- IPs et VLANs (les bases)
- Par XwZ le 26/05/2008 - Vue 1286 fois
- 5. Les tables de routages
- 6. Les VLANs
- 7. Conclusion
Avant d'étudier les VLANs, nous allons voir quel est le principe des VLANs. Les VLANs sont en fait définis par des normes (802.1d/p/q), qui créent des réseaux virtuels (numérotés, dont un par défaut appelé le réseau invité). Ces réseaux virtuel ssont en fait des sous-réseaux dans un réseau sans avoir à jouer avec les masques de sous-réseaux ou des plages IP différentes. Le seul inconvénient est le prix, car pour mettre en place un réseau basé sur les VLANs il faut au moins 1 switch capable de les gérer et c'est un peu plus cher, mais on ne va pas s'en préoccuper.
Maintenant que les VLANs sont présentés, on va voir les différents niveaux paramétrables, il y en a principalement 2, les VLANs de niveau 1 qui utilisent l'adresse mac de la station cliente, et les VLANs de niveau 2 qui utilisent le numéro de port du switch.
Ici on va plutôt s'attarder sur les VLANs de niveau 2 parce que ceux de niveau 1 sont beaucoup plus pénibles à configurer, il faut saisir l'adresse mac de toute les stations, on perd donc certains avantages, par exemple, si tout les switchs du réseau sont compatibles avec les VLANs de niveau 1 et qu'une personne se déplace sur le réseau, il garde son sous-réseau car comme je l'ai dit plus haut, les VLANs de niveau 1 identifient le réseau d'une machine en fonction de son adresse mac. Ici on s'intéresse plutôt à l'utilisation que l'on pourrait en faire en LAN alors on va garder les VLANs de niveau 2.
Donc là on va mettre en place une petite architecture simple, on va prendre un switch compatible VLAN et les autres des switchs normaux.
On va faire deux réseaux physique différent avec sur un toute les machines des joueurs, et sur l'autre, toutes les machines admins (avec le net par exemple, mais sans les serveurs) ensuite on place le switch qui gère les VLAN entre les deux réseaux. On le configure ensuite pour que le port de sur lequel est connecté le réseau joueurs soit le réseau invité (le réseau numéro 1) et celui des admins soit sur le réseau numéro 2.
Occupons-nous maintenant des serveurs (ah bah oui une LAN sans serveur ça sert un peu à rien ...). Les serveurs, eux, sont à connecter directement sur le switch qui gère les VLANs, et on les met sur le réseau invité (le numéro 1).
Donc la si nous résumons la situation, on a les serveurs qui communiquent avec les joueurs, et les admins qui restent dans leur coin ... pas pratique pour administrer les serveurs hein ?!? Il faut donc faire en sorte d'avoir accès au serveur, pour ça, il faut un vieux switch, ou une vieille machine qui à deux cartes réseau, on connecte les deux cartes au même switch, le switch qui gère les VLANs (on ne travaille que sur celui-là de toute façon ...). une fois que l'on a fait cela, il faut mettre en place les VLANs ce cette passerelle, sur une carte on configure le VLAN invité, et sur l'autre, on met le VLAN admin le 2 - c'est juste pour convertir les paquets du VLAN 1 en paquets pour le VLAN 2 - pour que certains paquets passe sur du VLAN 1 au VLAN 2 et vice versa, il faut configurer les machines pouvant communiquer avec les deux réseaux, ici, on a que les serveurs et les machines admins, on va donc faire en sorte que lorsqu'une de ces machines veut passer sur le réseau suivant, elle envoie les paquets vers la passerelle, pour cela rien de plus simple, il suffit de configurer les machines pour la passerelle par défaut soit la passerelle que l'on vient de mettre en place. Donc en somme, on doit mettre cette passerelle en passerelle par défaut, pour les serveurs et pour les admins.
ATTENTION, il faut faire attention à l'IP de la passerelle, car une est sur le VLAN 1 et l'autre sur le VLAN 2.
Bon ... par acquis de conscience et pour compléter un peu le dossier, je vais le refaire avec les VLANs de niveau 1.
