Bonjour bonjour,
 
Je débute dans les VLANS et j'aurai quelques interrogations sur la communication inter VLANS sur un même switch.
 
J'ai monté un petit lab avec 5 postes et un switch de niveau 3 Netgear GS752TP selon le schéma suivant :

 
L'idée est d'isoler les VLANS 2 et 10 afin que les postes ne communiquent pas entre eux, et de bénéficier des avantages sur les domaines de broadcast.
Par contre les postes des VLAN 2 et 10 doivent pouvoir accéder au serveur sur le VLAN 1.
 
Avant même de créer les VLANS, j'ai assigné les adresses IP aux postes : les postes ne communiquent pas entre eux sur une plage IP différente, normal.
J'ai modifié leur masque de sous réseau en 255.255.240.0 (/20), tous les postes se voient bien et communiquent bien ensemble, rien de bien compliqué jusque là.  
 
J'ai créé les VLANS 2 et 10 dans l'interface Netgear sous Switching :

 
J'ai assigné les ports 23 et 24 au VLAN 2, et les ports 25 et 26 au VLAN 10, et je les ai retiré du VLAN 1. Screen pour le VLAN2 par exemple :

 
J'ai aussi configuré le PVID (à priori nécessaire sur netgear). Là je perd la communication entre les VLANS.
 
Or j'aimerai configurer l'ensemble pour que les postes dans le VLANS 2 et 10 communiquent bien avec mon serveur. De ce que j'ai lu, pour faire communiquer 2 vlans différents, il faut paramétrer le routage inter vlan. Je l'ai fait dans "routing", "VLAN", "Vlan Routing Configuration" en renseignant pour chaque VLAN la passerelle 192.168.x.254 :

 
Mais ça ne change rien, ça ne communique pas entre VLANS.
De ce que j'en comprends, si je prends l'exemple d'une trame qui serait envoyé du 192.168.2.1 vers le 192.168.1.1, elle arrive par le port 23, et elle est routée par la passerelle 192.168.2.254 vers le VLAN1? (c'est un peu flou pour l'instant ces notions, je dis peut-être des conneries).
 
Questions :
- Dois-je obligatoirement taguer tous les ports sur le VLAN 1? Est-ce une bonne pratique de taguer plusieurs VLANS sur un même port? Ne perd t-on pas les avantages sur les domaines de diffusion?
- Concernant le masque sur les postes, doit-on jouer avec? Dans l'idéal j'aimerai éviter d'avoir à y toucher et laisser tout le monde en /24
- J'ai tenté en configurant les ports en Tagged ou Untagged, ça ne change rien. Concept assez obscur encore pour moi malgré mes lectures.. mais peut-être dois-je creuser dans cette direction?
- Le problème vient de mes réglages de VLAN Routing?
- Plus globalement je fais fausse piste? Comment procéderiez-vous?

Je pense qu'il faut que tu continue de te documenter sur le principe du tag/untag pour bien comprendre.
 
non pas besoin de taguer les postes sur le vlan1.
oui c'est possible de tagger plusieurs vlan sur un même port. ça dépend du besoin et ce n'est pas une bonne ou mauvaise pratique.
par débuter laisse tout en untagged
pas besoin de modifier les masques, garde tout en /24 par simplicité
 
pour faire une communication inter vlan, il te faut une passerelle qui a un pied dans chacun de ces vlans
les postes vont envoyer le traffic à cette passerelle qui se charge de l'envoyer dans l'autre vlan et inverse.
 
Je pense que ton switch L3 et sa conf de routing semble faire le job de cette passerelle.
 
est-ce que les postes ont bien les routes nécéssaires ?
serveur doit avoir:
192.168.2.0/24 via 192.168.1.254
192.168.10.0/24 via 192.168.1.254
poste1 doit avoir
192.168.1.0/24 via 192.168.2.254
poste3 doit avoir
192.168.1.0/24 via 192.168.10.254

Ahhh en effet, la passerelle n'était pas renseignée sur les postes.. je me sens un peu nul, mais nul avec une épine dans le pied en moins! Merci! J'avais aussi une règle de pare-feu qui faussait un peu les tests.
 
Maintenant j'ai bien mes postes sur le VLAN 2 et 10 qui communiquent avec le VLAN 1.
Par contre le VLAN2 communique aussi avec le VLAN10, comment empêcher ça proprement? J'ai vu qu'on pouvait jouer avec les ACL, c'est la meilleure option?

En général on utilise un firewall pour ça.
Tu pourras uniquement faire du filtrage stateless via ton switch : filtrage simple caractérisé par une adresse IP source et destination, éventuellement des ports TPC/UDP mais impossible de caractériser un "sens" de connexion (comme dans la phrase "je veux que machin puisse se connecter à truc mais pas l'inverse" ). Du point de vue d'un switch il n'y a pas de connexion et pas de sens, ce sont juste des trames et des paquets qui vont d'une machine vers une autre, qu'au niveau applicatif ce soit une requête ou une réponse le switch n'en sait rien.  
Pour faire du vrai filtrage (stateful) il te faut un firewall. Ça peut être un pfsense, une simple machine linux, un produit commercial comme fortinet...

Ok merci pour vos réponses
J'ai un sonicwall qui traine je vais tenter de le mettre dans la boucle pour pousser les tests.