Bonjour à tous voila une question toute conne...
pour ne pas changer
 
auriez vous un article, un site ou autre chose qui puisse m'aiguiller sur la configuration de mes switchs cisco en vlan par ip et non par port ?
 
merci à vous...
 
Goldo

Sur le site de cisco directement. www.cisco.com
Sinon ici :
http://www.labo-cisco.com/

ça c'est de l'aide....

Avec ces 2 sites ya de quoi devenir une brute épaisse en réseaux ...

hummm ... je sais pas si c'est faisable de faire des attributions dynamics de VLAN par IP par contre par adresse MAC c'est faisable en VMPS

C'est vrai que je me suis pas trop foulé mais ces sites sont quand même bien plus spécialisés et documentés que HFR.
Il me semble que pour tout ce qui est dynamique au nuveau VLAN il faut passer par un serveur annexe (VTP si ma memoire est bonne).

je ne crois pas que les vlans par IP soient encore implémentés. Par contre si c'est pour faire de l'identification, une solution 802.1x est possible pour assigner dynamiquement les vlans sur un port de switch

Pour les VLANs, tu peut faire par port, par adresse MAC et après en dynamique et la tout est possible dont l'IP.

sauf qu'en 802.1x on fait de l'identification, c'est donc de l'assignement dynamique de vlan en fonction de l'identité et non de l'adresse. il y a peut-être un attribut Radius qui prend en compte l'adresse IP du poste mais ça reste une logique d'identification/authentification derrière.

attribuer un vlan en fonction d'une IP, je vois pas l'interet dans la pratique, et je vois assez mal comment ca peut se passer techniquement.
Par contre, avec le 802.1x, la oui, c'est bien.
Par contre, niveau secu, que ce soit attribution auto par @MAC c'est pas terrible (et par IP ca 'serait' encore pire) ...
Pourquoi tu as besoin de ca ?

L'interêt de l'IP, c'est avec des postes en IP fixes.
Tu branche un poste avec tel ou tel adresse réseau et en fonction de celle-ci tu es redirigé sur un VLAN.
Je pense qu'il faut discerner VLAN et authentification 802.X. Le VLAN permet du design et de l'isolation en réseaux logiques sur un même réseau physique. L'authentification permet de contrôler les accès à ton réseau quelqu'il soit, wifi, vlan, ethernet.....
Tu peux très bien mixer VLAN et authentification pour acceder à tel ou tel vlan, c'est juste une question de methodologie.

oui, j'avais bien comrpis que c'etait pour les IP fixes, mais en pratique, je vois vraiment pas l'interet.
si ip fixe, c'est un petit réseau, donc pas besoin d'une gestion poussée des vlans.
je vois pas ce qu'apporte une définition des vlan par IP par rapport a une par ports.
D'autant plus que techniquement, je vois pas comment le switch va faire pour mettre le port dans le bon vlan. Avec les données du premier message ARP ?? mais c'est du bricolage ...

oui pis je me suis renseigné voici la réponse que l'on m'a donné :
"de toute facon les switchs sont des équipement de couche 2 et non 3 donc à aucun moment n'interviennent les ip..... donc les vlans c par port ou par adresse mac...)

Tu as aussi des switch de niveau 3 qui font du routage inter Vlan par exemple.

bref...

rapport avec le schmilblick ???
c'est un switch qui intègre une fonction de routeur dans ce cas la, donc meme si le meme equipement fait les 2, il faut différencier switch et routeur ...
... et les vlan restent de niveau 2 donc ca change rien

Faut se détendre....

... faut pas dire n'importe quoi pour remplir.

Je dis pas n'importe quoi.

non, mais totalement hors sujet qui pourrait etre interprété comme confirmant l'erreur de départ.
Une fois de plus, le routage intervlan n'a rien a voir avec le probleme de l'affectation de vlan selon l'IP

Je n'ai jamais dit le contraire. Je ne faisais que rajouter des infos supplémentaires. De plus, je n'ai dit aucune connerie, j'ai seulement dit que c'etait possible en ci qui concerne l'IP.  
Note aussi que le 802.1x, peut enduire en erreur, c'est avant tout un système visant à authentifier et à valider des utisateurs depuis un accès réseau.  
C'est donc une surcouche par rapport au vlan. Ton switch va devoir taper sur un serveur externe.
Donc hors solution par serveur externe (vtp, radius, etc), Un vlan  c'est de l'attribution par @mac ou par port.
J'ai pu être imprécis certe, mais il y'a pas de quoi en faire une maladie.

