Bonjour,
 
j'ai actuellement un réseau en RSTP avec le netgear GS108T V2  , sur lequel plusieurs applicatifs peuvent tourner. Un réseau d'audio/video ( VOD ) , un réseau de control/command , et pourquoi pas d'autres ( un petit LAN privé pour des machines qui se branchent de temps en temps ).
 
l'idée est de mettre chaque ensemble de flux dans des VLAN pour gérer une QOS sur chacun d'eux.
 
Apparemment, le netgear GS108T V2 permet de gérer les VLAN par port, et j'ai 2 machines ( pour tester ) qui dialoguent en broadcast UDP entre elles. J'ai donc intégré le port de chacune des machines ( sur 2 switchs différents et distants ) dans un même VLAN , et quand je mets un wireshark sur un autre port, je ne vois plus les broadcasts. C'est exactement ce que je souhaite, cloisonner les broadcasts pour ne pas polluer les autres ports.
 
Seulement, mes 2 machines ne voient plus non plus les broadcasts , je suppose que ca vient du fait qu'elles ne sont pas sur des mêmes switchs : il y a 2 autres switchs entre les 2 ( en RSTP , triple anneau ). Est ce que je dois mettre les ports entre chaque switch dans ce même VLAN également ?  
 
Autre question : est ce que c'est pertinent de mettre un port dans 2 VLANs différent, par exemple parce qu'une machine a besoin à la fois de recevoir le flux du VLAN 1 ( VOD ) et du VLAN 2 ( control/command )
 
Merci pour vos réponses  

Je ne comprends rien
Pour toi RSTP = rapid spanning-tree protocol ?
Un petit dessin ?

Oui, c'est surement du à ma méconnaissance du sujet, je n'arrive pas bien à expliquer.
 
Voici un schéma du réseau que je suis en train de tester :
 

 
En rouge 2 anneaux RSTP secondaires. En bleu un anneau RSTP primaire. En vert, les poids de chaque lien pour déterminer la route.
 
 
j'ai 3 machines qui sont sur 3 switchs distincts ( par exemple 172.17.1.1 port 2 , 172.17.3.198 port 4 et 172.17.3.197 port 1 ) , qui dialoguent ensemble en broadcast UDP.
 
Pour éviter de polluer tout le réseau de broadcast, je me suis dit qu'il fallait mettre ces 3 machines sur un VLAN. Le switch que j'utilise étant un netgear GS108T V2 , il propose cette fonctionnalité.  
 
Sauf que je ne connais pas les VLAN, et le peu de configuration que j'ai fait ne fonctionne pas.
 
 
Ce que j'ai fait : j'ai créé un VLAN ( ID= 4 ) sur chacun des switchs possédant une machine, et j'ai passé le port de chaque machine en "TAGGED" sur le VLAN 4. Cela ne fonctionne pas, car je vois toujours les broadcasts à partir d'un autre port du réseau.
 
Je me suis ensuite apercu que tous les ports de tous les switchs sont également dans le VLAN 1 par défaut, en "UNTAGGED". J'ai donc décoché mes ports du VLAN1, cette fois ci, je ne vois plus les broadcasts, mais les machines ne se voient plus entre elles.
 
J'ai donc supposé que c'est parce qu'il faudrait que  les ports 7/8 en rouge et 5/6 en bleu du schéma soient aussi dans le VLAN 4 pour laisser passer les trames, mais lorsque j'ai commencé à configurer les switchs de cette facon là ( en retirant d'abord du VLAN 1 , puis en mettant dans le VLAN 4 ) , les autres sont devenus soudainement inaccessibles.
 
Alors je dois surement me tromper sur la facon de faire, mais je ne vois pas bien pourquoi.

Bon, toujours pas compris ton schéma mais voici un rappel sur les vlan.
Par défaut, sur un switch tu as toujours un vlan1 en untagged sur tous les ports.
Maintenant la différence (basique) entre tagged et untagged :
-tagged si la machine connectée est capable de lire le tag du traffic qui lui est transmis (typiquement des téléphones IP)
-untagged si la machine ne sait pas ou si elle n'est pas configurée pour lire les tag (typiquement des ordinateurs)
 
Donc déjà tu dois configurer tes vlan en untagged.

le schéma est simple pourtant. Oublie le RSTP si c'est ce qui pose problème, c'est pas important ici.
 
