routage interVLAN et dell serie N20xx

Switchs et réseau

Switchs et réseau
Rejoignez les conversations dédiés aux switchs et réseaux Dell

routage interVLAN et dell serie N20xx

Cette question a été répondue par Dell-Valerie A

Bonjour,

je suis en train de faire un lab pour mieux comprendre certaines commandes relatives aux VLANS.

Situation initiale : Deux switchs sans configuration

Situation finale : - Deux vlans (10 et 33)
- Le port 1 fait la liaison entre les deux switchs et appartient au deux vlan

- Le port 2 doit pouvoir pinguer le vlan 10 et 33

- Le port 3 doit pouvoir pinguer le vlan 10 mais pas le 33.

Actuellement, Nous sommes en train de configurer le port 2. Le port 1 est configuré. Voici les commandes utilisées pour la configuration des deux ports :

Switch 1:

Enable
Configure
Hostname "SW-TE-60"
vlan 10
name "interne"
exit
vlan 33
name "Machines"
exit
interface vlan 10
ip address 192.168.10.60 /24
exit
interface vlan 33
ip address 192.168.33.60 /24
exit
interface gigabitethernet 1/0/1
switchport access vlan 10
exit
interface gigabitethernet 1/0/2
switchport access vlan 10
exit
do write
show vlan
show ip vlan
interface gigabitethernet 1/0/1
switchport mode trunk
switchport access vlan 33
interface gigabitethernet 1/0/2
switchport mode trunk
switchport access vlan 33

La configuration est similaire sur le switch 2.

A ce stade, si nous branchons un PC appartenant au VLAN 10 sur le port 2, nous pouvons pinguer le second switch avec son adresse 10.62 mais pas le vlan 33 (que ca soit sur le switch 1 ou sur le switch 2). Lors d'un show run, nous ne voyons que la ligne "switchport access vlan 33" et lorsque nous fiasons un "show vlan" nous voyons bien que le port apartient au deux vlans.

Nous avons donc changer la configuration de l'interface 2 :

interface gigabitethernet 1/0/2
no switchport mode trunk
no switchport access vlan 33

switchport mode general

switchport general pvid 10

switchport allowed vlan add 10

A ce stade-là, nous voyons via show vlan que le port n'est pas dans le vlan 33. Le PC branché sur ce port avec une IP en 10.xx arrive à pinguer le vlan 33...... Pourquoi? Le port n'appartenant même pas au vlan 33... Ceci est problématique si nous ne voulons pas que le port 3 ait accès au vlan 33.

Merci de votre aide...

Réponse vérifiée
  • Bonjour Mélanie,

    Nous avons regardé votre configuration pour mieux comprendre votre problématique.

    Le vlan est un domaine de broadcast au niveau 2 qui sert à limiter le nombre de broadcast du réseau et à limiter les accès dans une certaine mesure vu que l’inter-vlan routing le rend accessible de tous les autres vlan au niveau routing.

     

    Vous avez deux subnets différents:

       . vlan 10: 192.168.10.60 /24

       . vlan 33: 192.168.33.60 /24

    Si vous activez l’inter-vlan, les machines des deux vlans peuvent communiquer au niveau 3 (routing) mais pas au niveau 2. Le broadcast reste limité à son vlan vu qu’il n’est pas routable…

     

    L’inter-vlan routing est global donc impacte tous les vlan ou aucun.

     

    Sur le n20xx, « IP routing » l’active. Les switches au-dessus avec accès aux deux vlan peuvent aussi l’avoir, en général c’est votre core qui fait le routing (niveau 3).

     

    Si vous mettez une mauvaise passerelle (Gateway), l'inter-vlan routing ne marchera pas.

     

    Vous semblez avoir besoin de:

       . port 1 with trunk, untagged vlan 10 and tagged vlan 33?

