Overlap ou non ? [résolu]

taarka · Participant Inscrit le: 29 Sep 2006 Messages: 33

Bonjour,

Je me pose une question sur mon architecture.

- j'ai un firewall PIX
- j'ai un commutateur de niveau 3
- et 4 commutateur de niveau 2

Chaque commutateur de niveau 2 est relié directement au commutateur de niveau 3.
mon commutateur de niveau 3 est relié au PIX.

Sur chaque commutateur de niveau 2 j'ai 3 vlan (exemple):
- 10.0.0.0 /24 ==> vlan2
- 10.0.1.0 /24 ==> vlan3
- 10.0.2.0 /24 ==> vlan4

je ne veux pas du tout que mes vlans puissent communiquer mais je veux que les paquets provenant du pix arrivent sur les bons vlans.

Voici les questions Smile

- Ou dois-je mettre mes passerelles réseaux ? (10.0.0.254 ; 10.0.1.254 ; 10.0.2.254)

- sur le commutateur de niveau 3 ? dans ce cas là je risque d'avoir un problème d'overlap sachant que chaque commutateur de niveau 2 est relié directement au commutateur de niveau 3, non ?

- sur le pix?

GunSamir · Visiteur Inscrit le: 01 Aoû 2008 Messages: 19

Pas tres sur de ma reponse, mais je pense qu'il faut créer des subinterfaces sur le pix et definir les passerelles.

taarka · Participant Inscrit le: 29 Sep 2006 Messages: 33

En effet c'est ce que je pense aussi.
Je voudrais une confirmation en faite.

-Si je définit mes passerelles sur mon commutateur de niveau 3, sachant que sur 4 ports j'aurai le même adressage IP avec les même sous interfaces définissant les même VLAN, dans ce cas là j'ai un overlap, non ?

exemple:
commutateur de niveau 3 :
port 1 sous interface 1 vlan 2 10.0.0.255
port 1 sous interface 2 vlan 3 10.0.1.255
port 1 sous interface 3 vlan 4 10.0.2.255

port 2 sous interface 1 vlan 2 10.0.0.255
port 2 sous interface 2 vlan 3 10.0.1.255
port 2 sous interface 3 vlan 4 10.0.2.255

Overlap ? non ?

- Ensuite, si je passe par mon PIX, le pix devient routeur, je tagged le port d'interco entre le commutateur de niveau 3 et le pix, et dans un sens mon commutateur de niveau 3 ne fait plus que du niveau 2, non ?

- l'unique moyen pour utilisé mon commutateur de niveau 3 serait de mettre un seul lien vers un commutateur de niveau 2 puis chaque commutateur de niveau 2 les uns derrières les autres mais ce qui m'ennuies c'est qu'il s'agit de commutateur bas de gamme et si je fais comme cela, alors un seul supportera toute la charge.

gunm · Posté le: Lun Aoû 11, 2008 4:52 pm Sujet du message:

oulà! tu as un switch multilayer ou un routeur? parce que tu te fais des nœuds au cerveau pour rien là!
Si tu as un switch multilayer, il te suffit de mettre un lien trunk entre ce switch multilayer et chacun de tes switchs puis de créer des interfaces vlans pour chaque vlan (ces interfaces serviront de default gateway pour chaque vlan) et d'activer l'ip routing pour que tout ce petit monde fonctionne!

Sinon si tu as effectivement un routeur, le seul moyen est de concentrer tous tes switchs sur un seul switch (par le biais de liens trunks) puis de faire du routage inter vlan sur ton routeur grâce à du dot1Q comme expliqué ci-après:
http://www.labo-cisco.com/fr/articles/administration-reseaux/vlan.html

ensuite pour l'interco avec ton pix, il te suffit de mettre une interface layer 3, d'affecter de part et d'autre une adresse ip (/30) puis de mettre un protocole de routage type ospf pour que les deux communiquent leurs réseaux.

si tu as des soucis n'hésite pas à demander!
_________________
Cordialement,

~~~ GunM ~~~

taarka · Participant Inscrit le: 29 Sep 2006 Messages: 33

Non, pour les noeux ça va ! Very Happy

cela viens du faite que je m'explique mal.

Il s'agit d'un commutateur de niveau 2 qui fait aussi du niveau 3. Il peut donc faire du routage et dans mon cas du routage inter-vlan. (aucune ambiguïté la dessus)

taarka · Participant Inscrit le: 29 Sep 2006 Messages: 33

d'avance merci

gunm · Posté le: Lun Aoû 11, 2008 6:38 pm Sujet du message:

et c'est là ou tu te trompes, tu ne dois pas faire des sous interfaces mais considérer ton switch multilayer comme un switch niveau 2 ET un routeur, ainsi tu propages tous tes vlans au switch niveau 2 par des liens trunks et grâce à tes interfaces vlans, tu fais communiquer le tout grâce au routeur interne du switch.

ainsi ta conf pourrait être

conf t

ip routing (très important, pour spécifier à ton switch de lancer son routeur interne)

int fa0/1
switchport
description ***vers switch1***
switchport trunk encapsulation dot1Q
switchport mode trunk
switchport trunk allowed vlan 1,2,3,4
no sh
exit

int fa0/2
switchport
description ***vers switch2***
switchport trunk encapsulation dot1Q
switchport mode trunk
switchport trunk allowed vlan 1,2,3,4
no sh
exit

int fa0/3
no switchport
description ***lien vers pix***
ip address 10.1.0.253 255.255.255.252
no sh
exit

interface vlan 2
ip address 10.0.0.254 255.255.255.0
no sh

interface vlan 3
ip address 10.0.1.254 255.255.255.0
no sh

interface vlan 4
ip address 10.0.2.254 255.255.255.0
no sh

ip route 0.0.0.0 0.0.0.0 10.1.0.254 (adresse ip du pix)

voilà, c'est plus propre ^^

ensuite sur ton pix, soit tu mets des routes pour joindre les différents vlans, soit tu mets en place entre ton commutateur niveau 3 et ton pix un protocole de routage type OSPF ou RIP v2 si tu veux pas te prendre la tête.

Là ya tout si tu veux plus, n'hésite pas (VTP, ACLs...)
_________________
Cordialement,

~~~ GunM ~~~

taarka · Participant Inscrit le: 29 Sep 2006 Messages: 33

Tous d'abord un grand merci Razz

.

