 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Vlans par ip sur un switch cisco | |
| kill9 | Pour l'histoire des 30sc, cela correspond au changement d'état du port.
Les états possibles sont listening, learning, forwarding ou blocking (pour casser la boucle). Si un changement de topologie intervient, un port blocking passe en listening (après que le max age(20sc) soit atteint) pendant 15sc, puis en learning pendant encore 15sc (les voilà vos 30sc). Ce changement de topologie prend au final 50sc. |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| kill9 | Pour l'histoire des 30sc, cela correspond au changement d'état du port.
Les états possibles sont listening, learning, forwarding ou blocking (pour casser la boucle). Si un changement de topologie intervient, un port blocking passe en listening (après que le max age(20sc) soit atteint) pendant 15sc, puis en learning pendant encore 15sc (les voilà vos 30sc). Ce changement de topologie prend au final 50sc. |
| kill9 |
|
| trictrac | alors dans ce cas, c'est pas de la vrai configuration de vlan par @IP.
Le cas que tu décris est en gros du 802.1x: en fonctions de credentials a definir, un serveur de policies decide dans quel vlan le PC doit aller, et ensuite, en fonction du vlan dans lequel il est, le DHCP lui donne une configuration IP qui va bien. -> en aucun cas c'est en fonction de l'IP qu'on attribue le vlan, mais peut etre l'inverse ... |
| jolebarjo | Ok, à chaque ajout de poste dans un vlan, le STP est recalculé.
A mon avis, ça se fait pas au niveau du switch mais plutot avec un serveur annexe dédié. |
| trictrac | en pvst, il y a une instance de stp qui tourne pour chaque vlan définit.
donc s'il veut affecter le vlan dynamiquement en fonction de l'header du paquet, ou du protocole utilisé, il doit recalculer le spanning-tree ... -> en pratique, j'y crois pas une seconde comme c'est présenté dans son document. De plus, d'un point de vue sécu, si cette histoire fonctionnait, si je m'attribue une IP dans un range critique, je rentrer tout seul dans ce range ?? Pour finir, si ca existe, quelles sont les commandes pour faire ca sur un switch ?? en IOS, CatOS, ou autre, qu'importe ?? |
| jolebarjo | Juste pour préciser, mais même en per vlan stp, le calcul du STP ne se fait qu au démarrage des switch ou lors d un changement de topologie dans le cadre concernant le STP.
Donc je ne comprend ton histoire de paquet qui attend 30 s à chaque fois. et la on parle pratique. |
| trictrac | pour chaque changement de vlan, il faut attendre, car si tu veux un réseau un tant soit peu perfromant, tu mets en place du Per Vlan Spanning-Tree, donc a chaque chagement de vlan, il doit recalculer le STP -> bref, meme si au niveau theorique, pourquoi pas, bien que j'en attend encore l'utilité, en pratique, ca m'etonnerai que ca existe.
|
| jolebarjo | Je pense pas qu'il y'ai de problèmes avec le STP, car celui-ci sera calculé à l'allumage des brouettes ou si un des liens de ce STP shoote, donc avant de laisser passer du traffic sur les vlans.
Je vois pas pourquoi il y'aurais à attendre 30 s pour chaque paquet. et pour ce qui ne connaissent pas le STP : http://www.oreillynet.com/pub/a/ne [...] _lang.html |
| trictrac | apres avoir lu son document, il y a qqs choses relativement 'inexacte' ou alors suffisemment flou pour mettre un doute sur le reste.
Quand il parle de stp, j'aimerai bien savoir, avec les 30 secondes de spanning-tree, comment va réagir le traffic si a chaque paquet il faut 30 seconde avant de mettre le paquet dans le bon vlan ... Et j'attend de voir des commandes pour faire ce genre de choses ... |
| jolebarjo | Pour en rajouter une petite couche ( 2 ou 3 :heink: ), voici un article qui résume notre sympathique discussion (ne voyez aucune ironie dans mes propos).
