Bonjour,
 
j'ai besoin de votre avis et de vos conseils de professionnels pour configurer des VLANs. Je vais vous expliquer ce que je veux faire et le matériel que j'ai déjà sur site.
 
Je souhaite séparer le VLAN "par défaut" (VLAN1) d'un VLAN dédié aux caméras IP (VLAN11) et d'un VLAN dédié à la téléphonie IP (VLAN12).
 
Je dispose d'un routeur TP-Link TL-ER 6020 qui gère les VLAN (j'ai des options "Tagged" et "Untagged" par port, 2 ports sont dédiés aux WAN et il reste 3 ports pour le LAN).
Je dispose également de téléphones IP qui peuvent gérer les VLAN. Les caméras IP quant à elles ne gèrent pas les VLAN mais j'ai des bornes Wifi multi-SSID qui peuvent affecter un VLAN sur un SSID (certaines caméras sont en wifi, mais les autres en ethernet).
 
L'IPBX est une machine virtuelle locale, le contrôleur de vidéosurveillance est sur une machine physique en ethernet.
 
Aujourd'hui, tout (caméras, IPBX, bornes wifi, etc) est connecté sur des switches non administrable et tout est sur le même VLAN (VLAN1).
 
Ce que je veux faire en pratique :
 
IPBX : accessible sur VLAN1 (certains PC ou smartphones utilisent un softphone sur VLAN1) et VLAN12
Caméras IP : en VLAN11 mais doivent être accessibles par certaines IP en VLAN1 (dont un serveur OpenVPN et certaines stations windows d'administration)
 
C'est à peu près tout (quand vous m'aurez aidé à mettre en place ceci, je devrais réussir à me débrouiller pour d'autres VLAN).
 
Est-il possible de configurer tout cela sans investir dans des switches administrables? et sinon, quels modèles me conseillerez-vous en 16 ports? (j'ai actuellement 1 switch 16 ports par étage sur 2 étages).
 
Merci pour votre aide.

Salut,  
 
La réponse courte : Oui, c'est possible.
La réponse longue : Oui, c'est possible, il faut simplement noter que tes périphériques ne peuvent normalement pas gérer de tag VLAN.  
Cela se gère normalement au niveau de la porte : Brol x -> VLAN x, PC y -> VLan Y.
Le téléphone est un cas particulier car il peut gérer lui même son tag.  
 
Dans ce cas, l'interface du switch laisse passer le trafic téléphonie tag et "autre" untag  
 
 
Mais rien n'empeche de mettre un téléphone "tout seul" sur un prise "untag"
 

Merci pour ces réponses.
Les téléphones seuls sur des prises ça risque d'être compliqué...
 
Ai-je besoin, vu la configuration exposée, de remplacer mes switches par des switches manageables? Sachant que la majorité de mes périphériques sur ces switches ne gèrent pas les VLANs. Ou alors tout peut se gérer par le routeur? (sachant que j'aurai du mal à acheminer tout vers le port physique du 2e et 3e VLAN). Brancher un port du switch non manageable sur le port du VLAN en question sur le routeur?
 
Il y a encore des choses que j'ai du mal à appréhender avec les VLANs si ce n'est pas géré avec des switches manageables.
 
Merci.

Tu es effectivement obligé de disposer de matériel managé pour le switching et pour faire simple, les liaisons entre switches ( ou entre le un switch et le routeur ) se fait via un trunk ( une liaison qui laisse passer tous les vlan taggués ).
 
 

En pratique :
Pour ce qui est dans la baie, je pense mettre un switch manageable L3.
 
Sur ce switch, je compte brancher un switch non manageable qui se trouve dans un bureau à l'étage (tous les périphériques sur ce switch doivent pouvoir atteindre tous les VLAN, donc le switch non manageable serait branché sur un port trunk du switch manageable).
 
J'ai également des bornes wifi pro qui gèrent les VLAN par SSID.
 
Auriez-vous des références de switches manageables L3 qui sont passés entre vos mains et que vous approuvez? (24 ports POE gigabit, avec une interface web d'administration).
 
Merci à vous!

ça ne marchera pas, un switch non manageable par définition ne peut pas gérer de vlans. Pas de 802.1q possible, pas de définition de vlans sur des ports.