Je n'avais jamais configuré de switch multilayer (ou commutateur de niveau 3) uniquement des switch ou des routeurs pour faire des vlan.

Je ne connaissais pas ce concept d'interface vlan, pour moi il n'y avais qu' une table de vlan, une application du vlan sur l'interface en mode trunk ou access, puis un routage via des sous interface.

Ok je comprend maintenant et grâce à toi Wink

Une dernière question stp Smile

gunm · Posté le: Mar Aoû 12, 2008 9:25 am Sujet du message:

euh, là ya overlap et ça marche pas! t'es obligé de mettre des adresses ip différentes sur tes interfaces vlans, si tu veux grouper tes vlans tu peux toujours faire des bridges groups.
_________________
Cordialement,

~~~ GunM ~~~

taarka · Participant Inscrit le: 29 Sep 2006 Messages: 33

Ok merci pour cette confirmation.

Vraiment bravo et merci pour tes explications Wink

.

gunm · Posté le: Mar Aoû 12, 2008 10:02 am Sujet du message:

de rien ^^ si t'as d'autres soucis, demande!
_________________
Cordialement,

~~~ GunM ~~~

taarka · Participant Inscrit le: 29 Sep 2006 Messages: 33

Ok en faite j'ai une dernière question Embarassed

.

Je vais essayer d'être claire Surprised

.

Dans cette même archi:

Internet ------Pix ----- switch L3 --[tag]---- switch B
...............................................--[tag]-----switch C

si j'ai cela comme conf sur mon switch L3 :

int fa0/1
switchport
description ***vers switchA***
switchport trunk encapsulation dot1Q
switchport mode trunk
switchport trunk allowed vlan 1,2,3,4
no sh
exit

int fa0/2
switchport
description ***vers switchB***
switchport trunk encapsulation dot1Q
switchport mode trunk
switchport trunk allowed vlan 1,2,3,4
no sh
exit

int fa0/3
no switchport
description ***lien vers pix***
ip address 10.0.0.253 255.255.255.252
no sh
exit

uniquement sans ip routing ni de configuration d'interface VLAN.

configuration des commutateurs L2:

configuration sur mon commutateur B
Port 1/11 ==> acces vlan 2
Port 12/23 ==> acces vlan 3
Port 24 ==> trunk all

configuration sur mon commutateur C
Port 1/11 ==> acces vlan 2
Port 12/23 ==> acces vlan 3
Port 24 ==> trunk all

Ensuite l'ensemble de mes PC derrière mes commutateurs B et C quelques soit le vlan sont sur le même réseau
10.0.0.0 /24
et pointe sur la passerelle du PIX. 10.0.0.254

Sur mon pix je n'ai pas de vlan ni de tag jusqu'au commutateur L3

-Les pc appartenant au même vlan pourront dialoguer (ARP) car il ne passeront pas par la passerelle du pix.

-les PC appartenant à différent VLAN ne pourront pas dialoguer car le routage n'est pas activé.

Mais pourront il recevoir des paquets provenant d'internet?
Internet ------Pix ----- switch L3 --[tag]---- switch B
...............................................--[tag]-----switch C

Rolling Eyes

gunm · Posté le: Mar Aoû 12, 2008 10:46 am Sujet du message:

1) ça peut pas marcher
2) une interface L3 sans IP routing, ça n'a pas de sens (et puis le switch sera pas d'accord)
3) quand bien même ça fonctionnerait comment se ferait la décision de routage?

ce que tu veux faire s'appelle des privates vlans, un petit exemple:
http://forum.labo-cisco.com/liens-entre-vlan-t9496.html
_________________
Cordialement,

~~~ GunM ~~~

taarka · Participant Inscrit le: 29 Sep 2006 Messages: 33

quels est la différente entre un private vlans et un vlans normal.

Switch(config)#vlan 2
Switch(config-vlan)#name Production
Switch(config-vlan)#private-vlan community
ou
Switch(config)#vlan 2
Switch(config-vlan)#name Production
Rolling Eyes

que signifie :
switchport mode private-vlan promiscuous

a quoi cela sert il ? Rolling Eyes

taarka · Participant Inscrit le: 29 Sep 2006 Messages: 33

j'aurai du googler cette question désolé, en passant très bonne article ici :
[url]
http://images.google.fr/imgres?imgurl=http://indianware.com/images/vlans_trunking_7.jpg&imgrefurl=http://indianware.com/tech/switching/vlans_trunking_5.html&h=400&w=500&sz=20&hl=fr&start=3&um=1&tbnid=hfbBcCurwJKuvM:&tbnh=104&tbnw=130&prev=/images%3Fq%3DPVLANs%26um%3D1%26hl%3Dfr%26client%3Dfirefox-a%26rls%3Dorg.mozilla:fr:official%26sa%3DN [/url]

Dommage que cette notion de PVLAN n'apparaisse pas souvent dans des tuto ou autre cours sur les vlans.

Merci !
je crois que je n'est plus de question
Cool