Bonjour,
 
Je dois réaliser un projet sur le réseau informatique de mon entreprise mais j'ai du mal à trouver la procédure à employer pour le réaliser. Je dois permettre l'authentification à distance des différents sites soit au réseau de l'entreprise si l'utilisateur est connu soit uniquement à internet pour les visiteurs.
J'expose ma solution, dites moi si vous êtes d'accord, qu'est ce qu'il va pas etc.. Je vous remercie d'avance.
J'ai ajouté un switch de niveau 2 que je mets sur les sites pour avoir des ports de distributions qui est relié à un routeur orange et qui gère le VPN. Mon switch cisco est un SG300-10 (niveau 3 ou 2 au choix). Je mets le "relay dhcp" car l'utilisateur ne doit pas être obligé de modifier ses paramètres réseaux de son ordinateur portable, car oui ceux sont des utilisateurs nomades.
Je dois constituer des vlans pour sécuriser sur ce switch, il faut d'une part un vlan 1 où il y a des équipements fixes (ordi et imprimante), un vlan 2 pour les utilisateurs de l'entreprise et un vlan 3 pour les visiteurs. Sachant qu'il existe aussi un vlan par défaut avec adresse IP pour l'administration. Vlan 1 et 2 ont accès au réseau entreprise et le 3 seulement à internet. Une fois les vlans créés, nommés, je mets donc dhcp relay vlan 2 et 3, le port switch routeur en mode trunck avec vlan1,2,3. Je dois maintenant paramétrer le routage inter-vlan au niveau du routeur orange et là je ne sais pas trop comment faire, je recrée mes vlans 1,2,3 avec le même nom et j'essaie de trouver des tutos internet mais je n'arrive pas à comprendre bien ce qu'il faut rajouter sur le routeur pour le communication avec les serveurs de l'entreprise et les différents vlan.  
En clair, je ne sait pas bien comment me dépatouiller avec les vlans, leur routage, l'adressage IP car je veux créer différents sous-réseaux (c'est sur le routeur que je mets un adresse IP avec un masque 24 à l'interface vlan 1, 2,3).  
J'ai le problème aussi de la restriction car je veux faire différents sous réseaux pour avoir une adresse IP différente en fonction du vlan et appliquer ensuite une régle ACL en fonction de cette adresse IP, dois-je procéder comme ça pour faire le vlan visiteur qui accède uniquement à internet? Help je suis perdu lol.
Pour compliqué encore plus c'est que les vlans ne doivent pas être cantonné à un seul port, pour avoir des vlans dynamique en fonction de l'authentification à distance Radius. Je dois donc mettre tous les ports du switchs en trunck pour associer tous les vlans à tous les ports?
Pour ce qui est du radius, j'utilise NPS sur windows serveur 2008 avec comme stratégie contrôle utilisateur ldap et @MAC du PC. L'utilisateur ldap marche mais pas @MAC malgrès la création dans l'AD d'un groupe utilisateur contenant les @ mac en minuscule et sans - de séparation.
Sur les clients PC l'authentification 802.1X est bien active.
Mon plus gros problème vient surtout de la configuration de mon switch et routeur orange avec les Vlans et les restrictions...
Voilà je ne sais pas après ce paver si j'ai était clair.. Pour certains le projet semble facile mais j'avoue que je rencontre beaucoup de mal, alors tout aide serait le bienvenue.
Merci

J'ai arrêté à 1/3 tellement c'est mal écrit et compact

pardon Mon routeur cisco SG500-28, ne gère pas (apparemment) l'encapsulation dot1q pour faire une connectivité logique des Vlans de mon switch. Comment je peux faire du routage inter-Vlans dans ce cas là?

tu fais pas de tag 802.1q et tu branches un câble par vlan que tu veux faire transiter, à défaut de mieux.

Oui... C'est quand même étrange qu'un routeur cisco small business de la série 500 ne gère pas ça ou alors c'est moi qui déconne! Surtout que un câble par switch de 10 ports, ça prend trop de place.

http://www.cisco.com/c/en/us/produ [...] sheet.html
 

Bonjour,
 
Je suis pas sûr d'avoir tout compris, c'est pas super clair ton histoire, mais je pense que ton problème est au niveau de ton routeur et non de ton switch.
 
Pour faire du routage inter-vlan, le plus efficace est de faire du "router-on-the-stick", à moins que tu ais des interfaces physiques à foison sur ton routeur :  
 
1 - Créé chaque vlan sur le routeur
2 - Crée une interface virtuelle pour chaque VLAN sur l'interface du routeur qui connecte ton switch
3 - Encapsulation dot1Q [n°VLAN] sur l'interface virtuelle bien sûr
4 - Configure chaque interface virtuelle avec une adresse IP qui sera la passerelle du sous-réseau du vlan associé
 
Exemple de configuration d'une interface virtuelle sur un routeur Cisco :  
 
interface GigabitEthernet0/0.3
  encapsulation dot1q 3
  ip address 192.168.0.1 255.255.255.0
 
 
Le sous-réseau 192.168.0.0/24 correspondrait dans ce cas au vlan 3 sur ton LAN
 
 
Par contre, tu parle de routeur Orange, s'il s'agit d'une BOX, je ne pense pas que tu puisses configurer le routeur de cette façon. Il me semble que les paramètres modifiables sur les box sont plutôt restreints.
 
