Bonjour, dans le cadre d'un projet scolaire j'ai besoin de mettre en place une architecture réseau pour une école mais j'ai un petit soucis de compréhension.

En pratique, nous avons une box internet (genre livebox), et deux switch cisco 48.

Il y'a une 40 aine de postes pour les étudiants, une douzaine pour les professeurs, et un pour la direction. Nous avons aussi les "devices": imprimantes et je souhaiterais mettre en place une borne wifi pour les postes des professeurs.

A priori, il est préférable de "segmenter" le réseau en plusieurs sous réseau pour limiter les paquets broadcast mais aussi par soucis de sécurité et de visibilité des postes. 

Voici un schéma explicatif:

C'est la que j'ai quelques questions:

Un routeur a deux interface réseau: une connectée a internet, et l'autre sur le réseau local. J'ai pris comme réseau 10.1.0.0/16. J'ai "coupé" ce réseau en 4 sous réseaux: 10.1.1.0/24, 10.1.2.0/24, 10.1.3.0/24, et 10.1.4.0/24

Si je prends l'exemple d'un pc branché à un port du switch appartenant au vlan2: si je veux communiquer avec le routeur, je doit ajouter le routeur en tant que passerelle par défaut ? Si je comprends bien, le fait que le pc n'ai pas le même masque de sous-réseau ne lui permettra pas de communiquer avec le routeur car il ne font pas parti du même réseau?

Quel est l'intérêt d'attribuer une adresse ip à un vlan? Dans le cas d'attribution d'adresse ip par dhcp il faut penser à exclure cette adresse ip du cool dhcp ?

Aussi dans cet exemple, le serveur est placé sur le vlan 1: il ne peut donc pas "communiquer" avec les autres vlan: est-ce le rôle d'un port en mode trunk qui permettrait de communiquer avec tout les autres vlans ? Disons qu'à priori c'est via ce serveur que tout les postes vont être administrés, ça serait dommage qu'ils ne puissent pas communiquer ensemble !

Et pour finir, quel est globalement le fonctionnement d'une borne wifi: pour moi je vais la brancher physiquement la brancher à un port du switch, du coup l'assigner à un vlan particulier (vlan 4 en l'occurrence) mais comment se met en place l'attribution des adresses ip des multiples postes connectés en wifi via cette borne?

Merci de vos éventuels éclaircissement !

-
Edité par GeorgesAbitbol42 19 février 2021 à 12:08:01

Hello,

L'image ne s'affiche pas chez moi, je ne sais pas si c'est un bug, mais je pense avoir compris ta situation.

Il faut bien comprendre une chose avec les VLAN : tout se passe comme si différents VLAN étaient en réalité des réseaux branchés sur des switchs différents. La seule différence c'est que c'est le logiciel qui gère au lieu d'avoir effectivement différents matériels.

Partant de là :

• Tes subnets (j'imagine que chaque subnet a un numéro de VLAN différent) sont bien (même si en pratique ils pourraient avoir tous le même réseau puisqu'ils deux machines sur des VLAN différents ne verraient pas leurs paquets respectifs !)
• Je ne sais pas comment est connecté ton routeur aux autres réseaux, mais il aura 4 interfaces distinctes, une par VLAN, et donc une adresse IP par VLAN, qui servira de gateway aux machines sur ces VLAN. Il faut bien évidemment que les IP soient cohérentes dans chaque VLAN, par exemple le routeur aura l'IP 10.1.1.1 sur le VLAN 1, 10.1.2.1 sur le VLAN 2 etc.
• Pour le serveur qui doit être accessible sur tous les VLAN, c'est en effet le mode trunk qui va permettre à tous les paquets d'atteindre le serveur. Tout comme le routeur, il aura une IP par VLAN, ce qui lui permettra d'être adressable par les autres machines de chaque VLAN.
• Pour la borne wifi, c'est le rôle du serveur DHCP d'attribuer les adresses. Certains modèles le font, il faut juste les configurer. Sinon il faut mettre en place le serveur.

GeorgesAbitbol42 a écrit:

Quel est l'intérêt d'attribuer une adresse ip à un vlan? Dans le cas d'attribution d'adresse ip par dhcp il faut penser à exclure cette adresse ip du cool dhcp ?

Merci pour tes réponses...qui soulèvent encore plus de questions ! C'est bon signe.

J'ai mis à jour l'image sur mon message.

Du coup, je précise que j'ai abordé en solo le fonctionnement des vlans et c'est pas encore très clair.

Mais pour le coup, je pense avoir un soucis avec mon routeur, qui est en fait un routeur "basique" type livebox, ce qui signifie à priori que je ne peux pas "ajouter" d'interface réseau, non?

Pour confirmer: quand on assigne une ip à un vlan, ça signifie que tout les postes connectés, ou plutôt attribués à ce vlan vont l'assimiler à un routeur? Ou une passerelle qui vont faire le lien entre le réseau du subnet du vlan, et le routeur en amont?