http://www.supinfo-projects.com/fr [...] %5Fvlan/2/ |
| dreamer18 | un peu de calme :o |
| jolebarjo |
|
| g0ld0 |
|
| jolebarjo | Je n'ai jamais dit le contraire. Je ne faisais que rajouter des infos supplémentaires. De plus, je n'ai dit aucune connerie, j'ai seulement dit que c'etait possible en ci qui concerne l'IP. Note aussi que le 802.1x, peut enduire en erreur, c'est avant tout un système visant à authentifier et à valider des utisateurs depuis un accès réseau. C'est donc une surcouche par rapport au vlan. Ton switch va devoir taper sur un serveur externe. Donc hors solution par serveur externe (vtp, radius, etc), Un vlan c'est de l'attribution par @mac ou par port. J'ai pu être imprécis certe, mais il y'a pas de quoi en faire une maladie. |
| trictrac | non, mais totalement hors sujet qui pourrait etre interprété comme confirmant l'erreur de départ.
Une fois de plus, le routage intervlan n'a rien a voir avec le probleme de l'affectation de vlan selon l'IP |
| jolebarjo | Je dis pas n'importe quoi. |
| trictrac | ... faut pas dire n'importe quoi pour remplir. |
| jolebarjo | Faut se détendre.... |
| trictrac |
|
| g0ld0 | bref... |
| jolebarjo |
|
| g0ld0 | oui pis je me suis renseigné voici la réponse que l'on m'a donné :
"de toute facon les switchs sont des équipement de couche 2 et non 3 donc à aucun moment n'interviennent les ip..... donc les vlans c par port ou par adresse mac...) |
| trictrac | oui, j'avais bien comrpis que c'etait pour les IP fixes, mais en pratique, je vois vraiment pas l'interet.
si ip fixe, c'est un petit réseau, donc pas besoin d'une gestion poussée des vlans. je vois pas ce qu'apporte une définition des vlan par IP par rapport a une par ports. D'autant plus que techniquement, je vois pas comment le switch va faire pour mettre le port dans le bon vlan. Avec les données du premier message ARP ?? mais c'est du bricolage ... |
| jolebarjo | L'interêt de l'IP, c'est avec des postes en IP fixes.
Tu branche un poste avec tel ou tel adresse réseau et en fonction de celle-ci tu es redirigé sur un VLAN. Je pense qu'il faut discerner VLAN et authentification 802.X. Le VLAN permet du design et de l'isolation en réseaux logiques sur un même réseau physique. L'authentification permet de contrôler les accès à ton réseau quelqu'il soit, wifi, vlan, ethernet..... Tu peux très bien mixer VLAN et authentification pour acceder à tel ou tel vlan, c'est juste une question de methodologie. |
| trictrac | attribuer un vlan en fonction d'une IP, je vois pas l'interet dans la pratique, et je vois assez mal comment ca peut se passer techniquement.
Par contre, avec le 802.1x, la oui, c'est bien. Par contre, niveau secu, que ce soit attribution auto par @MAC c'est pas terrible (et par IP ca 'serait' encore pire) ... Pourquoi tu as besoin de ca ? |
| dreamer18 | sauf qu'en 802.1x on fait de l'identification, c'est donc de l'assignement dynamique de vlan en fonction de l'identité et non de l'adresse. il y a peut-être un attribut Radius qui prend en compte l'adresse IP du poste mais ça reste une logique d'identification/authentification derrière. |
| jolebarjo |
|
| dreamer18 | je ne crois pas que les vlans par IP soient encore implémentés. Par contre si c'est pour faire de l'identification, une solution 802.1x est possible pour assigner dynamiquement les vlans sur un port de switch |
| jolebarjo |
|
| twins_ | hummm ... je sais pas si c'est faisable de faire des attributions dynamics de VLAN par IP :/ par contre par adresse MAC c'est faisable en VMPS :jap: |
| Snev | Avec ces 2 sites ya de quoi devenir une brute épaisse en réseaux ... |
| kill9 |
|
| jolebarjo | Sur le site de cisco directement. www.cisco.com
Sinon ici : http://www.labo-cisco.com/ |
| g0ld0 | Bonjour à tous voila une question toute conne... :)
pour ne pas changer :) auriez vous un article, un site ou autre chose qui puisse m'aiguiller sur la configuration de mes switchs cisco en vlan par ip et non par port ? merci à vous... Goldo |
