les vlans, ce qui n'est pas le cas il me semble.
Quelle est pour toi la difference entre tagged et untagged.
Thks P-Touch
- P-touch
- Matelot
- Messages: 2
- Inscrit le: 15 Mai 2007 15:38
par addyll » 23 Mai 2007 03:29
Untagged : on ne fait passer qu'un seul vlan à travers un ports du switch
Tagged : on fait passer tous les vlan -> c'est cette solution que tu dois adopter pour ton ipcop. Relier un port Tagged de ton switch vers l'inteface d'ipcop sachant que cette interface doit avoir toutes les adresse IP que tu a citées (192.168.3.1 ; 192.168.4.1 etc...). Il faut aussi que le protocole 802.1q soit implémanté sur ton ipcop sinon ca marchera pas.
Quelques liens pour t'aider :
http://etudiant.univ-mlv.fr/~flebleve/c ... net_2.html
http://www.linux-france.org/prj/inetdoc ... utage.html
Bonne chance
Tagged : on fait passer tous les vlan -> c'est cette solution que tu dois adopter pour ton ipcop. Relier un port Tagged de ton switch vers l'inteface d'ipcop sachant que cette interface doit avoir toutes les adresse IP que tu a citées (192.168.3.1 ; 192.168.4.1 etc...). Il faut aussi que le protocole 802.1q soit implémanté sur ton ipcop sinon ca marchera pas.
Quelques liens pour t'aider :
http://etudiant.univ-mlv.fr/~flebleve/c ... net_2.html
http://www.linux-france.org/prj/inetdoc ... utage.html
Bonne chance
- addyll
- Quartier Maître
- Messages: 21
- Inscrit le: 19 Déc 2004 02:24
par Franck78 » 23 Mai 2007 10:55
Salut p-touch,
Dis moi si je me trompe, mais je t'imagine débarquant dans ta PME d'environ 60 postes avec la mission d'améliorer le service réseau.
Débutant frais émoulu de l'école [au vu des questions], la tête remplie d'idées pour isoler, controler, limiter les échanges entre stations: pleins de vlans résoudra tout.
Et bien c'est loin d'être évident et gérable.
Ainsi tu inverses déjà les règles. C'est un client qui accède à un serveur. Et le serveur backup est le client qui interroge les machines à sauvegarder.
VLAN C,D,J,K: des serveurs. D'accord. Mais qui les utilise? Quand tu verras que BFGHILM accédent à au moins un serveur en CDJK...bonjour la multiplication des régles!
Les imprimantes près des clients. L'idée à l'air bonne. Mais pas vraiment en fait. En supposant qu'elles sont gérées par le serveur d'impression windows, chaque client s'adresse uniquement au serveur d'impression qui lui même s'occupe de piloter l'imprimante. Pas de lien entre client workstation et imprimante.
Elles seraient donc mieux dans leur LAN (pas vlan) vu la taille des jobs en général.
Conseils: VLAN avec parcimonie. Pour isoler la compta du reste par exemple.
bye
Dis moi si je me trompe, mais je t'imagine débarquant dans ta PME d'environ 60 postes avec la mission d'améliorer le service réseau.
Débutant frais émoulu de l'école [au vu des questions], la tête remplie d'idées pour isoler, controler, limiter les échanges entre stations: pleins de vlans résoudra tout.
Et bien c'est loin d'être évident et gérable.
VLAN B === réseau local B = 6 station XP - 2 suse - 1 Active directory - serveur impression
VLAN C === serveur backup
le VLAN C peut acceder au VLAN B pour des backups
Ainsi tu inverses déjà les règles. C'est un client qui accède à un serveur. Et le serveur backup est le client qui interroge les machines à sauvegarder.
VLAN C,D,J,K: des serveurs. D'accord. Mais qui les utilise? Quand tu verras que BFGHILM accédent à au moins un serveur en CDJK...bonjour la multiplication des régles!
Les imprimantes près des clients. L'idée à l'air bonne. Mais pas vraiment en fait. En supposant qu'elles sont gérées par le serveur d'impression windows, chaque client s'adresse uniquement au serveur d'impression qui lui même s'occupe de piloter l'imprimante. Pas de lien entre client workstation et imprimante.
Elles seraient donc mieux dans leur LAN (pas vlan) vu la taille des jobs en général.
Conseils: VLAN avec parcimonie. Pour isoler la compta du reste par exemple.
bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par Wizard_Spike » 24 Mai 2007 15:28
ohooo, je vais me coucher moins ignorant ce soir...
Merci pour ces explications !!
Merci pour ces explications !!
Linux c'est dur!! pfiou....
-
Wizard_Spike - Aspirant
- Messages: 125
- Inscrit le: 20 Août 2003 00:00
9 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)