Auteur Sujet: Test et intérêt du *VLAN* (sur les ports) à la maison sur un switch administré  (Lu 1388 fois)

0 Membres et 1 Invité sur ce sujet

Johannol

  • Client SFR sur réseau Numericable
  • *
  • Messages: 105
  • Nantes 44
C'est ça ;)

J'avais fais la même chose avec un TP-Link Manageable pour isoler le PC d'un ado "qui installe toute les merdes qui existe sur internet" et la partie saine du réseau à la maison (mon PC, le NAS, ...). Simple et efficace.

Fuli10

  • Client Orange Fibre
  • *
  • Messages: 585
  • Conflans Sainte Honorine (78)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #37 le: 20 juin 2019 à 11:43:23 »
Les broadcast Ethernet, y compris les requêtes ARP, ne devraient pas traverser les 2 Vlans, donc à priori pas de communication IP possible entre équipements des vlans 1 et 2,<...>
En théorie c'est . Après rien n’empêche de tomber sur des bugs ardus à trouver. Par exemple chez moi sur un AP unifi, j'avais 2 réseau wifi dont un sur un VLAN tagué. Mais manque de bol les paquets broadcast taggué étaient diffusés sur le réseau wifi du LAN non tagué. Ce qui était génial car sur les 2 réseau j'avais un routeur qui diffusait son prefix IPv6 via RA (donc broadcast) et les clients wifi qui recevaient les 2 RA. Au hasard si le prefix accepté était sur le réseau non tagué, l'IPv6 fonctionnait. Puis quand ça changeait pour l'autre prefix, je perdais l'IPv6 car le client croyait qu'il pouvait accéder au routeur derrière le LAN tagué, ce qui n'était pas du tout le cas. Bref j'avais un réseau qui marchouillait parfois, et parfois pas. Top !
Hâte qu'ubiquity sorte leur firmware officiel > 4.0.42 vu qu'ils semblent corriger ce qui semble être ce bug:
Citer
[UAP-IW] Fix link flapping and switch VLAN behavior.
[UAP-IW] Fix port/management VLAN provisioning.

Nh3xus

  • Réseau Deux Sarres (57)
  • Client K-Net
  • *
  • Messages: 2 532
  • Sarrebourg (57)
Sur les vrais switches administrables tu peux filter les RA par ports / VLAN.

Chez Cisco, les mécanismes de sécurité relatifs à IPv6 au niveau L2 sont appellés "First Hop Security".

Dans ton cas, la fonction RA Guard serait intéressante :)


renaud07

  • Client Orange adsl
  • *
  • Messages: 1 784
WTF ? Je ne sais pas si j'ai un bug de switch ou de navigateur, mais une fois le port based désactivé je peux mettre plusieurs VLAN untagged pour le même port avec le 802.1Q alors que 2 jours avant ça ne marchait pas...

EDIT : apparemment c'est bien le switch, avec chrome je peux aussi en ajouter...

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 161
  • FTTH 1Gb/s sur Paris (75)
WTF ? Je ne sais pas si j'ai un bug de switch ou de navigateur, mais une fois le port based désactivé je peux mettre plusieurs VLAN untagged pour le même port avec le 802.1Q alors que 2 jours avant ça ne marchait pas...

Il perd la boule  :o

c'est pourtant tout a fait normal ...  ;D ce qui ne marche pas c'est plusieurs pvid par port. tu confond peut-etre les 2 ?

tagged vlan N = le port accepte en entrée et sortie le vlan N sans retirer l'etiquette du vlan des trames
untagged vlan N =le port accepte en entrée et sortie le vlan N en retirant l'etiquette du vlan des trames en sortie de ce port
pvid = l'etiquette a ajouter aux trames entrantes dans ce port qui n'ont pas d'etiquettes vlan

par nature, le pvid est unique par port (sinon le switch ne saurait dans quel vlan mettre les trames entrantes sans vlan).

dans le monde Cisco, le pvid n'a pas ce nom et c'est en fait le mode du port qui determine le pvid ("switchport mode access" ou "switchport mode trunk" puis le vlan correspondant au mode choisi).

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 784
Pour moi, vu que le PVID est unique, il ne devrait y avoir que 1 VLAN untagged par port possible.

Admettons qu'on ai les VLAN 10 et 20 untag, comment tu fais pour communiquer avec le 20 si le PVID est à 10 ?

Ce genre de config sert donc pour les flux unidirectionnels genre vidéo surveillance ?

EDIT : Je n'avais pas la berlue:
Citer
Sur les switch où la notion n'apparaît pas, cela veut simplement dire que si un port est "untagged" dans le VLAN A alors son PVID est aussi égal à A et dans ce cas le switch n'acceptera pas qu'un port puisse être "untagged" pour plusieurs VLAN en même temps.

Enfin, j'aurais juré que ça ne fonctionnait pas la première fois (faut que je le reset pour voir).

Je viens aussi de trouver un cas où ça peut-être utile (c'est comme le port based sauf que c'est la solution "clean", je n'y aurais pas pensé) :

Citer
Solution 1 (qui ne marche pas sur tous les switch)
Il faut que le switch accepte d'avoir un port untagged pour plusieurs VLAN à la fois (sinon passer à la solution 2).
- Les ports 1 à 4 ont leur PVID à 2 et sont untagged pour les VLAN 2 et 3.
- Les ports 5 à 7 ont leur PVID à 1 et sont untagged pour les VLAN 1 et 3.
- le port 8 a sont PVID à 3 et est untagged pour les VLAN 1, 2 et 3

https://forum.hardware.fr/hfr/systemereseauxpro/Reseaux/ports-tagged-untagged-sujet_8055_1.htm

Le même genre d’exemple qu'ici avec 2 VLAN et une LB.



« Modifié: 20 juin 2019 à 19:02:51 par renaud07 »

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 1 003
  • Strasbourg (67)
    • OrneTHD
Il est tout à fait possible d'avoir plusieurs VLAN untagged sur un même port. L'untag efface l'étiquette en sortie de port.

Par contre, en entrée, seul le PVID par défaut sera traité.

Exemple d'utilisation : pour mon PC, j'ai un VLAN pour la data (en PVID), et un VLAN pour l'IPTV multicast, untag sur le même port que la data. Mes flux repartent dans le VLAN data, mais pas dans l'infra TV.

 

Mobile View