Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3020 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  vlan par adresse mac

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

vlan par adresse mac

n°124243
dodo15
Posté le 20-09-2014 à 17:40:16  profilanswer
 

bjr,
je souhaite réaliser des vlans/@mac et j'aimerais savoir s'il est possible de le faire au niveau d'un switch(pas de vmps)
 
 
merci

mood
Publicité
Posté le 20-09-2014 à 17:40:16  profilanswer
 

n°124244
Je@nb
Modérateur
Kindly give dime
Posté le 20-09-2014 à 19:59:09  profilanswer
 

définis vlan par adresse mac

n°124245
dodo15
Posté le 21-09-2014 à 12:30:29  profilanswer
 

bjr,
 
oui mais je n'arrive pas à trouver une commande spécifique,
par exemple faire un truc du genre dans chaque vlan, rajouter les @mac des machines  
 
int vlan 10
mac-adress ....
 
 
 sous cisco ya une solution qui consiste à mettre un serveur vmps (le client vmps interroge de ce serveur en lui fournissant une @mac et serveur repond en lui indiquant à kel vlan il appartient)

n°124247
skoizer
tripoux et tête de veau
Posté le 21-09-2014 à 16:27:38  profilanswer
 

qu'as tu comme marque switch ?


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°124249
dodo15
Posté le 21-09-2014 à 19:43:58  profilanswer
 

je n'ai pas encore de switch, c'est à moi de trouver les équipements qu'il faudra utiliser  
o fait voici mon pb
je souhaite brancher tt type d'eqt (pc, tel) sur n'importe kel port et faire partie du bon vlan, et ce en fonction de mon type d'equipement d'où  faire des vlans par adresse mac puis qu'un serveur dhcp attribue une @ip au terminal en fonction du vlan auquel il appartient  
de préférence switch cisco  
 
g trouvé ce lien
 http://alliedtelesis.com/manuals/A [...] l#Rcy74343  
et voulais savoir si c t possible de faire qqc semblable à ceci sur un switch cisco
 
g cherché et g trouvé une solution en utilisant un serveur vmps mais je ne sais pas si avec cette solution je peux utiliser conjointement vmps et dhcp (comment le dhcp va distinguer l'appartenance à un vlan avant de lui adresser une IP)

n°124258
boooouuh
Posté le 22-09-2014 à 09:47:57  profilanswer
 

Bonjour,  
 
1 VLAN = 1 sous-réseau = 1 étendue DHCP
1 autre VLAN = 1 autre sous-réseau  = 1 autre étendue DHCP
 
Et bien sûr le DHCP-relay si le DHCP n'est pas local.
 
Je précise :  
 
Imaginons que tu utilises bien un serveur VMPS. Il attribuera donc un VLAN X à un port selon l'@MAC connectée. Ensuite, le poste va envoyer un broadcast sur son VLAN pour demander une adresse IP.
Selon ton cas, le paquet arrivera donc sur l'interface (virtuelle ou physique selon ton cas) correspondant au VLAN X sur la passerelle.
Le paquet est ensuite envoyé au serveur DHCP qui répond sur le sous-réseau correspondant et donne une adresse de l''étendue de ce sous-réseau
 
Petit schéma :  
http://s21.postimg.org/kje3xngon/shema_vlan.jpg


Message édité par boooouuh le 22-09-2014 à 10:34:46
n°124260
dodo15
Posté le 22-09-2014 à 11:26:53  profilanswer
 

mon dhcp sera local, et je ne pense pas utiliser cette solution (vmps :( ) qui est assez coûteuse
mais merci kan même  :)

n°124261
skoizer
tripoux et tête de veau
Posté le 22-09-2014 à 11:43:44  profilanswer
 


1 VLAN = 1 sous-réseau = 1 étendue DHCP


un serveur dhcp n'est pas obligatoire...


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°124264
boooouuh
Posté le 22-09-2014 à 12:51:57  profilanswer
 

skoizer a écrit :


1 VLAN = 1 sous-réseau = 1 étendue DHCP


un serveur dhcp n'est pas obligatoire...


