[Résolu] Routage inter-vlan sans sous-réseaux.

[Pug]

Bonjour à tous!

J'ai une petite question sur les Vlans.
Je cherche à faire du routage inter-vlan.

Pour l'instant je travaille avec Packet tracer pour faire des tests. J'ai lu beaucoup de choses dans le cas ou on associait un sous-réseau à un vlan. Dans ce cas il faut créer des sous-interfaces determiner l'encapsulation et leur attribuer une adresse IP.

Dans mon cas j'ai 2 VLAN sur un switch et un seul réseau, donc comment faire au niveau du routeur pour qu'il puisse faire communiquer les vlan entre eux ?

Voilà ma configuration de test :

J'ai créer 2 vlan par ports sur un switch:
VLAN2 : p1=>p4
VLAN3 : p22=>p24

Le port 20 du switch est en mode trunk et rélié au port FastEthernet0/0 du routeur.

Les postes du Vlan2 et 3 ont une adresse en 192.168.0.0/24
La passerelle correspond au port fastEthernet du routeur, 192.168.0.100

Merci d'avance à tous ceux qui liront ce post.

[gunm]

Inutile de poster dans plusieurs sections le même message, surtout que cela n'a rien à voir avec la sécurité!
_________________
Cordialement,

~~~ GunM ~~~

[Pug]

Je me suis trompé de section et je ne savais pas comment virer mon post d'ici. Désolé.

[47843]

Pourquoi faire 2 vlans si c'est pour utiliser le même réseau? D'une part je ne pense pas que cela soit possible d'autre part je n'en vois pas l'intérêt...
_________________
MIGETTE Bastien - SCT Cisco

[Pug]

Pour pouvoir segmenter le réseau sans avoir à créer de sous-réseaux. J'ai finalement abandonné l'idée et je suis en train de créer des sous-réseaux.

[47843]

le principe des sous réseau, c'est justement de segmenter ton réseau .
En plus, quand tu as fait ton subnet, imaginons que tu as découpé l'adresse 192.168.1.0/24 en 16 adresses /28, seul le routeur auquel sont connecté ces réseaux doit avoir les 16 routes, les autres peuvent très bien n'avoir qu'une seule route 192.168.1.0/24.
_________________
MIGETTE Bastien - SCT Cisco

[Pug]

Oui je sais pour les sous-réseaux. Je trouvais ça plus simple de pouvoir segmenter le réseau sans avoir à faire du sous-réseau. Mais finalement c'est pas plus simple, voir impossible...

Dit moi, j'ai un routeur et 2 réseaux, est ce que créer un vlan pour chancun de ces réseaux présente un avantage supplémentaire, est-ce plus securisé ?

Merci.

[gunm]

Les vlans ne sont utilisés que pour segmenter ton réseau, tu as besoin de vlans à partir du moment où tu as diverses populations présente sur le même équipement de niveau 2 qui ne doivent pas communiquer entre elles. Si par contre tu n'as qu'un seul type de population par switch, alors il te suffit de connecter chaque switch à un port différent du routeur (qui leur servira de default gateway). Sinon, il n'est pas forcément plus sécurisé d'utiliser des vlans à partir du moment où tu fais du routage intervlan, il faut donc rajouter des acls sur le routeur pour conserver l'étanchéité de tes vlans.

La meilleure solution (la plus sécurisée et la moins gourmande en ports), 2 vlans sur ton switch (et deux subnets différents), un lien trunk 802.1Q entre ton switch et ton routeur, des sous interfaces sur ton routeur correspondantes à tes vlans et des ACLs pour sécuriser le tout.
_________________
Cordialement,

~~~ GunM ~~~

[47843]

Bonjour, je crois que tu n'as pas bien saisi l'intérêt des vlans:
Sur un switch, ou autre équipement de couche2, tu n'as par défaut qu'un seul réseau. En gros sur chaque interface d'un routeur tu relie un switch qui va correspondre à un réseau. Avec les vlans, tu peux avoir plusieurs réseaux séparés par switch, par exemple imagine que tu ai des stagiaires et des commerciaux qui sont dans la même pièces et qui utilisent le même switch, ils ne doivent pas avoir accès aux mêmes ressources, on va donc séparé ces postes en virtual lan (VLAN). Le switch va se comporter comme si il était séparé en 2: on aura une table de commutation par vlan ... et pas de communication inter vlan sans fonctions de routage. J'espère que c'est plus clair .
Donc pour ta question, si tes réseaux sont séparés par un routeur, pas besoin de créer de vlan sur tes switchs, si ils partagent le même switch, dans ce cas oui.
_________________
MIGETTE Bastien - SCT Cisco

[Pug]

Ok, alors dites-moi si ce que je vais dire est juste :

-1 routeur et 2 réseaux
-Dans un des réseaux (192.168.10.0) j'ai un switch sur lequel se connecte 2 type de populations différentes.

-Je créer un Vlan pour chaque population (VLAN2 & VLAN3)
- J'attribue l'adresse 192.168.10.64 /26 au VLAN2
- J'attribue l'adresse 192.168.10.129 /26 au VLAN2

- Sur mon routeur je créer une sous-interface pour chaque Vlan avec encapsulation dot1Q puis une adresse IP.

-Je relie mon switch à mon routeur par un lien trunk
-Et enfin définition des règles de sécurité.

C'est bien ça ?

[gunm]

[Pug]

Ok d'accord,je comprends mieux.

J'ai encore une question, ou plutôt une confirmation.

Dans mon deuxième réseaux, je vais avoir des postes dans un vlan (vlan5) mais pas connectés sur le même switch.

j'ai un switch principal sur lequelle sont connectés 6 switch (par fibre). Je vais devoir créer le vlan5 sur les 6 switch puis sur le switch principal.

Si je fait un trunk entre chacun des 6 switch et le switch principal, puis apres du switch principal vers le routeur, la communication inter-vlan sera possible n'est-ce pas ? (Avec la configuration du routeur qui va bien biensur..)

Merci.

[47843]

Tout à fait, il faut bien que ton switch principal ait tous les vlans de déclarés. Dans ce genre de topologies, il est assez utilse de prendre un switch avec des fonctions de routage, comme les 3550 et supérieurs, cela évite d'avoir un routeur supplémentaire.
_________________
MIGETTE Bastien - SCT Cisco

[Pug]

Ok très bien. Je vais voir ce queje peux faire alors. L'entreprise ou je suis actuellement est pratiquement équipé full HP en matériel actif...Il supporte le 802.1q donc sa devrait aller.

Merci d'avoir pris du temps pour me répondre.
Merci pour toutes vos réponses.