Du coup c'est en ce sens là que j'ai un doute sur le dhcp: le serveur dhcp doit fournir des ips à tout les postes reliés aux switchs. Donc l'adresse ip du switch doit être paramétré en ip fixe, et exclue des plage ip fournies par le dhcp c'est bien ça?

Pour ce qui est du serveur qui "aura une ip par vlan": je pensais que le rôle du mode trunk etait de permettre de "communiquer" sur tout les "ports" quelque soit le vlan, mais en fait, dans la mesure ou le serveurs et les autres postes n'appartiennent pas au meme réseau, ils ne pourront de toute façon pas communiquer, ? Du coup il s'agirait d'ajouter des interface virtuelles sur le serveur par exemple ? Et d'ajouter une passerelle pour joindre chacun des vlans c'est bien ça? Du coup, comment faire en sorte que les postes de chacun des vlans puissent communiquer vers le serveur ? 

Merci encore pour ces informations. Je vais continuer à me documenter je pense que j'en ai besoin !

L'image fonctionne ça a effectivement la tête que tu avais décrit

Pour le routeur ça dépend effectivement de la configuration qui t'es autorisée par l'interface. S'il n'est nulle part question de VLAN tu ne pourras sûrement pas connecter le routeur sur un port en mode trunk. (mais pas de souci tu peux quand même t'en sortir).

Tu parles d'assigner une ip à un vlan mais ça n'a pas de sens dans l'absolu. Par rapport à quoi dis tu ça ? A la configuration des switchs ? J'aimerais savoir pourquoi tu dis ça car je pense que c'est lié à la configuration d'un de tes équipement.

Justement par rapport aux switchs : ils n'ont pas d'IP. Ils prennent juste des trames Ethernet et les transmettent sur le port adéquat. A moins que le switch soit configurable en IP mais je ne pense pas, peux-tu envoyer le modèle du switch pour vérifier ?

EDIT: précision sur les VLAN. Le principe de base, c'est que chaque port à un numéro de VLAN. Le switch fonctionne comme si tu avais en réalité plusieurs switch physiques différents, un par VLAN. Du coup, les paquets qui arrivent sur le port VLAN X ne pourront être transmis que aux autres ports VLAN X. La seule exception, ce sont les ports trunks.

Le mode trunk sert exactement à pouvoir communiquer sur tous les VLANs. Mais l'OS du serveur doit pouvoir savoir à quel VLAN était adressé le paquet ! Du coup, quand tu branches un équipement en mode trunk il faut le configurer pour qu'il appartienne à TOUS les réseaux des VLAN. Pour un serveur sous Linux, si tu es branché sur eth0, tu auras une interface eth0.1 pour le VLAN 1, eth0.2 pour le VLAN 2 etc. Chacune de ces interfaces aura une IP qui appartient au sous-réseau. Dans le cas des ports configurés pour 1 seul VLAN, c'est le switch qui s'occupe d'enlever le "header VLAN" donc les machines n'ont pas besoin de plus de configuration.

EDIT 2: Je viens de penser à un détail qui pourra peut être t'éclairer un peu plus. Vu que tous les VLAN sont isolés l'un de l'autre, tu as besoin de un serveur DHCP par VLAN. Bien sûr, tu n'as pas envie d'avoir quatre machines différentes, ce que tu peux donc faire, c'est sur un serveur branché sur un port trunk, configurer un serveur DHCP par interface avec les sous-réseau que tu désires.

-
Edité par FantasMaths 19 février 2021 à 13:06:35

Alors le switch est un cisco 2950 (en fait, deux switch 2950 48 ports).

Pour ce qui est de l'attibution d'une ip à un vlan, j'avais assimilé que c'était dans le but de pouvoir administrer le vlan:

https://www.cisco.com/c/fr_ca/support/docs/smb/switches/cisco-350-series-managed-switches/smb5722-configure-vlan-interface-ipv4-address-on-an-sx350-or-sg350x.html

Aussi vous parlez d'interface réseau virtuelle sous linux, ce n'est pas possible sur un windows serveur ? 

Aussi quand vous dites "serveur branché sur un port trunk, configurer un serveur DHCP par interface avec les sous-réseau que tu désires.": dans le cofniguration dhcp j'aurait 3 étendues, une par sous-réseau, et avec pour passerelle l'ip de l'interface de chaque vlan ?

Ok c'est logique pour l'IP du Switch. Dans ce cas c'est effectivement pratique de lui donner une IP statique pour pouvoir l'administrer facilement (attention à ce qu'il ne soit pas accessible  sur le vlan élèves ). Il faut effectivement exclure son adresse du range du dhcp pour éviter les conflits.

Je suis quasiment sur que c'est aussi possible sous Windows mais je ne connais pas

Alors oui, et pour la passerelle il va falloir un peu de configuration pour l'accès à internet je fais un post un peu plus tard

Merci, je vois déjà un peu mieux le raisonnement. Va falloir attaquer la configuration des switchs, ça a l'air sympa et convivial l'interface d'un switch ! ;D