Bonjour à tous,
Ca fait longtemps que je me dits qu'il faudrait progresser un peu en réseau. Depuis toujours mes réseaux étaient réduits à la plus simple expression (192.168.1.0/24) et je n'ai jamais eu de problème pour faire cohabiter les pc, la video, la voip, le smarthome,....
A un moment je suis même passé à un switch 48 ports poe quasi rempli.
Depuis j'ai déménagé et viré beaucoup de choses de mon réseau.
J'ai acheté récemment une MS-01 de minisforum pour devenir mon serveur principal sous unraid. C'est une petite machine intéressante pour peu que l'on lui apporte de l'air frais. Elle est très bien équipée en interfaces réseaux: 2x10G sfp+ + 2x2,5G rj45.
Je profite de cet achat pour upgrader mon réseau vers le 10G. Je lache unifi pour les switchs car 10G chez unifi ça coute un bras. J'ai acheté des switchs chinois après avoir lu quelques articles sur STH.
J'aimerais en apprendre un peu plus sur les réseaux en implémentant des vlan.
Et pour ça j'ai besoin de conseils pour démarrer.
Le matériel est réparti dans 2 apparts et une cave. J'ai pu me débrouiller pour interconnecter tout ça en fibre.
Voici la liste de matériel dont je dispose et leur emplacement.
Au R+1:  
    -arrivée du FAI sur un ont relié à un unifi dream router (switch 4 portr intégré dont 2 poe, ap wifi6 intégré).  
    -liaison fibre vers la cave avec un transceiver 1G bidi.
 
A la cave:
    -un switch 8 ports sfp+
    -le ms-01
    -deux fibres vers R+1(1G bidi) et R+3 (10G bidi)
 
Au R+3:
   -un switch 4x2,5+ 2SFP+
   -un switch unifi flex (alimenté en poe par l'uplink et 4 ports 1G poe)
 
Au R+4:
   -un switch 4x2,5+ 2 SFP+
   -un serveur avec 2x1G + 1SFP+ 10G
 
Je suis en train d'installer la fibre entre R+3 et R+4 (c'est une mezzanine).
L'idée de mettre en place des vlans vient du fait que je voulais un lien rapide entre les 2 serveurs. Celui du R+4 sert de backup à celui de la cave.
Je n'ai pas de problème pour les liens physiques. Une partie est déjà en place et fonctionne bien. Aujourd'hui à la cave j'ai un switch unifi 48 POE mais avec un serveur, un rpi et les liens vers les étages il est bien vide. Je le remplace pour baisser un peu la conso et ça devrait bien se vendre.
A part les matériels cités au-dessus j'ai:
  Au R+1 : apple tv, caméra, passerelle zigbee RJ45, imprimante, ip phone dect, enceinte sonos
  Au R+3 : apple tv, caméra, passerelle zigbee RJ45, imprimante, AP unifi, squeezebox
Vient maintenant la question de comment organiser tout ça.  
Combien de vlans créer?  
quel appareil ou quelles interfaces mettre dans quel vlan ?
Sur les switchs avec 2 ports SFP+ on peut faire du vlan par port, des trunks (L2)
Sur le switch avec 8 ports SFP+ on peut en plus faire du vlan par mac et plein d'autres choses (L3)
Le routeur n'a qu'une interface 1G vers la cave et fait dhcp. Le dns est assuré par une vm pihole sur le ms01.
Merci d'avance de vos réponses.  

Bonjour,
 
Il semble y avoir de quoi bricoler / apprendre, en effet.
 
Par contre, de quels modèles de switchs s'agit-il ? Notamment le 8x SFP+ à la cave, le 4x 2.5 + 2x SFP+ au R+3 ainsi qu'au R+4 .
 
Puisque ce que l'on peut faire dépend grandement du modèle de switch.

ce sont des switchs chinois:
 
https://www.amazon.de/dp/B0CK268RXR [...] tails&th=1
https://www.amazon.de/dp/B0CNT165R6 [...] tails&th=1
https://vi.aliexpress.com/item/1005 [...] pt=glo2vnm
 
pas de manuel à part pour indiquer l'ip par défaut du swwitch.