Donc tout d'abord il faut avoir que des switchs gérant les VLANs (pour faire plus simple) ensuite il nous faut encore une machine passerelle comme dans l'architecture précédente, mais la seule différence, c'est que toute les machines : serveurs, joueurs et admins sont sur le même réseau, il faut donc que l'on sécurise tout ça non ? Pour cela on va faire simple, on va laisser tout le monde sur le réseau invité (toujours le réseau 1) et on va mettre toutes les adresses mac admin et un adresse de la passerelle sur le VLAN 2, maintenant, il faut remettre en place la passerelle par défaut des PC admin et des serveurs, et le tour est joué, on peut prendre n'importe quel slot de n'importe quel switch on sera toujours sur le même réseau, par exemple, si un admin se branche avec son laptop à coté d'un joueur et qu'il se branche sur le switch le plus proche, il aura tout les accès admin, dont le net par exemple.
Voila, vous connaissez maintenant la bases des VLANs, vous pouvez vous amuser avec voir meme penser à une autre architecture pour vos prochaines LAN ? ou meme réseau à la maison ? qui sait ?
- Commentaires
idle` XwZ le 15/06/2008 à 21:06
alors non ... j'en ai jamais fait donc je ne pouvais pas raconter des conneries ...
Je parlais juste du routage inter-vlan avec un routeur dédié et du lien Trunk
(pas trunk = aggrégation de ports hein !!! ..... Le 'vrai" trunk à la mode 802.1q )"une vieille machine qui à deux cartes réseau, on connecte les deux cartes au même switch, le switch qui gère les VLANs (on ne travaille que sur celui-là de toute façon ...). une fois que l'on a fait cela, il faut mettre en place les VLANs ce cette passerelle, sur une carte on configure le VLAN invité, et sur l'autre, on met le VLAN admin le 2 - c'est juste pour convertir les paquets du VLAN 1 en paquets pour le VLAN 2 - pour que certains paquets passe sur du VLAN 1 au VLAN 2 et vice versa"
Les Vlans peuvent être supers pratiques notamment en LAN à condition de bien préparer ses configs à l'avance
Les Vlans sont particulièrement intéressants (comme l'a dit Kick que je salue au passage
) pour isoler le réseau admin du réseau des joueurs pour des raisons de sécurité et d'accès.
Après, ce n'est pas spécialement utile pour segmenter le réseau côté joueur, le sous-adressage réseau s'en charge très bien et beaucoup plus simplement.
Mais les Vlans associés à une politique de routage et des access-lists correctement entretenus s'avèrent former un puissant outil pour administer/segmeneter un réseau et isoler les pannes éventuelles qui peuvent survenir
On retiendra simplement que pour une "petite" Lan qui tient sur un ou deux classe C, ce n'est pas forcément utile et cela requiert que les gens qui installent le matériel ne s'occupent pas simplement de brancher des cables, mais aussi de s'assurer de la politique de vlan mise en place sur chaque switch (faire attention au bon port d'uplink en cas de Vlan Par port et par IP)
En gros ca peut tourner rapidement à l'usine a gaz et à des problèmes avant même que la LAN n'ait commencé
En revanche, si les gens qui se chargent du réseau sont habitués à ce genre d'architecture, alors ca peut se révéler redoutablement puissant et sécurisant.
A l'occasion si vous voulez un dossier sur le routage inter-vlan et le Trunking 802.1q je me ferais un plaisir de vous faire part de quelques astuces
En tout cas, bien joué XwZ pour l'explication du sous adressage réseau, c'est expliqué simplement et cela permet à chacun de mettre en place une politique de séparation des réseaux intéressante
.
| pirquessa a écrit: | ||
Ca a pourtant l'air efficace. Ce n'est pas utilisé car c'est cher/lourd/pas efficace/trop technique ? Dis nous tout |
Zaxe a bien résumé, c'est chiant à administrer et ya pas mal de chose qui peuvent devenir techniquement compliqué voir impossible. Par exemple, la GA, met tous ses joueurs sur le même reseau, le seul VLAN mis en place (si je me rappel bien) est pour les admins... Bref dans la majorité des LANs, il est beaucoup plus simple de faire sans, sachant que mettre en place des VLANs apportent presque plus d'emmerde que d'avantages lol
- Navigation
- Sujet du forum
- Page 1 des commentaires
- Page 2 des commentaires
- Commenter