       . port 2 untagged in vlan 10 (vlan unaware ?) + inter-vlan routing

       . port 3 untagged in vlan 10 (vlan unaware ?) no inter-vlan routing

    Vous pouvez utiliser des ACLs (access control list), pour retirer l’accès au port 3 mais ça devient beaucoup plus complexe.

    En espérant que cela réponde à vos questions.

    Valérie

Toutes les réponses
  • Bonjour,

    Pourriez-vous juste nous donner le modèle de switch que vous utilisez ou m'envoyer leur service tag par message privé?

    Merci,

    Valérie

  • Bonjour,

    Le modèle est dans les mots clé mais le revoici : N2024 et N2048.

    Désolée je ne sais pas comment envoyer de MP actuellement :x

  • Pas de soucis. Merci pour les informations.

    Je vais vérifier votre configuration avec nos spécialistes réseau et je reviens vers vous.

    Cordialement,

    Valérie

  • Merci.

    Je viens d'essayer avec cette config sur le port 2 (en ayant supprimer l'anciene config) :

    (config-if-range)#switchport trunk encapsulation dot1q
    (config-if-range)#switchport mode trunk
    (config-if-range)#switchport trunk native vlan 10
    (config-if-range)#switchport trunk allowed vlan 10, 33


    J'ai configuré le port 3 comme suit :

    (config-if-range)#switchport access vlan 10

    avec un show vlan, je vois bien que le port est UNIQUEMENT dans le vlan 10.

    J'ai également configuré le port 10 comme suit :

    (config-if-range)#switchport access vlan 33

    avec un show vlan, je vois bien que le port est UNIQUEMENT dans le vlan 33.

    Les deux PC arrive à communiquer !!!! Pourquoi? La logique voudraient qu'ils n'y arrivent pas (où alors j'ai très mal compris la notion de VLAN)

     

    EDIT : Il faut un routeur pour faire du routage intervlan du coup? Une question me turlupine : Si on fait deux vlans pour isolé les réseaux (machines et utilisateurs par exemple), et qu'on que certains utilisateurs pouvant se connecter n'importe ou puisse avoir accès aux deux VLAN (enfin à certaines machines en particuliers) il faut donc que les tous les ports (l'utilisateur doit pouvoir se connecter à partir de n'importe où) soit dans les 2 vlans ? Ce qui reviendrait à annuler l'effet des vlans ?

  • Bonjour Mélanie,

    Nous avons regardé votre configuration pour mieux comprendre votre problématique.

    Le vlan est un domaine de broadcast au niveau 2 qui sert à limiter le nombre de broadcast du réseau et à limiter les accès dans une certaine mesure vu que l’inter-vlan routing le rend accessible de tous les autres vlan au niveau routing.

     

    Vous avez deux subnets différents:

       . vlan 10: 192.168.10.60 /24

       . vlan 33: 192.168.33.60 /24

    Si vous activez l’inter-vlan, les machines des deux vlans peuvent communiquer au niveau 3 (routing) mais pas au niveau 2. Le broadcast reste limité à son vlan vu qu’il n’est pas routable…

     

    L’inter-vlan routing est global donc impacte tous les vlan ou aucun.

     

    Sur le n20xx, « IP routing » l’active. Les switches au-dessus avec accès aux deux vlan peuvent aussi l’avoir, en général c’est votre core qui fait le routing (niveau 3).

     

    Si vous mettez une mauvaise passerelle (Gateway), l'inter-vlan routing ne marchera pas.

     

    Vous semblez avoir besoin de:

       . port 1 with trunk, untagged vlan 10 and tagged vlan 33?

       . port 2 untagged in vlan 10 (vlan unaware ?) + inter-vlan routing

       . port 3 untagged in vlan 10 (vlan unaware ?) no inter-vlan routing

    Vous pouvez utiliser des ACLs (access control list), pour retirer l’accès au port 3 mais ça devient beaucoup plus complexe.

    En espérant que cela réponde à vos questions.

    Valérie