 
 
induir en erreur et non pas enduir en erreur :-)
tant qu'a troller

En même, temps c'est toi qui demande quelque chose.

un peu de calme

Pour en rajouter une petite couche ( 2 ou 3   ), voici un article qui résume notre sympathique discussion (ne voyez aucune ironie dans mes propos).
http://www.supinfo-projects.com/fr [...] %5Fvlan/2/

apres avoir lu son document, il y a qqs choses relativement 'inexacte' ou alors suffisemment flou pour mettre un doute sur le reste.
Quand il parle de stp, j'aimerai bien savoir, avec les 30 secondes de spanning-tree, comment va réagir le traffic si a chaque paquet il faut 30 seconde avant de mettre le paquet dans le bon vlan ...
Et j'attend de voir des commandes pour faire ce genre de choses ...

Je pense pas qu'il y'ai de problèmes avec le STP, car celui-ci sera calculé à l'allumage des brouettes ou si un des liens de ce STP shoote, donc avant de laisser passer du traffic sur les vlans.
Je vois pas pourquoi il y'aurais à attendre 30 s pour chaque paquet.
 
et pour ce qui ne connaissent pas le STP : http://www.oreillynet.com/pub/a/ne [...] _lang.html

pour chaque changement de vlan, il faut attendre, car si tu veux un réseau un tant soit peu perfromant, tu mets en place du Per Vlan Spanning-Tree, donc a chaque chagement de vlan, il doit recalculer le STP -> bref, meme si au niveau theorique, pourquoi pas, bien que j'en attend encore l'utilité, en pratique, ca m'etonnerai que ca existe.

Juste pour préciser, mais même en per vlan stp, le calcul du STP ne se fait qu au démarrage des switch ou lors d un changement de topologie dans le cadre concernant le STP.
Donc je ne comprend ton histoire de paquet qui attend 30 s à chaque fois.  et la on parle pratique.

en pvst, il y a une instance de stp qui tourne pour chaque vlan définit.
donc s'il veut affecter le vlan dynamiquement en fonction de l'header du paquet, ou du protocole utilisé, il doit recalculer le spanning-tree ...
-> en pratique, j'y crois pas une seconde comme c'est présenté dans son document.
De plus, d'un point de vue sécu, si cette histoire fonctionnait, si je m'attribue une IP dans un range critique, je rentrer tout seul dans ce range ??
Pour finir, si ca existe, quelles sont les commandes pour faire ca sur un switch ?? en IOS, CatOS, ou autre, qu'importe ??

Ok, à chaque ajout de poste dans un vlan, le STP est recalculé.
A mon avis, ça se fait pas au niveau du switch mais plutot avec un serveur annexe dédié.

alors dans ce cas, c'est pas de la vrai configuration de vlan par @IP.
Le cas que tu décris est en gros du 802.1x: en fonctions de credentials a definir, un serveur de policies decide dans quel vlan le PC doit aller, et ensuite, en fonction du vlan dans lequel il est, le DHCP lui donne une configuration IP qui va bien.
-> en aucun cas c'est en fonction de l'IP qu'on attribue le vlan, mais peut etre l'inverse ...

Le STP est recalculé lors de l'ajout et du retrait d'un switch ou lorsque un port devient down, pas à l'ajout du poste.

Pour l'histoire des 30sc, cela correspond au changement d'état du port.
Les états possibles sont listening, learning, forwarding ou blocking (pour casser la boucle).
Si un changement de topologie intervient, un port blocking passe en listening (après que le max age(20sc) soit atteint) pendant 15sc, puis en learning pendant encore 15sc (les voilà vos 30sc). Ce changement de topologie prend au final 50sc.