Merci,
 
"un switch manageable...ne peut pas gérer des vlans"  
 
Il me semblait que c'était le but de ces switchs??

il manque le "non" comme tu le mets dans ton message

C'est bien ce que je me disais ^^
 
Bon alors concrètement je fais comment?
 
Pour rappel, 1 baie avec switch au RDC et 1 switch à l'étage.
 
RDC : nécessité de segmenter et du faire routage inter VLAN
Etage : peut accéder à tous les VLAN.
 
Merci!

je pense qu'il faut que tu comprennes que "peut accéder à tous les vlans" n'a aucun sens avec un switch non manageable

ok donc au final il me faudrait 2 switches manageables ^^ ?

Je pensais qu'en branchant un switch non manageable sur un port trunk du switch manageable ça permettait un accès à tout.

non ça ne fonctionne pas, déjà car le switch non manageable ne fait pas de 802.1q et ne peut donc pas interprêter les trames taggées qu'il recevrait, et ensuite car le switch étant non manageable, tu n'aurais aucun moyen de lui dire quel vlan mettre sur quels ports clients.

La seule chose que tu peux faire avec un switch non manageable, c'est le brancher sur un port access (ie 1 vlan, non taggé) d'un switch manageable, pour propager un unique vlan sur tous les ports.

et encore une fois "accéder à tout" ça veut rien dire

J'ajouterais que les switch non ménageable, c'est la plaie dans le infra pro.  
En plus, c'est pas pour le prix qu'un switch manageable coute aujourd'hui...

Oui j'essaie de comprendre... et d'assembler les infos pour réussir à faire quelque chose de concret

Re bonjour,
 
Voici le lien pour le schéma simplifié du réseau en PDF : http://dl.netbridge.ovh/dl/fHF/Schema.pdf
 
Et les explications sur ce que je veux faire :
 
1. définition des VLANs :
 
- VLAN10 : Vidéosurveillance (caméras IP en RJ45 et WiFi sur SSID spécifique, VM7), les flux sont assez importants car il y a un enregistrement en continu
- VLAN20 : domotique (Rpi Domoticz)
- VLAN30 : VoIP (IPBX 3CX + téléphones IP RJ45)
- VLAN1  : par défaut
 
2. les contraintes :
 
- VM1 (OpenVPN AS) doit pouvoir accéder à tous les VLAN (les accès des clients au ressources réseau sont gérés par les politiques d'accès dans le serveur VPN)
- VM2 (Nagios) idem
- VM3 (IIS) pas de contraintes
- VM4 (Apache Guacamole) pas de contraintes
- VM5 (IPBX 3CX) intégré au VLAN30 mais doit être accessible par certains PC et smartphones du VLAN1 (si possible, uniquement sur les ports d'enregistrement SIP)
- VM6 (DNS zentyal) pas de contraintes particulières
- VM7 (vidéosurveillance) intégré au VLAN10 mais doit être accessible à certaines machines du VLAN1
- Mini PC télémaintenance : doit pouvoir accéder à tous les VLAN et être accessible depuis tous les VLAN
- Serveurs HP1,2,3 : pas de contraintes particulières
- Nas Pro : doit pouvoir joindre et être joint depuis tous les VLAN
 
 
Dans la continuité, j'ai commandé un switch L3 de chez HPe.
 
Du coup, j'ai parlé de VLAN, mais peut-être est-ce mieux de faire via des ACL? Ou de juste isoler le VLAN10 qui génère beaucoup de trafic?
 
Merci à vous tous!

 
Je pensais qu'en branchant un non manageable sur un port trunk du manageable les PC branchés sur ce switch auraient un accès Open-bar.

Mais avec cette idée tu imagines configurer quoi sur tes cartes réseau des postes connectés au switch non manageable ? 802.1q ou pas ? Plusieurs adresses IP ? Quelle gateway ?  
Essaye de pousser le raisonnement jusqu'au bout et imagine comment tu configurerais le tout et quel serait le résultat attendu, tu devrais te rendre compte assez rapidement que ça n'a pas de sens.

up :
 
sur mon schéma, switch1 et switch sont désormais des HP 5120EI ^^
 
Merci pour votre aide!