Je reprends ce que tu dis :  
 

 
Je confirme, et je pense que c'est un problème dans mon cas. Car si je branche une machine qui broadcast en UDP, toutes les machines du même VLAN que son port va recevoir les broadcasts , c'est à dire par défaut l'intégralité du réseau. Si je comprends bien, je dois déjà virer les ports des machines qui broadcastent du VLAN 1. Mon raisonnement est-il bon jusqu'ici ?
 
En ce qui concerne untagged / tagged, merci pour l'explication. Effectivement, c'est des ordinateurs que je dois brancher, il faut donc que j'utilise untagged et non tagged.
 
Maintenant, si je veux créer un vlan dans lequel 2 machines dialoguent ensemble, il faut que je crée mon VLAN sur :
 - les switchs uniquement concernant les 2 machines ?
 - tous les switchs qu'il y a entre les 2 machines ?
 - tous les switchs du réseau ?
 
Est ce que je dois également mettre dans le VLAN les ports :  
 - uniquement des 2 machines ?
 - des 2 machines et également des ports d'interconnexion de chaque switch ( en untagged aussi je suppose )  ?
 
 
Pour finir, mon objectif est simple :  
 - d'une part, je souhaite cloisonner certaines machines pour que leurs broadcasts ne pollue pas le reste du réseau
 - d'autre part, faire de la QOS ( avec diffserv ) par VLAN ( car je devrai créer d'autres VLAN )
 
 
Je ne pourrai pas faire les tests avant lundi, c'est au boulot.

Si tu veux faire du VLAN, tu dois avant tout raisonner en plan IP.
 
Si toutes tes machines sont dans le même subnet (donc le même VLAN), tu peux isoler mais il faut passer par des mécanismes plus complexes (VACL / Private Vlans)

Je reviens sur mon histoire de VLAN car je reprends l'étude sur l'architecture réseau que j'ai présenté dans mes messages précédents. Désolé pour le long délai de réponse, c'est que j'avais du basculer sur d'autres projets
 
 

 
 
En fait, étant donné que je ne suis pas du tout un spécialiste réseau ( au niveau des VLANs en tout cas) , je ne suis pas bien sur de savoir si j'en ai réellement besoin ou non.  
 
 
Je vois dans ta réponse que tu parles de plan IP. Cela sous-entend donc qu'il faudrait un plan IP différent par VLAN, et éventuellement des passerelles entre chaque VLAN si je veux dialoguer entre 2 machines de 2 VLANs différents ? Il me semble que cela fonctionne comme ca dans mon entreprise actuellement ( je parle du réseau entreprise, mon étude concerne plutot un domaine embarqué ).
 
Et là, je pose une question : quel est l'intérêt du VLAN si j'ai 2 plans IP différents ?  On peut déjà le faire actuellement me semble-t-il sur un réseau, sans recourir aux VLANs ?  
 
Je m'explique : si j'ai 2 switchs réseaux connecté entre eux, une machine A sur P1.S1 et B sur P2.S1 ,et C sur P1.S2  D sur P2.S2 et E sur P3.S2 S1 et S2 sont connectés entre P8.S1 et P8.S2.  
 
Si A , C et D sont sur un plan IP 1 , par exemple 172.17.0.0/16 , avec A = 172.17.0.1 , C = 172.17.0.2 , et D 172.17.0.3
et Si B et E sont sur un plan IP 2 , par exemple 192.168.1.0/8, avec B = 192.168.1.1 et E 192.168.1.2
 
on a bien A C et D qui peuvent dialoguer ensemble, et B et E qui peuvent dialoguer ensemble également, et aucun dialogue possible entre ( A C D ) et ( B E ) sauf si je mets en place des passerelles de chaque coté.
 
Et tout ceci sans VLAN.
 
Qu'apporterait le fait de mettre A , C et D dans un premier VLAN, et B et E dans un second ? des services en plus comme de la QOS ou autre ?
 
 
Maintenant , pourquoi j'ai parlé de VLAN ? J'ai l'impression que les VLANs sont faits pour faire des réseaux logiques de machines physiques sur un réseau physique. Or, ce que je souhaite faire, c'est plutot des réseaux logiques de services sur un réseau physique ( indépendament des machines physiques).
 
Par exemple, un VLAN "controle-commande" , un VLAN "video" , et un VLAN "maintenance". Sauf que j'ai des machines qui peuvent avoir besoin d'accéder à plusieurs services simultanément ( ex une machine qui fait du controle commande, et qui affiche aussi de la video ). Dans ce cas, je ne sais pas si le principe des VLANs est adapté à ce que je souhaite faire, et si c'est le cas, comment faire ?
 
