Discussion :

[hugo69]

Bonjour,
Je m'arrache les cheveux avec la notion de VLAN IEEE 802.1Q et ses TAGGED / UNTAGGED / NO.

J'ai bien regardé les notices, mais je butte et je viens demander à l'aide.

Voici mon shéma :

MODEM BRIDGE ------- ROUTEUR CISCO SA520 4 Ports -------- SWITCH NETGEAR FS750T2 MANAGEABLE 50 Ports

Classique en soit.

Mon AP Wifi est branchée sur le port 1 du Switch NEATGEAR.
Le routeur est connecté au Netgear sur le port 50.

J'ai des postes branchés sur 3 ports Gigabit du Cisco et le reste des postes sur le Switch.
Si je branche mon AP sur mon Cisco, j'arrive à faire un VLAN par port facilement, mais du coup, je perds un port Gigabit.

Je souhaite donc tagger mon port 1, comme ne pouvant aller autre part que sur Internet, mais ne pouvant pas aller sur le réseau interne.
Ainsi, je me prémunie des attaques par Wifi, qui se retrouve donc isoler de mon réseau interne.

J'ai compris donc que je devrais créer 2 VID Supplémentaires.
Mais je ne comprends pas, qui je dois mettre TAGGED/UNTAGGED, et comment faire pour que mon port 50 qui attrape l'internet du routeur, puisse isoler le Wifi de tous les postes, y compris ceux branchés directement sur le routeur.

Au secours, à l'aide.
Merci d'avance.

[Invité]

Salut,

ça devrait ressembler à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
      PC
       |
       |untagged 20
    +---------+        tagged 20
    | NetGear |----------------------------trunk---Cisco
    +---------+        tagged 10
          |untagged 10
          |
         AP

Tu crées le vlan 10 (oui, mieux vaut éviter d'utiliser le vlan 1 quand on parle de sécu) pour ton AP.
Tu crées le vlan 20 pour les autres équipements.

L'interface du NetGear connectée au Cisco doit être tagged 10,20.
Celle du Cisco doit d'être en encapsulation trunk pour laisser passer les vlans 10 et 20.
Tous les autres ports du NetGear qui connectent des équipements devront être en untagged 10 ou 20 selon le vlan.

Chose qui devrait être possible je pense, c'est de pouvoir configurer deux interfaces vlans sur le Cisco.
Elles seraient les gateways des vlans 10 et 20.
Puis une default route vers ton ISP.

En revanche, puisque les gateways seront portées par le Cisco, il faudra interdire le routage inter-VLAN (parce qu'autrement les utilisateurs du wifi pourraient accéder aux machines IP du vlan 20). Ceci se fait avec les access-lists.

Bon, c'est un peu à l'arrache mais ça devrait fonctionner
Il faut vérifier que le Cisco supporte bien le trunking 802.1q et plusieurs interfaces vlans (SVI).

Steph

[hugo69]

Waw, super complet, énorme merci.
J'essaie dès demain.

Concernant la partie Interface, je pense que tu veux dire par là avoir 2 pools d'IP différents. Ce n'est pas utile, et ni souhaité.
Pour moi l'objectif est seulement une isolation de tout ce qui passe par le WIFI, et faire cette isolation sur le Switch, et non pas sur le Cisco (là j'arrive à le faire) pour préserver un port Gigabit du Cisco.

J'avais lu cette notion de Trunk, et si j'ai bien compris, c'est globalement, faire sortir 2 cables du Cisco vers 2 ports (de vitesse identiques à ce que j'ai lu) sur le Switch Netgear, right ?
Si c'est le cas, celà signifie, que je vais bouffer mes 2 ports Gigabits du Switch, et surtout 2 ports de mon Cisco.
Et du coup, je vais perdre un port Gigabit que je souhaitais préserver sur le Cisco, et pire, un port Gigabit sur le Netgear.

Donc l'opération ne se justifie pas, et il est préférable pour moi de mettre l'AP directement sur le Cisco, et paramétrer le VLAN sur le Cisco.
C'est bien cela pour le Trunk ? 2 ports physiques, configurés pour ne faire qu'un ?
Question additionnelle, J'ai une page PVID Settings, on je donne à chaque port son VID, je comprends pas cette couche supplémentaire, alors qu'en suite sur chaque PVID, je peux mettre T/U ou off. Le PVID reste donc pour tous Unttagged.

PS: J'ai 5 ports Gigabits sur le Cisco, et 2 sur le Switch. J'en perds forcément au minimum 1 sur chaque pour les relier, mais je tiens à préserver les 4 restant sur le Cisco et celui restant sur le Switch.