Mais si effectivement ton switch fait bien du niveau 3, tu devrais pouvoir faire l'équivalent au niveau de ton switch. Le principe est le même, mais la configuration diffère
 
EDIT : J'ai oublié de préciser que ton lien router<->switch doit être un trunk bien sûr, pour pouvoir porter tous les vlans vers ton routeur

même s'il ne fait que niveau 2 ça marche aussi.

 
Je ne vois pas comment deux vlans différents peuvent communiquer au niveau 2 sans passerelle niv3

Pour la deuxième partie de ton problème, si j'ai bien compris, tu veux assigner dynamiquement un VLAN à un port du switch selon le client qui est connecté dessus. Par exemple un PC visiteur se connecte sur le switch, il faut que le port du switch passe en access VLAN 3 dynamiquement.
 
Je pense que c'est possible, mais il te faudra un serveur VMPS + le protocole VQP sur le commutateur.
 
Ce tuto est plutôt bien fait sur le sujet :http://www-igm.univ-mlv.fr/~dr/XPO [...] /vmps.html

 
Non, si tu mets tous les ports en trunk, c'est comme si tu n'utilisais pas de vlans
 

Les vlans fonctionnent au niveau 2. L'affectation dynamique fonctionnera avec les @MAC des postes, qui doivent être entrées dans le serveur VMPS

j'avais mal lu ta phrase, au temps pour moi.

Par contre si tu fais le routage au niveau du switch, cela implique un réseau d'interco entre le switch et le routeur (et plus besoin de tagger les trames ethernet du coup), et des routes à rajouter sur le routeur pour joindre les différents réseaux.

Merci pour toutes ces explications, j'ai bien pris note et je m'aide aussi de ce tuto http://aldevar.free.fr/data/13-Int [...] rVLAN.pdf. Mais vous me dites de créer les vlans sur le routeur et non sur le switch? Alors que dans le tuto c'est l'inverse. On:  
-créer et affecte les vlans au commutateur (switch niveau 2) en mode acces sur les interfaces
-mettre le port liaison switch routeur en trunk
-sur le ROUTEUR création des interfaces virtuelles sur la prise ethernet routeur-switch avec encapsulation dot1q et adresse IP pour sous-réseaux.
 
J'ai bien compris la procédure, seulement que ce soit en mode graphique http ou en mode config avec hyperterminal sur port série je n'arrive pas à créer mes interfaces virtuelles, affecter une Ip et mettre encapsulation.  
La commande: "int ge1/1/5.1" ne marche pas avec le ".1" pour l'interface virtuelle... voilà mon problème
 
 

 
Exactement

 
On parle de créer les vlans sur le routeur, en partant du principe que tes vlans sur le switch étaient déjà existant, mais effectivement il faut que tes vlans soient créés sur le switch, SAUF si tu utilise le VTP avec ton serveur VMPS.
Si tu veux faire le routage inter-vlan au niveau de ton routeur, créer une interface virtuelle avec l'encapsulation dot1q n'est pas suffisant, il faut d'abord créer le VLAN également sur le routeur. Généralement (pour CISCO en tout cas) les information de VLAN ne sont pas stockés dans le même fichier, si tes vlan ne sont pas créé, le routage inter-vlan ne fonctionnera pas, à moins que je me trompe.
C'est juste une commande tout bête : en mode configure --> vlan 3
et voila ton vlan est créé
 
Enfin bref, tu dis que ton problème est pour configurer l'interface virtuelle :"int ge1/1/5.1" ne marche pas avec le ".1"
Tu es sur le routeur ou sur le switch ?

 
Mais c'est quoi ton WPMS ? Je trouve ça nul part

 
Oups sorry, dyslexie spotted : VMPS  pour Vlan Membership Policy Server  
 
J'édite mes messages précédents pour éviter la confusion

Ah ok, je comprends mieux .
 
Bah perso la plupart du temps je vois les gens administrer leur vlan directement, sans VMPS ou autre.

J'ai créé mes vlans avec les mêmes ID sur le switch et le routeur. Pour mes test j'utilise un siwtch cisco SG300-10 et un routeur SG500-28. Le trunk est sur le switch. Je suis donc sur mon routeur et je veux créer mes interfaces virtuelles mais pas moyen avec la méthode conf t > int GE1/1/4 > int GE1/1/4.1, réponse "% bad parameter value". Je regarde sur la doc française de mon routeur et je ne trouve nul part le mot "interface virtuelle", "agrégation" enfin agrégation de port physique les "LAG" maisc'est autre chose. Je ne comprends pas comment je peux faire

int vlan X

OK, quand tu parles de rotueur en fait tu utilise un switch qui fait du niveau 3. Donc effectivement, comme je te l'avais dit, le principe est le même mais pas la configuration.
 
Sur ton switch niv3 (routeur) :  
 
1 - Comme le dit Je@nb créé une interface vlan X pour chacun de tes vlan
2 - Attribue leurs une adresse IP (passerelle pour les poste)
3 - Active le routage IP
4 - Met une route par défaut vers ta box (équivalent de la passerelle au niv 2)
 
Exemple
 
conf t
 
int vlan 3
  ip address [@IP] [Mask]
exit
"même chose pour les autres vlans"
 
ip routing
 
ip route 0.0.0.0 0.0.0.0 [@IP de ta box]