 
Merci en tout cas de me lire   , même si ca a l'air un peu tordu ( je sais ce que je veux faire, mais je l'exprime pas forcément bien ).
 
Bon, j'ai un autre post à faire sur le multicast, j'ai d'autres problèmes également.

Je me réponds à ma problématique ( A C D ) ( B E ).  
Sans VLAN :
   - A C D peuvent dialoguer entre eux en unicast mais pas avec B et E.  
   - B et E peuvent dialoguer entre eux en unicast mais pas avec A , C et D.
   - si je veux dialoguer entre (A C D) et ( B E ) il faut que je mette des passerelles.
   - par contre, si A C et D emettent des broadcasts ( ou multicast ) , ils seront retransmis sur les ports physique de B et E ( meme si B et E ne peuvent pas les lire parce qu'ils ne font pas partie du même plan IP ).
   - idem pour broadcast de B et E vers A , C , D.
 
Donc si je comprends bien l'intérêt du VLAN ( lu sur : http://fr.wikipedia.org/wiki/VLAN )
 

 
si je mettais - en plus des plans IP différents - ( A C D ) dans un VLAN ( numéro 2 ) , et ( B et E ) dans un VLAN ( numéro 3 ) , si A , C ou D émettent un broadcast, il ne sera pas retransmis sur le port physique de B et E car ces ports font partie d'un VLAN différent ?
 
je parle de port ( VLAN type 1 ) , mais on peut remplacer par adresse mac ( VLAN type 2 ) ou adresse IP ( VLAN type 3 ), ca ne change rien c'est pour comprendre le principe.

Je viens de tester avec 2 switchs netgear GS108Tv2 sur lesquels j'ai configuré des VLANs, à priori j'arrive à communiquer mais je ne comprends pas tout ce que j'ai fait.
 
 
sur le switch 1 , j'ai laissé le port 1 dans le VLAN 1 ( car c'est le VLAN de management ) , et j'ai mis 2-3-4 dans VLAN 40 et 5-6-7 dans VLAN 41
sur le switch 2 , j'ai fait exactement la même chose.
 
Tout ceci je l'ai fait en fixant la valeur PVID de chaque port avec le VLAN voulu, sans me soucier du TAGGED / UNTAGGED du port. les PVIDs se configurent dans une page particuliere, et on ne peut mettre qu'un PVID par port.  
 
Ensuite je suis allé dans une autre page de configuration qui elle permet de TAG / UNTAG chaque port dans chaque VLAN, et la je trouve que c'est un peu redondant avec l'info ci-dessus.
 
Deja, contrairement aux PVID , je peux choisir de TAGGUER / UNTAGGUER un port autant de fois qu'il y a de VLAN déclaré dans le switch. Et bien sur je peux mettre des valeurs différentes. Par exemple je peux untag le port 4 dans le VLAN 40 , le tag dans le VLAN 41 , et ni tag ni untag dans le VLAN 1. Je ne sais pas à quoi ca sert de configurer les autres puisque dans une autre page, j'ai fixé le PVID de mon port avec une valeur de VLAN particulière.
 
Ensuite lors de mes essais, par exemple sur le switch 1, je peux dialoguer entre les port 2-3-4 ( à condition d être sur le même plan IP bien sur ) , seulement si les ports sont en UNTAG. Si je les mets en TAG, je ne peux pas dialoguer entre eux, et si je ne mets ni TAG ni UNTAG ( à quoi sert cette option ? ) je ne peux pas dialoguer non plus. Bien entendu, je ne peux pas dialoguer entre TAG et UNTAG non plus.
 
J'ai bien remarqué que les réseaux sont séparés, c'est à dire que si je broadcast sur 2-3-4 ( VLAN 40 ) , je ne vois rien sur 5-6-7 ( VLAN 41 ) et vice versa. On a bien une séparation des domaines de broadcast.
 
Maintenant j'ai cherché à communiquer entre mes 2 switchs, je les ai donc reliés entre eux via le port 8 ( qui est resté avec un PVID à 1 ), et j'ai du en plus passer chaque port  en TAGGED ( sur tous les VLANs ). En faisant cela , je peux maintenant dialoguer entre S1.(2-3-4) et S2.(2-3-4)  , et aussi entre S1.(5-6-7) et S2.(5-6-7)  ( et aussi entre S1.1 et S2.1 et également manager les 2 switchs ).
 