En m'intéressant au XikeStor SKS8300-8X, cela a été un petit jeu de piste :

- https://m.media-amazon.com/images/I/A1bGBzu6odL.pdf , avec une adresse web www.seekswan.com

- https://www.seekswan.com/ avec l'aide de Google Translator, montre qu'il y a une section téléchargements

- http://visit.seekswan.com:6555/app/file/download.html , premier choix dans la 1ère liste déroulante puis SKS8300-8X dans la seconde et fichier n°3

- http://visit.seekswan.com:6555/app [...] .php?id=91 , une archive zip avec la documentation de la ligne de commande en anglais

Il y a tellement de fonctionnalités annoncées que s'en est louche ! Par exemple, la gestion de ERPS, GVRP, RSPAN ou même BGP.

Merci. J'avais trouvé le site mais j'étais en train de me débattre avec google trad.    
En effet c'est complet comme l'interface web. Il y a quand meme beaucoup de fonction que je ne connais pas du tout.

Faut aussi que tu regardes la partie routeur/firewall si tu veux que tes vlans puissent communiquer.
Mais j'ai l'impression que ton besoin vis a vis des vlans n'est pas très clair, déjà...

routeur firewall ç'est l'udr qui fait. Rien d'extraordinaire pour l'instant quelques ports ouverts (le minimum j'ai un reverse proxy sur le serveur unraid) et un vpn
Il me semble que sur l'udr les vlans communiquent entre eux par défaut.
 
Pour les vlans oui le besoin est flou. Il est parti de l'envie de faire une sauvegarde du serveur prinicipal sur le serveur de backup sans utiliser l'interface principale d'unraid. Donc il faut mettre l'interface dans un autre lan. Je n'ai qu'une fibre simplex pour faire le lien entre la cave et le R+3.
Après je n'ai pas de problème de communication des autres devices. Ce qui semble se faire c'est un vlan IOT, voip, ....
voip pas besoin pour ce que je m'en sers. A un moment j'avais un asterisk mais c'était plus par curiosité.
IOT oui ça pourrait être utile j'ai quelques devices; mais c'est surtout pour apprendre un peu. Je n'ai qu'une cinquantaine d'ip sur mon lan (dont une dizaine de dockers dans un macvlan).
Je dois dire que je comprends l'intérêt des vlans mais la mise en pratique c'est plus ardu entre les ports trunk, tagged, untagged, pvid, vlan natif,....

 
mais tu sais faire les sous-interfaces taggées 802.1q qui vont bien dans ton udr pour que tout ça fonctionne ?
 
 

 
ok, dans ce cas je te conseillerais d'apprendre à voir comment ça fonctionne sur des machines de test, pas sur ton réseau de "prod", ça ira bien plus vite à faire et à défaire. Et ensuite tu pourras décider si ça vaut le coup et si ça a du sens de l'implémenter pour de vrai.
 
Il n'y a pas beaucoup de concepts à comprendre :
- les vlans c'est comme des lans séparés sur des switchs séparés
- au lieu d'avoir des switchs séparés, chaque vlan est identifié à un numéro de 1 à 4096 (ce qu'on appelle le vlan id)
- chaque port de switch se voit donc attribuer un des 4096 vlans possibles, pour que le switch sache dans quel vlan sont les paquets qu'il reçoit sur ce port
- sur certains ports on a besoin de faire transiter les paquets de plusieurs vlans, pour cela on a inventé une extention au protocole ethernet nommée 802.1q qui ajoute à chaque trame une indication du numéro de vlan auquel elle appartient. C'est cela qu'on appelle un port en mode trunk (sur lequel passent des vlans en mode "tagged" )
- de la même façon que des lans séparés sur des switches séparés ne peuvent pas communiquer entre eux, les vlans ne peuvent pas communiquer entre eux, il faut passer par IP pour que deux machines de vlans différents puissent communiquer entre elles. C'est le rôle d'un routeur, qui aura donc une interface et adresse IP dans chaque vlan/réseau IP. L'interface en question peut être physique, ou virtuelle (sous-interface à laquelle un tag vlan id est attribué)

Je n’ai pas encore vérifié sur la console.  
Mais je pense que la création du réseau dans l’interface suffit. Il créé le dhcp pour le vlan avec l’adresse de gateway pour le vlan ; je pense donc la sub interface est créée à ce moment.
 
