Bonjour,
 
je voudrais mettre du DHCP ( serveur windows 2016) pour distribuer les adresses IP sur un certains nombres de VLAN ( switch cisco ).  
 
On aura  un VLAN serveur, 2 VLAN admin et 1 VLAN imprimante,  qui peuvent joindre tout le monde ( et être joint). Les autre VLANS ( 6 VLAN poste de travail)  ne se verront pas entre eux. Ces autres VLAN seront par demi étage ( avec chacun leur sous réseau ).
 
On fera aussi du filtrage mac sur les switchs en port security.  
 
On souhaiterait peut être mettre un bail indéfini pour les attributions d'adresses IP sur le serveur.  
 
Par contre, la question que je me pose, si un utilisateur change de vlan ( par exemple, il déménage, il passe d'un étage à un autre avec son portable), comment s'est géré. Comment s'est fichu dans un DHCP windows, si l'on tag pour tel mac adress attribuée tel IP?  
 
S'il change de VLAN, ça va posé soucis, si on a un bail DHCP indéterminé ?

il se fera attribuer une adresse IP dans le nouveau réseau et son ancienne réservation ne service plus à rien

 
 
ok, d'accord. Et inversement ( on a pas encore défini notre infra) si l'on veut qu'un user ne puisse pas changer de vlan ( prendre son portable et aller se brancher dans un autre étage donc un autre vlan). On peut gérer ça sur nos étendues sur le DHCP?

Je semble avoir trouver ma réponse, pour le cas ou c'est ce qu'on nous demanderait de faire :
 
https://www.it-connect.fr/dhcp-wind [...] trategies/
 
filtrage mac via des stratégie sur les étendues.  

tu peux refuser d'attribuer une IP à une adresse MAC donnée mais ce n'est pas vraiment de la sécurité, le poste a toujours accès au réseau et peut se fixer une adresse IP lui-même s'il veut.

Si tu veux faire de la vraie sécurité au niveau du port switch c'est 802.1x qu'il te faut, mais c'est autrement plus lourd à mettre en place que DHCP (et ça ne te dispense pas forcément de DHCP à côté de ça).

 
 
Oui, ok merci. J'ai regardé un peu. Effectivement, ça a l'air assez lourd à gérer. Dans tt les cas, ce n'est pas moi qui déciderai de l'archi à mettre en place. Mais j'y participerai, donc, je me renseigne un maximum.  
 
Pour l'IP, les utilisateurs ne sont pas admin de leur pc, ils ne peuvent donc pas changer leur configuration. S'il change de vlan, il n'aura pas l'ip du sous réseau correspondant. Mais oui, après un pirate pourrait très bien venir dans un bureau se brancher et pirater une mac adress et IP et se l'attribuer...Mais bon, les accès au locaux sont quand même sécurisés. C'était plus dans l'optique intervenant extérieur type formateur ou autre qui se pointe pour une réunion et qui essaye de se brancher sur notre réseau. Ou un utilisateur qui ramènent un pc perso.  
 
Par contre, pour la mise en place du port security, c'est à faire sur chaque switch ou bien on peut gérer depuis les switch  coeur de réseau ( à la façon d'un server VTP par exemple)? Qui répliquerait la table de mac adress autorisée?

C'est beau dans la théorie, mais tellement lourd à gérer dans le vie de tous les jours...
 
Et je suis le seul a tiquer sur le fait que tu ne parles que de prises par étages? T'as pas noté une tendance a avoir de moins en moins de postes en Ethernet et de plus en plus en Wifi avec les années?

802.1x et du dynamic vlan assigment

 
Le wifi sera refait aussi. Plus de bornes qu'actuellement, avec 2 vlan un wifi public, l'autre privé. Par contre,par contre, il ne sert que pour les accès web soit des VIp soit des invités extérieurs. A terme, il sera ouvert à tout le personnel. Là on a déjà de l'authentification mac. En fait, on, refait tout le câblage, on change tout les équipements actifs pour distribuer le réseau, sur environ 500 PC.
Le câblage avait pas bougé depuis....longtemps ( pas loin de 25 ans). Excepté des rocades fibres optiques reliant les cabinets de câblage au coeur de réseau.