Le truc que je ne comprend pas, c'est pourquoi ca marche alors que le PVID de mes ports S1.8 et S2.8 sont à 1 donc VLAN différent de 40 et 41. D'ailleurs j'ai fait un petit essai, j'ai passé S2.4 en TAGGED ( sur tous les VLANs par contre ), et j'ai relié mes switchs entre S2.4 et S1.8 , et je peux bien dialoguer entre S1(2-3-4) et S2(2-3) alors que S2.4 et S1.8 sont configurés avec 2 PVIDs différents. Je ne comprends pas tout, c'est peut etre normal, mais ce n'est pas logique. Ou alors quand on est en TAGGED, le PVID est ignoré ?
 
Bref au final, j'ai réussi à communiquer, mais ne comprenant pas tous les mécanismes, je trouve ça un peu dangereux.
 
 
Il me reste maintenant à voir comment mettre par dessus les VLANs du RSTP car apparemment ca se mélange pas bien du tout, il faut que je regarde du coté du MSTP ( STP prévu pour VLAN , ce que supporte le switch ).
 
Sinon, en ce qui concerne le routage inter vlan , il n'y a pas la fonction native dans les switchs ( dommage ), donc je vais devoir passer par un routeur externe. J'ai 2 solutions :  
 - soit il me faut un routeur avec autant de carte réseau que de VLAN , et je branche une carte réseau par prise de VLAN différent. Ce que je ne peux pas faire car c'est un poil trop lourd.
 - soit je peux utiliser un routeur qui supporte la fonction trunk ( ? ) , est ce possible de le faire avec une machine sous linux par exemple ? Je sais qu'on peut mettre plusieurs adresses IP sur une même carte réseau, peut-on également lui dire que selon l'adresse , on est sur tel VLAN ? du coup, je pourrai faire le routage directement avec linux.
 
 
Merci pour votre aide ( on sait jamais )
 

Ce n'est pas redondant du tout, c'est complémentaire.
Le PVID concerne le trafic entrant dans un port. Si la trame arrive non tagguée (ie sans information du n° de VLAN, bref la trame Ethernet de base) alors elle sera placée dans le VLAN indiqué par le PVID. Si la trame arrive tagguée alors le switch ne tient pas compte du PVID.
 
La notion de untag concerne le trafic sortant d'un port du switch. Une trame appartenant au VLAN X non tagué sera émise au format Ethernet de base par le switch (l'information d'appartenance au VLAN X sera alors perdue).
 
La notion de TAG concerne à la fois le trafic entrant et sortant d'un port.
En sortie, la trame sera émise au format 802.1q qui rajoute 4 octets dont le n° de VLAN (trame taguée), contrairement au port untag, le ° de VLAN n'est donc pas perdu et peut être exploité par le distant.
En entrée une trame au format 802.1q sera autorisée à entrer si le port du switch est tagué pour le VLAN en question, sinon elle sera rejetée.

Ok , je comprends mieux. Par contre, j'ai quelques questions complémentaires, et pour cela, je vais illustrer avec des exemples :
 
le PVID :  
 
 - la trame arrive non tagguée d'après ce que j'ai compris dans le cas d'un ordinateur par exemple. Comment pourrait-elle alors arriver tagguée ( et dans ce cas, le PVID est ignoré) . J'ai lu ci-dessus que ca pouvait être par exemple des terminaux mobiles ( téléphone IP ). Est ce le cas ?
 - Ensuite tu dis que la trame, si elle arrive non tagguée sur un port avec un PVID par exemple à 50, cette trame sera placée dans le VLAN 50. Que cela signifie-t-il techniquement ? Est ce qu'une information supplémentaire est ajoutée à la trame, ou bien ca veut simplement dire que la trame est stockée dans les "buffers" correspondant au VLAN 50, et par conséquent, elle ne sera distribuée qu'aux machines étant également dans le VLAN 50 ? Mais dans ce cas, pourquoi doit-on avoir également un autre port du switch avec un PVID à 50 pour pouvoir recevoir la trame puisque d'après ce que tu dis , ca ne devrait concerner que le trafic entrant ?
 
untag :  
 
