Discussion :

[Kiss92]

Bonjour,

J'essai actuellement de bien comprendre l'architecture réseaux qui a été mise en place dans une société et tout n'est pas très clair :

Elle se compose de 2 switchs : un hp 2920-24 (niveau 3) et un hp 2530-48 (niveau 2) configuré comme suit :

HP 2920 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
hostname "HP2920"
module 1 type j9727a
trunk 23-24 trk1 trunk
trunk 21-22 trk2 trunk
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip routing
snmp-server community "xxxx" unrestricted
oobm
   no ip address
   exit
vlan 1
   name "ADMIN"
   no untagged 2-20
   untagged 1,A1-A2,B1-B2,Trk1-Trk2
   ip address 192.168.1.254 255.255.255.0
   exit
vlan 10
   name "DATA"
   untagged 2-20
   tagged Trk1-Trk2
   ip address 192.168.10.254 255.255.255.0
   exit
vlan 110
   name "VOIP"
   tagged 2-20,Trk1
   ip address 192.168.110.254 255.255.255.0
   voice
   exit
spanning-tree
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree priority 4
no autorun
no dhcp config-file-update
no dhcp image-file-update

HP 2530 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
hostname "HP 2530"
trunk 47-48 trk1 trunk
trunk 45-46 trk2 trunk
ip default-gateway 192.168.1.254
snmp-server community "xxx" unrestricted
vlan 1
   name "ADMIN"
   no untagged 2-44
   untagged 1,49-52,Trk1-Trk2
   ip address 192.168.1.253 255.255.255.0
   exit
vlan 10
   name "DATA"
   untagged 2,4-44
   tagged 49-52,Trk1-Trk2
   no ip address
   exit
vlan 110
   name "VOIP"
   untagged 3
   tagged 6-44,49-52,Trk1-Trk2
   no ip address
   voice
   exit
spanning-tree
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
no dhcp config-file-update

1. Sur le HP 2530, pourquoi n'est il pas nécessaire de spécifier l'adresse IP sur les VLAN 10 et 110 ? Le fait de l'indiquer sur le L3 suffit?

2. J'ai un équipement à relier sur le réseau avec une adresse en 192.168.1.xx Comment l'intégrer au switch pour qu'une machine du VLAN 10 puisse communiquer avec ? Je me disais en le mettant sur un port Taggé ? Ou faut'il que je lui fasse de la place sur le VLAN 1 ?

3. Actuellement, depuis une machine du VLAN DATA (192.168.10.xx) j'accède sans problème aux interfaces des switchs en 192.168.1.xx Je ne comprend pas comment cela est possible ??

Merci d'avance pour vos lumières,

Kiss

[elssar]

Salut,

Ce n'est pas très très intelligent de ta part de donner la conf entière de tes switch. Je suis un attaquant, je vois déjà que votre VLAN d'admin c'est le 1 (grossière erreur d'ailleurs). Je vois les info sur votre spanning tree, snmp etc. Autant les IP c'est pas trop grave, autant le reste c'est un peu gênant.

Sinon pour répondre à tes questions :

1) Simple c'est un SW L2, il ne gère pas le L3. Le seul intérêt de cette IP, c'est de permettre une administration du switch, vu que SSH n'est pas config, c'est du telnet.

2)Si tu souhaite mettre une machine en 192.168.1,.xx, il faut que le port utilisé par le device sur le switch soit en mode access (untagged) sur le vlan 1 (c'est normalement la config par défaut du port).

3)Routage inter vlan, c'est fait par un switch level 3/router/firewall, mais ça n'a pas l'air d'être réalisé par les équipements que tu présentes (peut être 192.168.10.1)

[Kiss92]

Merci Elssar pour tes conseils et ta réponse, j'ai bien compris y compris la leçon

Pour la question 3), ce ne serait pas l'équipement HP2920 (niveau 3) qui le permet par le routage via 192.168.1.254 ?

Kiss

[elssar]

Merci Elssar pour tes conseils et ta réponse, j'ai bien compris y compris la leçon

Pour la question 3), ce ne serait pas l'équipement HP2920 (niveau 3) qui le permet par le routage via 192.168.1.254 ?

Kiss

Ah oui, excuse moi je n'avais pas vu la commande ip routing

edit : pour ta compréhension, c'est le fait d'attribuer une IP à chaque VLAN+ la commande IP routing qui permet d'effectuer un routager intervlan, sans l'un ou l'autre pas possible.

edit2: Il y a pas mal de chose à améliorer sur les conf que tu as donnés en tout cas.
déplacer le VLAN d'admin/defaut
shutdown le vlan 1
no web-management
web-management ssl
no telnet-server
un autre nom de communauté SNMP, ou SNMPv3 (même si md5..)
rootguard
shutdown les ports non utilisés ou un vlan parking
etc etc
Mes coeurs de réseaux sont cisco, donc je n'ai jamais manipulé de layer 3 HP. Mais je suis sur qu'il y a aussi les commandes no proxy arp, no ip redirect..

[Kiss92]

Merci pour ces précieux conseils Je vais effectivement me pencher sérieusement sur la conf des switchs !