Sur unraid je n’ai pas encore essayé mais ça n’a pas l’air compliqué.
Et si je dédie une interface à un vlan je n’ai rien a configurer dans unraid. Juste sur le port correspondant du switch.
 
Est ce qu’il existe des softs pour tester?
Pour l’instant j’ai tout monté dans mon salon pour tester et ça fait un peu plat de spaghetti.
J’ai encore une fibre à passer et quelques modules SFP à recevoir et après je mets tout en place.En plus mon onduleur est à la cave.
 
Pour ce qui est de comprendre l’intérêt ça va.
C’est la mise en œuvre qui me paraît plus compliquée.
Par exemple si je dédie un vlan à l’iot.
Qu’est ce que je mets dedans?
Les gateways zigbee
Les smart devices wifi
Et ma vm home assistant je la mets ou?

Tous ceux qui ont un jour fait mumuse avec les VLAN se sont un jour coupé eux-même l'accès à l'administration du switch.    
 
Je pense que les priorités me semblent être :
 
- apprendre à sauvegarder la configuration d'un switch afin de pouvoir simplement le redémarrer quand on l'aura planté
 
- apprendre à utiliser la console série présente sur le XikeStor SKS8300-8X ainsi que les commandes de bases pour le "déplanter"
 
A part des ordis dédiés pour les tests comme suggéré ci-dessus, j'aurais tendance à privilégier une Apple TV pour tester la mise dans un VLAN séparé. Parce-que :
- ce n'est pas un appareil dont le fonctionnement est essentiel
- on l'a souvent installé pas très loin et que cela évite de descendre à la cave juste pour la rédémarrer
- elle peut indiquer sur une TV un message indiquant un éventuel problème de connexion

 
tu prends le problème dans le mauvais sens, la première question à répondre c'est "pourquoi je dédié un vlan à l'iot ?". Quel est le problème que tu cherches à résoudre ?

Je n'ai pas de problème; mon réseau fonctionne bien.
On lit partout que c'est dans les bonnes pratiques de séparer les réseaux. Donc je me suis dit pourquoi pas essayer.
Mais si on prend l'exemple iot. J'ai des devices d'un côté (passerelles, smart plug, onduleur) auxquels je n'ai besoin (avec mon pc) de me connecter qu'occasionnellement (firmware upgrade). J'ai une vm homeassistant qui parle avec tous ces devices. Je me connecte souvent à cette vm et elle peut m'envoyer des notifs. Je consulte régulièrement l'app mobile de home assistant.
Si je veux faire des updates sur la vm ou les devices, il faut qu'ils aient accès à internet.
J'ai bien compris que les vlans cloisonnent le traffic comme s'il y avait physiquement plusieurs réseaux.
Si je veux que 2 vlans communiquent il me faut un routeur ou switch L3.  
Concernant l'iot l'intérêt que j'y vois c'est juste d'interdire l'accès depuis le wan au vlan iot sauf si une connexion est déjà établie (comme le cas d'une demande d'upgrade de firmware par exemple)
J'ai pris l'exemple de l'iot mais ça aurait pu être autre chose. A part la voip pour prioriser le traffic.
 
Concernant les divers devices sur le réseau ils ont tous à un moment besoin d'accéder au server. Les serveur, outre la fonction de partage de fichiers fait tourner beaucoup de services sous forme de containers ou vms. Il en partage certains au travers d'un reverse proxy. Quel est le bon emplacement pour lui ?

 
Mais ça c'est déjà le comportement par défaut.