 - Ceci pourrait répondre à ma question précédente . Sauf que sur le switch que j'ai testé, ca ne marche pas exactement comme tu le décris ( ou alors j'ai pas tout compris, ou j'ai mal manipé, je ne suis pas au boulot actuellement, je ne pourrai le vérifier que mardi ). Ex : je veux faire communiquer 2 ports de mon switch sur le VLAN 50. par exemple, port 3 et port 5. J'ai donc mis PVID 50 sur mon port 3 , et untag sur mon port 5. Normalement, en faisant ca, d'après ce que tu décris, je devrais pouvoir dialoguer de port 3 vers port 5 ? Ensuite, il faut que je fasse la même chose dans l'autre sens pour le retour ? Ce qui signifie au final que pour dialoguer entre port 3 et port 5 il me faut bien PVID = 50 pour les 2 , et untag pour les 2. Est ce que le raisonnement est correct ?
 - j'ai l'impression que le mécanisme est plutot : en entrant, la trame arrivant non tagguée est placée dans le VLAN du PVID du port ( 50 dans l'exemple ), et ne sera redistribuée sur les port UNTAG ayant le même PVID uniquement , et la notion de VLAN est perdu en sortie ( ce que j'ai constaté avec wireshark, je ne vois pas d'information de VLAN dans les paquet ethernet ). Est ce plutot ca ?
 
 
tag  :
 - En sortie , le switch rajoute le tag d'après ce que tu dis. Les octets rajoutés sont donc ( d'après la doc 802.1q ) : 0x8100 + le numéro de VLAN +  bit ethernet + priorité. Cela signifie donc que un port taggué devrait se prendre le trafic de tous les VLANs que gère le switch ? Il faudrait donc bien "tagguer" un port qui permettrait d'interconnecter un switch pour qu'il puisse transmettre à l'autre switch tous le trafic de tous les VLAN ? Si c'est le cas, j'ai remarqué que le PVID sur un port TAGGED avait quand même une influence mais peut être parce que j'ai mal configuré. Ca avait une influence non pas vis a vis d'un autre switch , mais vis a vis d'un access point wifi ( ici un CISCO aironet 1260 ).  
 - en entrée : alors là, je ne comprends plus. ce que j'ai dit concernant les switchs ci-dessus est faux si je comprends bien ( pourtant ca fonctionne et que comme ca d'ailleurs ). dans mon cas ( interconnexion de 2 switchs ) les trames entrant dans mon port TAGGED sont des trames arrivant d'un autre port TAGGED du switch distant. donc je peux avoir des trames de différents VLAN . Or , tu écris que toute trame tagguée avec un VLAN différent du port du switch sera rejetée. Donc si le PVID du port TAGGED de mon switch est dans le VLAN 50, toute trame TAGGED d'un autre VLAN sera rejetée. Pourtant, dans mon cas ça marche bien, j'ai un autre VLAN ( VLAN 1 de management ) , et le trafic passe bien également. D'ailleurs quelle que soit la valeur de PVID que je mette sur mon port TAGGEd, ca n'a aucune influence. Par contre, il faut bien que je positionne les ports de chaque switch interconnectés en TAGGED pour voir le trafic. En UNTAGGED rien ne fonctionne.
 
Merci en tout cas d'avoir passé du temps à m'expliquer.
 
PS : je précise que je suis dans un cas un peu complexe car je dois pouvoir faire des VLANs ( pour faire de la qos et réduction du flux multicast ), du multicast avec IGMP snooping ( car on va passer des flux videos assez gros, il faut limiter le trafic au strict nécessaire, c est a dire a ceux qui demandent et nulle par ailleurs ), et du STP ( redondance pour que le flux video reste lisible malgré la panne d'un switch ) , et le tout également sur du wifi ( parce que nos clients sont exigeants et veulent pouvoir lire la video sur leur ipad ), pour l'instant ca se passe plutot mal

T'as pas eu de migraine après toutes ces questions ?

Ce qu'il faut bien comprendre sur les notions tag/untag c'est si les périphériques raccordés à ton switch comprennent si ils sont dans un vlan ou pas.

Par exemple un téléphone IP sait qu'il est dans un certain vlan (parce qu'il est configuré avec un vlan), un PC avec un driver réseau constructeur est en mesure de savoir également qu'il est dans un certain vlan (pareil ça demande de le configurer), un serveur c'est le même process.

Une archi basique avec PCs et téléphone VoIP, tu as 2 vlans qui circulent sur ton réseau : le 1er untag (et PVID) pour les PC parce qu'ils ne savent pas interpréter la notion de vlan (ie: pas de configuration des drivers réseau) et un vlan tag pour les téléphones VoIP.

Quand 2 téléphones VoIP communiquent ensemble leurs trames sont taggées avec le VLAN "VoIP", du coup quand une trame taggée provient d'un port du switch vers le téléphone, bah ce dernier va comprendre que c'est pour lui. Au contraire d'une trame non taggée, le switch interne du téléphone va directement la forwarder vers le port "PC" et donc vers le PC.