Auteur Sujet: Test et intérêt du *VLAN* (sur les ports) à la maison sur un switch administré  (Lu 2715 fois)

0 Membres et 1 Invité sur ce sujet

Thornhill

  • Client SFR fibre FTTH
  • *
  • Messages: 2 802
  • Saint-Médard-en-Jalles (33)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #24 le: 18 juin 2019 à 14:44:42 »
Le Port-based Vlan ne répondant à aucune norme, on peut partir du principe que l'implèmentation est libre, donc Netgear a fait un choix d'implèmentation pour le moins bizarre en autorisant deux vlans non taggués sur le même port.

Nh3xus

  • Réseau Deux Sarres (57)
  • Client K-Net
  • *
  • Messages: 2 581
  • Sarrebourg (57)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #25 le: 18 juin 2019 à 14:46:36 »
Préférez les standards IEEE :)

Thornhill

  • Client SFR fibre FTTH
  • *
  • Messages: 2 802
  • Saint-Médard-en-Jalles (33)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #26 le: 18 juin 2019 à 14:51:55 »
Extrait de la doc :



VLAN Overview
Virtual LANs (VLANs) are made up of networked devices that are grouped logically into separate networks. You can group ports on a switch to create a virtual network made up of the devices connected to the ports.
Ports can be grouped in VLANs using port-based or 802.1Q criteria:
• Port-based VLANs. Assign ports to virtual networks. Ports with the same VLAN ID are placed in the same VLAN. This feature provides an easy way to partition a network into private subnetworks.
• 802.1Q VLANs. Create virtual networks using the IEEE 802.1Q standard. 802.1Q uses a VLAN tagging system to determine which VLAN an Ethernet frame belongs to

Assign Ports to Multiple Port-Based VLANs

A port-based VLAN configuration lets you assign ports on the switch to a VLAN. The number of VLANs is limited to the number of ports on the switch. In an advanced port-based VLAN configuration, you can assign a single port to multiple VLANs.
By default, all ports are members of VLAN 1.

sim_v

  • Client Orange Fibre
  • *
  • Messages: 191
  • Gévezé 35
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #27 le: 18 juin 2019 à 15:30:51 »
D-link semble le supporter également.

renaud07

  • Client Orange adsl
  • *
  • Messages: 2 007
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #28 le: 18 juin 2019 à 15:42:20 »
J'ai effectivement dit une connerie... J'ai bien une section port-based sur le mien et je peux aussi en assigner plusieurs au même port.

Par contre, c'est soit port-based, soit 802.1Q, on ne peut pas utiliser les 2 en même temps.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 7 839
  • Paris (15ème)
    • Twitter
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #29 le: 18 juin 2019 à 16:05:58 »
Mais du coup, on est d'accord que ça fait juste un gros bridge entre les 3 VLANs ?

sim_v

  • Client Orange Fibre
  • *
  • Messages: 191
  • Gévezé 35
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #30 le: 18 juin 2019 à 16:09:33 »
Dans mon cas ca permet avec un seul switch managé de séparer deux réseaux et de partager un accès internet entre les deux.
C'est quand même cool avec juste un switch à 30 EUR de faire cela (en plus des options sympa que propose un switch managé).
Donc oui, on peut parler de VLAN et trunk mais j'ai fait un post accessible sur un sujet qui l'est moins.

Thornhill

  • Client SFR fibre FTTH
  • *
  • Messages: 2 802
  • Saint-Médard-en-Jalles (33)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #31 le: 18 juin 2019 à 16:34:28 »
Mais du coup, on est d'accord que ça fait juste un gros bridge entre les 3 VLANs ?

Je ne pense pas qu'on puisse réellement parler de bridge dans la mesure où il y a bien séparation des broadcast domains : seul le port vers la box, appartenant au 2 Vlans, recevra les broadcast des 2 vlans (arp, etc.), il n'y aura pas diffusion d'un vlan à l'autre.
Ça reste néanmoins une config "atypique" (pour être poli) et qui doit probablement laisser passer par exemple des paquets IP du vlan invité vers l'autre, en paramétrant un sous-réseau plus petit sur l'équipement du vlan invité et en utilisant la box comme gateway.

renaud07

  • Client Orange adsl
  • *
  • Messages: 2 007
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #32 le: 18 juin 2019 à 18:01:27 »
Ça reste néanmoins une config "atypique" (pour être poli) et qui doit probablement laisser passer par exemple des paquets IP du vlan invité vers l'autre, en paramétrant un sous-réseau plus petit sur l'équipement du vlan invité et en utilisant la box comme gateway.

Je viens d'essayer et ça donne un résultat bizarre : Si je mets un /29 et que je tente de ping mon PC en 192.168.1.11/24, le routeur me renvoie un nexthop 192.168.1.11 et le ping ne passe pas.

C'est juste dû au fait que le PC croit que l'autre est sur le même sous-réseau ? Il faut donc modifier les masques de chaque côté ? Mais dans ce cas on ne peut pas avoir une IP de passerelle commune, si ? (Faut que je revoie les calculs de masque, moi  ::))

Thornhill

  • Client SFR fibre FTTH
  • *
  • Messages: 2 802
  • Saint-Médard-en-Jalles (33)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #33 le: 18 juin 2019 à 18:26:55 »
Je viens d'essayer et ça donne un résultat bizarre : Si je mets un /29 et que je tente de ping mon PC en 192.168.1.11/24, le routeur me renvoie un nexthop 192.168.1.11 et le ping ne passe pas.

C'est juste dû au fait que le PC croit que l'autre est sur le même sous-réseau ? Il faut donc modifier les masques de chaque côté ? Mais dans ce cas on ne peut pas avoir une IP de passerelle commune, si ? (Faut que je revoie les calculs de masque  :P)

Le paquet ne peut passer que dans un sens donc le ping ne répondra jamais : l'équipement dans le Vlan cible considérant l'IP source dans le même sous réseau, il ne passera pas par le routeur mais tentera une requête ARP qui n'aboutira jamais (pas dans le même broadcast domain ethernet).
Cette "faille" ne peut servir qu'à faire du flood entrant.

Tu peux valider l'arrivée du paquet par un tcpdump sur la cible.

Modifier les masques de l'autre côté: non, pas de combinaison qui fonctionne dans les 2 sens avec la même @IP de routeur (en fonction du masque, tu exclus soit le routeur soit la cible du subnet : dans un cas tu ne provoques pas de routage pour joindre la cible, dans l'autre cas le routeur n'est pas dans le subnet).


renaud07

  • Client Orange adsl
  • *
  • Messages: 2 007
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #34 le: 18 juin 2019 à 18:38:10 »
Merci pour la confirmation, c'est ce que j'en avais conclu aussi.

Finalement, mis à part le flood, cette séparation un peu dégeu est pas si mal pour du domestique et ça a le mérite d'être simple à mettre en place. Même si ça serait mieux de tout faire dans les règles de l'art avec des subnet différents et firewall.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 688
  • FTTH 1Gb/s sur Paris (75)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #35 le: 18 juin 2019 à 22:08:54 »
Ce qui porte a confusion c'est le terme 'vlan' qui a un sens normalisé dans le monde pro. Ils auraient du appeler cela autrement que 'vlan' les 'puristes' auraient été contents  ;D

bref a l'arrivée c'est une solution simple, très efficace et largement suffisante pour un usage grand public.

 

Mobile View