 
Je n'ai pas dit que c'était obligatoire, mais dodo15 explique bien qu'il souhaite utiliser un serveur DHCP, ce qui est préférable

n°124265
boooouuh
Posté le 22-09-2014 à 13:07:35  profilanswer
 

dodo15 a écrit :

mon dhcp sera local, et je ne pense pas utiliser cette solution (vmps :( ) qui est assez coûteuse
mais merci kan même  :)


 
C'est le même principe si le serveur DHCP est local. Et le principe que je t'ai énoncé ne concerne que l'attribution d'@ IP sur un environnement multi-vlan avec un seul serveur DHCP.
 
Sans parler de VMPS,  pour répondre à ta question : "(comment le dhcp va distinguer l'appartenance à un vlan avant de lui adresser une IP)"
 
 Vlan 1 : 192.168.10.0/24
 Vlan 2 : 192.168.20.0/24
 
@ IP du serveur DHCP : 192.168.10.254
 
Avec cet exemple, le serveur DHCP est sur le vlan par défaut (vlan1)
 
Sur le routeur, tes 2 vlans doivent arriver, soit connectés sur une interface physique chacun ou bien sur une interface virtuelle comme c'est généralement le cas.
 
Sur l'interface du routeur correspondant au vlan 2, il faut rajouter le DHCP-relay vers ton serveur DHCP, car même si le DHCP est local physiquement, il est dans un autre sous-réseau.
 
interface Gi0/0.2
  ip address 192.168.20.1 255.255.255.0
  encpasulation dot1q 2
  ip helper-address 192.168.10.254
 
N'oublie pas que le port du switch faisant l'interco avec le routeur doit être en trunk.
 
Ainsi, les postes appartenant au vlan 2, même s'il sont sur un sous-réseau différent du serveur DHCP, arriveront à lui demander un adresse IP.
 
l'ip helper-address (relais DHCP) n'est pas utile pour le vlan 1 dans l'exemple, car c'est le sous-réseau du serveur.
 
http://s28.postimg.org/xijyk2njh/shema_vlan.jpg
 
Cet exemple concerne seulement l'adressage IP dynamique des postes sur plusieurs VLANs différents. Ca n'a rien à voir avec l'attribution dynamique de vlan. Ce sera la même chose que tu fasse des vlan statique par port, que tu attribue les vlan par @MAC directement sur le switch ou que tu utilise un serveur VMPS
 
 
Si tu n'as pas la possibilité de configurer le routeur, fais le savoir, il existe d'autres solutions


Message édité par boooouuh le 22-09-2014 à 13:14:54
mood
Publicité
Posté le 22-09-2014 à 13:07:35  profilanswer
 

n°124269
dodo15
Posté le 22-09-2014 à 14:34:00  profilanswer
 

merci !!
pensais plus faire le dhcp au niveau du routeur même
reprenons votre exemple avec  
vlan 1 qui a pour nom data  
vlan 2 qui a pour nom voix  
 
et faire
ip dhcp pool data
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
 
ip dhcp pool voix
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
 
c bon au niveau du routeur mais je bloque tjs au niveau du switch  :(  pour faire des vlan/@mac parce que je ne sais pas encore quel eqt je vais connecter sur tel port, donc je veux ken fonction de la nature de l'eqt j'appartienne à tel ou tel vlan

n°124278
boooouuh
Posté le 22-09-2014 à 15:52:02  profilanswer
 

dodo15 a écrit :


 
c bon au niveau du routeur mais je bloque tjs au niveau du switch  :(  pour faire des vlan/@mac parce que je ne sais pas encore quel eqt je vais connecter sur tel port, donc je veux ken fonction de la nature de l'eqt j'appartienne à tel ou tel vlan


 
ça va être plus compliqué de faire des vlan/@MAC. Avec Cisco en tout cas, même le serveur VMPS est considéré obsolète.  
Ce qui est utilisé maintenant c'est l'authentification EAP avec 802.1x, qui permet entre autres l'assignation de vlan en fonction de l'authentification utilisateur.
Mais ça devient tout de suite plus compliqué et tu auras besoin d'un serveur d'authentification (Radius ou autre)
Il existe des solution libres qui te permettront de le faire, mais ça demande un travail supplémentaire pour la configuration /maintenance
 
