Discussion :

[ff4pierre]

Bonjour,

Je suis actuellement en maquettage en vu d'un projet de configuration de vlan.
Nous disposons de plusieurs sites et souhaitons faire communiquer les vlans à travers du vpn site à site.

Actuellement le vpn site à site est en place et nos pc sont dans le vlan natif (vlan 1).
Tout est fonctionnel, les postes communiquent bien entre eux.

Voici ma conf :
J'ai créé sur mes switchs (DLINK DGS) le vlan 10 et j'y ai configuré le port 11 et 12 en mode untagged et le port 1 en mode tagged.
Le reste des ports 1-10 et 13-48 sont dans le vlan 1 en untag (par defaut).

Lorsque je mets un pc de chaque côté sur le vlan 1, ils se ping bien.
Lorsque je mets ces mêmes pc de chaque côté sur le vlan 10, ils ne se ping plus.

Je n'ai rien configuré sur les routeurs.

Qu'ai-je dont oublié ?





Merci d'avance pour votre aide

[Fingerinthenet]

Vlan 1 = Vlan natif = Pas de marquage Vlan.
Vlan 10 = Marquage Vlan.
Un Routeur ne tiens pas compte des marquages Vlan.

Quand tout le monde est dans le Vlan 1 ca fonctionne ! Pourquoi ? car personne n'a de marquage Vlan.
Quand tout le monde est dans le Vlan 10 ca fonctionne pas ! Pourquoi ? Tes Routeurs ignorent le marquage Vlan donc ta trame se retrouve dans le Vlan 1.

Pour plus d'inforamtion sur le taggage Vlan, jete un oeil sur cet article :

https://fingerinthenet.com/vlan/

[ff4pierre]

Bonjour,

Merci pour votre retour.
Afin que cela fonctionne nous avons bien configuré les VLANs sur le routeur (en créant des sous interfaces) qui gère le routage inter-vlan.

Cependant nous aurions souhaité ajouter un switch L3 afin qu'il gère lui même le routage inter-vlan avant de soulager le routeur.
On est bien d'accord qu'il faudra laissé sur le routeur les sous-interfaces tout de même ?

[Fingerinthenet]

Si tu met un SW3 tu vas creer une interface Vlan pour chaques Vlan sur ce SW3.

Tes interfaces Vlans seront tes nouvelles passerelles.

Tu pourras donc supprimer tes sub-interface pour n'en garder qu'une seule.

[becket]

Un vlan n'a qu'une portée locale.

Dès que tu franchis un routeur, tes vlans même si ils portent la même étiquette sont deux réseaux différents.

[ff4pierre]

Je me pose surtout la question quand on a des sites distants avec par exemple des terminaux avec sessions RDS sur le site principal, ToIP avec IPBX sur le site principal ...
Il faut faire passer les trames tager dans un tunnel VPN site à site ? (d'ou ma question sur laisser ou non les subinterfaces sur le routeur en plus du switch L3).

[Fingerinthenet]

Imagine l'architecture suivante :


PC01 ---- SW01 ----- RTR ------ SW02 ------ PC02

Pour faire simple :

Ton PC01 est dans le Vlan 10
Ton PC02 est dans le Vlan 20

La Patte 01 du RTR est dans le Vlan 100 (Vlan Acceuil) pour SW01
La Patte 02 du RTR est dans le Vlan 200 (Vlan Acceuil) pour SW02

Sur le SW01, tu as l'interface Vlan 10 et l'interface Vlan 100
Sur le SW02, tu as l'interface Vlan 20 et l'interface vlan 200

L'ip routing est configuré sur SW01 et SW02 (Ce qui veut dire que tous les Vlans configurer sur le Switch peut discuter entre eux).

PC01 veux discuter avec PC02.

Le SW01 recoit la trame du Vlan 10 et le renvoi dans le Vlan 100 car il y a du routage inter-vlan.
Le RTR s'en fou car il recoit une trame non tagué (et même si elle l'était il s'en foutrait).
Le RTR route le paquet.
Le SW02 recoit une trame du Vlan 200 et le rebalance dans le Vlan 20 !

PC01 discute bien avec PC02 sans aucun problème

Essayer de faire passer du taguage Vlan dans un VPN ne sert à rien !
Il faut vraiment prendre en compte que le taguage Vlan n'existe uniquement sur les liaisons trunk !!!!!!!!!

Quand PC01 recoi une trame de PC02 elle n'est pas tagué ! Idem dans l'autre sens !