Pascal@plouf a écrit :
Patrice OLIVER a écrit :Ben oui. Puisque les stations partage alors le même réseau physique. Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se faire passer pour membre de 192.168.2.0 par exemple.Exactement.<aol>Pareil</aol>Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et ils doivent être stackés pour répercuter la configuration des VLAN, ce qui est impossible vu la configuration géographique de ces switchs. :-(Tu es sur de cela ? cela va à l'encontre même du principe de base des vlans qui est de créer des réseaux logiques en s'affranchissant (du moins partiellement) des contraintes géographiques.Chuis d'accord. Réseaux "logiques" de niveau 2.
Là où je ne suis pas d'accord, c'est que les vlans, c'est fait pour être transporté, quelle que soit la localisation géographique des switchs. Pas besoins pour celà de les stacker. Il suffit de tagger les liens inter-switchs avec tous les vlans à transporter. Dans mon entreprise, je transporte les vlans sur 12 locaux techniques, 17 équipements, 5 étages et plusieurs bâtiments sans stacker. Que l'on soit bien clairs, il n'est pas nécessaire de disposer de switchs niveau 3 pour faire celà. Je dispose de switchs HP procurve 2512, 2524, 4104, 4108 et celà fonctionne.
Je penses que là, il y a deux écoles. L'avantage de disposer de cartes réseau qui permettent de taggage des vlans, c'est des pouvoir accéder à plusieurs vlans, et de pouvoir utiliser GVRP, qui permet notament l'attribution dynamique d'un port dans un ou plusieurs vlans. Les postes qui disposent d'une carte qui ne permet l'utilisation que d'un seul vlan ne peuvent pas faire celà. Donc, pour moi, celà ne sert à rien. Ensuite, en tant que responsable réseau, j'estime que ce n'est pas à l'utilisateur de configurer sa carte réseau. Ce n'est pas son métier, et bien souvent pas au coeur de ses préoccupations. Tout ce qu'il veut, c'est utiliser son outil informatique et que celà fonctionne. De plus, sur une station windows 2000, Windows XP Pro, il faut être administrateur de sa macine pour modifier celà, ce que ne sont pas les utilisateurs. J"irai même plus loin : un développeur n'est pas administrateur de sa station. Il n'est ni responsable système, ni responsable sécurité. Pour terminer, si toutefois l'utilisateur hérite des droits administrateur qui lui permettent de modifier ses propriétés réseau, il faut qu'il soit au courant des numéros de vlans et des sous-adressage réseau.Pour celà, il faut que les cartes réseau de tes stations puissent être compatibles 802.1Q, et marquer les VLANs,Surtout pas !Si ce sont les stations elles-mêmes qui taggent leurs trames, alors on en revient à la situation de départ avec les sous-réseaux IP : elles peuvent se déclarer dans le VLAN de leur choix.
Certes, pour y parvenir, il y a la technique du social engineering. Mais pour parrer celà, il faut plutôt sensibiliser les utilisateurs que de s'en remettre à de seules solutions techniques et technologiques.
;)
il faut aussi que la carte réseau de ton PF puisse le faire, autrement ...En effet. Avec le module 8021q du noyau et l'outil vconfig, ça marche bien même avec des cartes classiques. Il faut définir une interface VLAN pour chaque sous-réseau, et limiter le routage entre elles. Pour certaines cartes qui ne supportent pas les trames de plus de 1518 octets, il est nécessaire de réduire la MTU à 1496.
Exactement.
Sauf si une station, come je l'ai dit plus haut, doit appartenir à plus de deux VLANs. Si une station doit appartenir à deux vlans, et que la carte de celle ci peut parquer un vlan, on peut encore s'en sortir. Dans mon cas, il y a des stations qui utilisent 3 vlans, et là il faut disposer des cartes qui le permettent.Les trames VLAN taggées ne doivent circuler qu'entre les switches et la passerelle Linux. La configuration des switches doit définir quel port non taggué est dans quel VLAN. Pour les stations, c'est transparent, elles ne voient que des trames normales.
;) Bon week-end, Patrice.