Le plus simple, si tu veux gérer vlan/@MAC reste d'utiliser un switch qui le permet, comme celui de ton lien précédent. Mais ça veut dire aussi configurer manuellement avec toutes les @ MAC de tes machines :(  . Je trouve ça compliqué à maintenir


Message édité par boooouuh le 22-09-2014 à 15:53:18
n°124283
dodo15
Posté le 22-09-2014 à 16:45:28  profilanswer
 

oui g trouvé avec radius mais même avec ça il faudra quand même ke je rajoute les @mac de chaque machine pour les assigner à tel vlan (freeradius)
et avec cisco c'est assez compliqué je trouve

n°124315
jct_fr
GAAAAAAZZZZZZZZZZZZZ
Posté le 23-09-2014 à 17:19:40  profilanswer
 

ça dépend, ton besoin c'est quoi exactement ?
séparer une vlan data du vlan toip ?
si oui, quel type d'équipement utilises tu ?
Si tes téléphones sont compatibles lldp, tu fais une network policy qui défini ton voice vlan.
 
ex sur cisco:
 
en global
lldp run
!
network policy 20
 voice vlan 20
 
sous l'interface:
 
switchport acces vlan 10
switchport mode acces
network policy 20
 
 
c'est en partant du principe que tu ais du cisco, des téléphones IP qui font du lldp et que le vlan 10 soit ton vlan data, le 20 ton vlan toip.
 
Sinon effectivement tu peux aussi mettre en place du 802.1x avec un serveur radius, mais c'est moins simple

n°124319
dodo15
Posté le 23-09-2014 à 18:39:29  profilanswer
 

merci ! mais c pa des telefones cisco :/

n°124320
Je@nb
Modérateur
Kindly give dime
Posté le 23-09-2014 à 18:40:12  profilanswer
 

ouais enfin il a pas parlé que des téléphones cisco

n°124346
boooouuh
Posté le 24-09-2014 à 08:49:00  profilanswer
 

LLDP = Link Layer Discovery Protocol
C'est la standardisation du protocole propriétaire Cisco CDP
 
Donc CDP = Cisco seulement
LLDP = Ouvert à tous les constructeurs
 
Il n'a donc pas besoin de matériels Cisco pour faire du LLDP.
 
Ensuite, il n'est vraiment pas conseillé d'activer le LLDP sur tous les ports sur un réseau local, c'est une grosse faille de sécurité. Ca rend trop facile les attaques par déni de service, en plus de donner beaucoup d'informations à un potentiel attaquant.

n°124388
dodo15
Posté le 24-09-2014 à 14:58:29  profilanswer
 

finalement, je pense avec avec du radius mais :
 
radius + 802.1X il faudra login/mdp
donc ça sera vlan en fonction de l'user
 
radius avec une authentification par mac moins sécurisé et sur cisco g pa trouvé
 
 

n°124389
dodo15
Posté le 24-09-2014 à 15:00:12  profilanswer
 

login/mdp : @mac/@mac c possible ??

n°124496
dodo15
Posté le 28-09-2014 à 23:24:15  profilanswer
 

je tiens à préciser que pour ce qui suit, c'est avec des équipements cisco
j'ai l'intention d'utiliser l'adresse mac pour l'authentification (pas de 802.1x) donc il y a une commande "mac-auth-bypass" qui permettrait d'activer ceci, est-ce qu'il est possible de passer automatiquement à une authentification par adresse mac seulement, g vu qu'on pouvait jouer sur les ordres de méthode d'authentification (authentication order mab dot1x) mais si l'authentification réussi avec l'adresse mac, est ce que je passerais quand même par dot1x ??
 je veux que l'adresse mac pour authentifier les machines et à partir de l'adresse mac, attribuer ce port à tel ou tel vlan.
 
 
 
merci


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  vlan par adresse mac

 

Sujets relatifs
HP procurve : vlan injoignableVLAN pc/téléphonie sur Switch HP Procure
Demande d'info sur modification d'infra avec VLANswitch & gestion VLAN abordable
2 conection adsl ; acces vlan au serveuWifi pb vlan plus d'acces
[RESOLU] VLAN par port ou par adresse IPconfiguration d'un vlan par plage d'adresse
Vlan par mac/procurve 2650/ RADIUS 
Plus de sujets relatifs à : vlan par adresse mac


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR