Discussion :

[Endast]

Bonjour à tous,

Je vous expose mon problème, je dispose d'un réseau Wifi où les clients devront s'authentifier par un portail captif. Ce dernier est installé sur PfSense, il peut donc faire routeur, Pare feu, Nat, Vlan etc...

Mes 3 points d'accès étant éloignés, je dois mettre en place des Vlans afin d'acheminer mes trames Wifi vers mon portail captif, les Natter et les faire ressortir sur le réseau local sur le Vlan "commun".

Je vous poste un petit schéma du réseau :



En bleu, ce sont des liens accès Vlan, dont j'ai mis le numéro Vlan à côté, et en rouge les liens que je pense mettre en trunk, le serveur en haut à droite représente mon PfSense (mon portail captif). Celui ci devra récupérer les trames du Wifi en 192.168.1.X et les natter vers le réseau local qui est en 172.20.X.X.

Normalement cela devrait fonctionner, mais ma question se porte sur le lien retour de PfSense vers le réseau local (donc le lien Vlan1). Est-ce que l'application du NAT va (ou peut) changer le numéro de Vlan et du coup je mets le lien en Vlan 1, ou alors est-ce qu'il ne change rien et je laisse en Vlan10 ou encore est-ce que je mets un lien trunk ?

J'espère avoir été clair, si il manque des infos ou des explications, je reste à disposition évidemment. Merci d'avance.

Cordialement,

[Invité]

Salut,

Est-ce que l'application du NAT va (ou peut) changer le numéro de Vlan et du coup je mets le lien en Vlan 1, ou alors est-ce qu'il ne change rien et je laisse en Vlan10 ou encore est-ce que je mets un lien trunk ?

NAT est simplement une moulinette pour faire de la translation d'adresse IP.
Une fois la translation faite, le PfSense va encapsuler le paquet dans une trame Ethernet et y ajouter un tag 802.1q si nécessaire.

Dans ton cas de figure, tu as l'option suivante...

1) Tu utilises une seule carte réseau, tu définis 2 subnets IP sur cette carte (correspondant aux VLAN10 et VLAN1) et tu prends le VLAN1 pour faire de l'Outbound NAT. N'oublies pas de tagger les 2 VLANs associés aux subnets et un trunk 802.1q entre le PfSense et le switch fera l'affaire.

2) Ou bien tu utilises 2 cartes réseau dédiées aux VLAN10 et VLAN1, tu prends la carte réseau associée au VLAN1 comme Outbound. Tu connectes chacune des cartes sur un port du switch. Inutile de tagguer, il suffira de définir les ports du switch en access, ça devrait fonctionner.

Voilà

Steph

[Endast]

Ou bien tu utilises 2 cartes réseau dédiées aux VLAN10 et VLAN1, tu prends la carte réseau associée au VLAN1 comme Outbound. Tu connectes chacune des cartes sur un port du switch. Inutile de tagguer, il suffira de définir les ports du switch en access, ça devrait fonctionner.

Merci beaucoup pour ta réponse rapide,

Je pense normalement que je me situe dans ce cas de figure. Je ne sais pas encore bien du matériel dont je pourrais disposer...

Mais du coup pourquoi ça serait inutile de tagguer ? Si je ne tague, on est d'accord pour dire que les deux liens sont dans le même Vlan (soit le 1) mais surtout qu'ils sont dans un Vlan différent des trames Wifi (10) .... Ou alors je mélange tout ?

Aussi, on parle bien de tag sur le switch ?


EDIT : J'avais juste oublié la différence entre le tag et le untag, effectivement le port n'appartient qu'à un seul Vlan et du coup n'a pas besoin d'être taggué... ça marche nickel, merci beaucoup

[Invité]

effectivement le port n'appartien qu'à un seul Vlan et du coup n'a pas besoin d'être taggué

Ben voilà, t'as trouvé la réponse à ton interrogation

Bon lab

Steph

[Endast]

Bonjour,

Désolé je pensais avoir tout compris et que tout fonctionnerait mais finalement non...

J'ai testé la configuration avec uniquement un switch (donc sans lien Trunk, uniquement avec des Vlans) et tout a fonctionné du premier coup.

Afin de prendre le moins de risque possible dans le réseau en prod, j'ai voulu tester avec deux switchs et j'ai bien fait...

Je n'arrive pas à mettre le lien en trunk. Cela concerne le lien en rouge au centre, je veux que tous les vlans puissent passer par ce lien.

Je vous montre ce que j'ai essayé :



Le souci, c'est qu'une fois que je mets ceci en place sur le switch de droite, je n'arrive plus à accéder à celui de gauche, et je me situe à droite sur le réseau. Je précise que sur le switch de gauche je n'ai pas encore fait la modification. Cela signifie qu'il faudrait le faire des deux côtés du lien sur les Switchs HP (en supposant que les ports soient bons) ? Sur les Cisco, il me semble que ce n'était pas nécessaire.

