Vous avez une question ?
Interrogez la communauté
internet & fixe
Bonjour,
Donc pour récapituler, si je veux faire ce que je veux réellement.
- Je passe mes 2 box en DHCP
- J'ajoute un switch avec une gestion L2/L3 (donc MAC / IP si j'ai bien compris)
- Je branche mes 2 box au switch
C'est basiquement ca avec des details techniques en plus.
Depuis mes configs de switch je vais pouvoir autoriser des mac vers une box ou l'autre ?
Par exemple, par défaut Box1, sinon si "MAC = xxxx " BOX2
Une ACL ACL-MAC : ca va plus etre du genre, sur le port GE5 en entrée, mac source = xx, mac destination = yy alors passe (ou jette selon les choix).
C'est vraiment a considerer comme un portier. ca reste "simple" donc ca peut devenir vite un amas de petites regles a gerer. Pour ma part je prefere n'utiliser les ACLs que pour claquer le bec d'un appareil qui "bave".
Ce que je ferais plutot c'est une segregation des reseau pro et famille dans le switch avec des VLANs. Au besoin je securise chacun des VLAN en gerant les MACs.
Donc je crée et j'active la gestion par VLAN 802.1q:
- VLAN 1 : celui la il est normalement deja crée et on ne touche pas.
- VLAN 10 : le pro
- VLAN 20 : le famille
Note : le management des switches sera plus tard a deplacer du VLAN1 vers un autre VLAN pour rester ceinture et bretelle face aux "envahisseurs".
Note 2 : le materiel commun pourra etre mis sur son propre VLAN, tout comme le matos proto qui peut planter le reseau, ou comme le materiel de chaque client qui peut avoir son propre VLAN, etc.
Connection livebox pro : je repere le connecteur utilisé sur le switch, et je le plugge/associe/configure sur le VLAN10 (pro) en "untagged" (sans etiquette visible). Je fais de meme avec la livebox famille sur le VLAN20. Ici les deux livebox cohabitent sur le meme switch mais sur des reseaux separés. Je procede de la meme facon pour chaque element de chaque reseau. Et la les MAC ne vont pas se melanger et sans avoir a les gerer. 
Et vous faites bien gaffe a ne pas mixer les plans d'adressage des livebox pour faire propre.
On remarque au passage qu'on ne touche plus aux cables une fois que tout est connecté sur le switch... si je veux deplacer une machine d'un reseau a l'autre... je me connecte sur le switch et je reconfigure les ports utilisés.
Si on veut securiser ca encore plus on sort les ACLs pour dire qui cause sur un port et eventuellement a qui sur chaque reseau ethernet (L2). Ca peut devenir lourd assez vite.
Par contre si j'ai une workstation donc pro qui doit utiliser mon imprimante située sur le reseau famille :
- Elle a deux prises ethernet : je la connecte sur les deux reseaux avec le deux prises qui seront chacune configurée par une livebox.
- Je n'ai qu'une prise sur ma workstation... ben on va faire pareil en virtualisant tout ca. La je change la configration du port utilisé sur le switch et j'en fait un "stub". c'est a dire qu'il va passer les VLAN 10 et 20 sur le meme cable ! j'associe donc ce port a chacun des VLAN en "tagged" (avec etiquettes visibles en dehors du switch). Par contre la workstation c'est du pro donc si il y a une fuite de donnée (ca arrive...) : il faut que par defaut ca aille dans le vlan 10 : je regle le parametre PVID sur 10. tout ce qui rentre dans le switch sans etiquette s'ecoule alors dans le reseau pro. Ensuite, sur la workstation, je nettoie la config du port ethernet (port "up", sans IPv4 ou IPv6 configurée) et je crée les VLAN 10 et 20 associé à ce port ethernet avec le DHCP activé dessus. Vous avez donc maintenant deux interfaces gerées chacune par une livebox differente au niveau IP. vous imprimez sur l'IP de l'imprimante famille ca part sur le reseau famile, vous accedez a vos bidules pro ca part sur votre reseau pro.
- Un fois que ca marche, en fonction des requis pro, je securise avec les ACLs.
Second cas : vous ne voulez pas jouer avec les VLANs sur la workstation ! C'est a ce moment là uniquement qu'intervient un routeur/firewall. Connecté sur deux ports si le switch doit lui desembrouiller les VLANs, ou connecté sur un seul port si le routeur est capable de faire du 802.1q.
Ici au plus simple vous faites un NAT du reseau pro vers le reseau famille et accessoirement vous passez tout le reste en mode "on bloque tout". Ca va vous creer une "diode" avec un routeur de supermarché si il a une prise WAN et des prises LAN ! Ici ce routeur devient la gateway pour le reseau famille sur le reseau pro : ca demande de creer une route sur les machines clientes pro pour acceder au reseau famille. C'est fait soit en statique à la mano sur chaque machine impactée qui doit imprimer par exemple depuis le reseau pro vers l'imprimante, soit en dynamique.
Pour ma part je ne m'*mm*rd* plus : je fais ca en dynamique, chaque routeur chez moi utilise le protocole RIP (ou OSPF si besoin) pour propager ses routes partout jusque sur ma workstation : c'est un peu le "DHCP" des routeurs! le RIP demande tres peu de configuration c'est quasiment PnP. Malheureusement, Orange cache ça dans les entrailles de sa livebox et le laisse desactivé. C'est le genre de truc qui donne l'impression qu'on s'amuse a vous sautiller sur les nougats alors que ca pourrait marcher tout seul. (sur les LB & et 2 il suffisait de passe en CLI pour debloquer ca.). M'enfin vu que vous avez deja plusieurs routeurs ca ne doit pas vous etre etranger.
Note : on ne peut pas nonplus regler la gateway sur une livebox : ca elimine le cas simple de la gateway du DHCP reglé pour mener au routeur "diode" qui trie les billes avant d'envoyer ca au reseau famille ou a la livebox locale. Et c'est partiellement pour ca que j'ai un VLAN specifique entre le routeur/firewall et la livebox.
Si votre routeur vous a couté plus cher : vous pouvez avoir une gestion fine, meme du bi-nat, etc avec son firewall interne. C'est une autre facon de faire.
Chez moi j'ai plusieurs VLANs qui sont dispatchés dans toute la maison et des petits switches qui me dispatchent les ports vers les clients locaux. J'ai un VLAN TV pour la TV orange a disposition et ca ne bave pas. J'ai meme un VLAN IoT pour les machins avec des firmware dont on ne peut pas s'assurer de la qualité ou qui sont encloudés. Et j'ai un routeur/firewall sur un seul port ethernet qui fait le boulot derriere la livebox pour tous les VLANs (dont 1 VLAN livebox out-firewall in : il n'y a que des connections vers les switchs).
Pour dispatcher les VLANs entre switchs : on cree des stubs entre les switchs et ca court dans les murs. Et pour les liens entre deux switchs physiquement voisins : on fait meme des "trunks" pour aggreger plusieurs ports ethernet en une liaison.
La connection d'un switch non managé sur un switch managé sur fait sur un port "untagged". le switch non managé apparetient alors au reseau associé au port physique du switch managé.
Pour ma part j'utilise du linksys tel le LGS308 (maintenant ce doit etre un LGS310 ou un truc du genre) pour le "moins serieux" et du Ciscopour le pro (c'est pas moi qui choisi et qui gere ca) . Les deux marques sont issu de cisco. linksys etant la branche semi-pro rachetée par belkin.
Et j'ai un peu d'ACL dans les coins pour les trucs qui "bavent".