Je voudrais m'en assurer avant de tester la manip car les switchs sont dans une salle blanche et l'accès m'est restreint, donc pour éviter d'aller changer de port toutes les 2 minutes...

Merci d'avance,

[becket]

Petite proposition de modification : je mettrais en place un trunk entre switch1 et switch3.

[Endast]

Merci, très bien mais je ne vois pas bien pourquoi ça serait nécessaire... . Les trames du Vlan 10 provenant du switch 1 n'ont pas besoin d'être dirigé vers le switch 3, mais plutôt vers le switch2

[Endast]

Je poste un message pour apporter une précision qui a son importance ! Je travaille avec des switchs HP ProCurve 2510G. J'ai toujours été habitué à du Cisco, donc c'est un peu le dépaysement pour moi...

Du coup la notion de tag ou trunk devient un peu confus pour moi chez HP.

Dans le même temps, je viens de tester quelque chose que je trouvé étrange.... Comment ça se fait qu'un port peut sur le même switch être untagged dans un Vlan et tagged dans un autre ?!

[JayGr]

Je poste un message pour apporter une précision qui a son importance ! Je travaille avec des switchs HP ProCurve 2510G. J'ai toujours été habitué à du Cisco, donc c'est un peu le dépaysement pour moi...

Du coup la notion de tag ou trunk devient un peu confus pour moi chez HP.

Dans le même temps, je viens de tester quelque chose que je trouvé étrange.... Comment ça se fait qu'un port peut sur le même switch être untagged dans un Vlan et tagged dans un autre ?!

Concrètement ton port 9 va mettre un tag VLAN 10 sur les paquets, alors que ton port 9 ne mettra pas de tag VLAN 1 sur les paquets.
La façon de penser est un peu différente que sur du Cisco où tu trouves habituellement uniquement les ports des VLANs et pas les ports qui n'y sont pas.
Mais le principe est le même.

Sauf si je me plante hein... Mais pour moi les tagged sont les ports dans le VLAN et les untags les ports qui n'y sont pas (sur ton screenshot).

@+

JayGr

[becket]

Merci, très bien mais je ne vois pas bien pourquoi ça serait nécessaire... . Les trames du Vlan 10 provenant du switch 1 n'ont pas besoin d'être dirigé vers le switch 3, mais plutôt vers le switch2

Pourquoi est ce nécessaire ? Tout simplement parce que lorsque tu auras plus de 4 switch, tu ne devras pas te poser la question de savoir quel trafic passe sur la liaison d'inter-connexion. Configure tes liaisons de manière systématique, cela t'évitera beaucoup de soucis.

Pour répondre à ta question sur les trunks ( et même chez cisco ), il est toujours possible de configurer un vlan qui passe non-tagué. Le plus important, c'est que l'ensemble des vlan tagués et non-tagués correspondent sur les deux équipements qui sont interconnectés.

[Endast]

Bon j'ai fait d'autres tests et je peux apporter un peu plus de précision :

Une requête DHCP lancé depuis un client atteint bien le serveur DHCP mais j'ai l'impression que celle-ci ne retourne pas au client demandeur. Donc le broadcast passe le lien trunk mais n'y retourne pas.

Aussi, quand je fixe une IP, il n'arrive pas à ping le serveur par lequel il est censé passé.

Voilà je n'arrive pas à en conclure quelque chose....

Merci,

Cordialement,

[Endast]

Je repasse par ici...

Le réseau et les configs ci dessus fonctionnent bien, avec évidemment les ports qui correspondent bien de chaque côté.

J'avais juste oublié une chose, un port en mirroring ne peut remplir son rôle normalement et ne sert uniquement qu'à la capture de trame, j'avais oublié ça.... Ou plutot je ne le savais pas

Donc voilà pensez bien à désactiver ce genre de mode sur vos ports

[elssar]

Salut,

J'ai eu des problèmes similaire quand j'ai eu a travaillé au début sur du HP.

Essaie de bien retenir ces notions :

Trunk cisco = tagged link, un lien ou différent VLAN peuvent passer.

Trunk HP = Agrégation de lien (LACP), n'a strictement aucun rapport avec les VLAN.


Vlan untagged =port en mode access
Vlan tagged =Trunk cisco (tagged link)

[Invité]

Cette doc donne les équivalents entre les OS ProVision (ProCurve et cie), ComWare (anciennement H3C) et Cisco :

http://h17007.www1.hp.com/docs/inter...WW_Eng_ltr.pdf

Steph