Bonjour,
@Naruto1 J'ai un réseau dit "structuré" chez moi avec des vlan 1,2,3,4,5,6,832,840 et meme un 100 avec 4 switches qui font le boulot...
C'est facile a gérer en gardant de la méthode.
exemple chez moi :
VLAN1 : pas touche, réseau de service switches.
VLAN2 : réseau livebox, contrôlé par Orange. Entre la livebox et le routeur/firewall.
VLAN3 : réseau principal. Sort de mon routeur/firewall vers mes stations.
VLAN4 : parking, machines en parking mais accessibles. VLAN autonome et aveugle sur l'extérieur.
VLAN5 : IoT. tous les machins, bidules, etc avec du firmware pouvant partir en vrac : domotique, hue, ps4, cameras, TV, dyson, robots, etc. sortie sur routeur/firewall qui ne laisse sortir du VLAN que vers internet, pas vers les autres VLANs.
VLAN6 : réseau TV, non relié au routeur. IGMP snooping & MLD snooping activé la dessus.
VLAN100 : réseau de service protégé.
VLAN832 : réseau intermédiaire en ONT et livebox. l'ONT est obligatoirement a coté de l'arrivée fibre. La box peut être placée n'importe ou dans la maison.(ouhaip... vous venez de découvrir une des raisons valables pour avoir des switches reliés en 10Gbps a la maison)
VLAN840 : réseau intermédiaire entre ONT et livebox
Déjà : ne jamais utiliser le VLAN1 pour son propre usage. C'est le vlan dit "native" où arrive le management des switches au reset. C'est un coup a attraper des mouches... et secundo, une fois que ca marche passer les clients ailleurs, du VLAN1 au VLAN100 par exemple pour la sécurité ; mais après... une fois que ca marche. Cependant gardez un port untagged sur le VLAN1 : ca aide souvent en cas de fausse manip.
Et accessoirement, pour circuler entre les vlans, il doit y avoir un routeur... qui route et de preference avec un firewall dans le coin pour faire la police ! si vous choisissez un routeur avec de multiples interfaces ethernet, assurez vous que ce n'est pas un routeur de supermarché composé d'un switch banal et d'un routeur avec juste une prise WAN dans la meme boite en plastique. Il faut des interfaces ethernet séparée physiquement soit 4 chips ethernet pour 4 prises et pas un chip ethernet et un chip switch avec 4 prises. (bref pas comme une livebox en résumé)
Evitez aussi "l'assymetric Vlan" : c'est pour les cas particulier ou l'info ne circule pas obligatoirement par les memes ports a l'aller et au retour. utiliser ca dans un monde "normal" c'est vouloir jouer a la roulette russe avec un lance-missile.
Sinon :
- un port "egde" est un port qui ne dessert qu'un VLAN, généralement en mode "untagged".
- un port "trunk" est un port qui dessert autant de VLAN qu'on desire en mode tagged, et on règle une valeur nommée PVID pour designer le VLAN entrant par défaut quand la machine branchée sur le port oublie de mettre elle meme un tag. La machine brachée sur le port gère elle meme ses tags et a autant d'interface ethernet/IP virtuelles que de VLAN (l'interface physique ne sert normalement plus que de support aux interfaces virtuelles. elle n'a normalement plus d'IP)
- un port mixte c'est un port mi-edge mi-trunk mis là par le fabricant pour les gens qui ne savent pas s'en débrouiller ou pour des cas un peu particuliers et très tordus.
Note : un trunk peut servir a relier deux switches et leur faire transmettre autant de VLAN qu'on veut. Si on declare tous ses VLANs sur touts les switch, on a un réseau qui se structure naturellement au lieu d'avoir N cables qui circulent.
donc
- étape 1 : créer ses VLANs.
- étape 2 : créer ses ports trunks entre switches et accessoirement vers ses routeurs et serveurs. Note : un routeur peut alors être fait avec une machine avec un seul port Ethernet si on le souhaite. Penser au PVIDs pour les ports trunks.
- étape 3 : affecter des ports edge donc, des machines au VLAN tel que désiré. Ca..; si on le répète plus tard : ca permet de refaire son réseau sans toucher au câblage.
- étape 4 : régler le réseau multicast pour le décodeur TV. Si un seul décodeur TV : utiliser un VLAN avec deux ports untagged en extrémité. Si un seul décodeur ou plusieurs : activer le IGMP SNOOPING et le MLD SNOPPING sur le VLAN en question pour utiliser l'intelligence du switch associée au multicast (chez moi le 6). Brancher le décodeur a un des deux port, brancher la livebox sur l'autre port du VLAN TV.
Donc ici vous avez des LANs qui marchent mais autonomes, par contre pas encore de gestion du réseau (dhcp, etc). Et la livebox n'est pas branchée completement.
Note : tout switch qui peut gérer IGMP/MLD Snooping peut se passer de VLAN spécifique au multicast.
Option 1 : vous avez un routeur mono-ethernet sur un trunk ou avec autant de prises ethernets que de VLANs sur des edges.
- vous le branchez selon vos choix et configurez ses ports réseaux : VLAN en trunk ou simple ethernets en edge.
- vous choisissez si vous voulez votre routeur en bridge ou en routeur. (bridge c'est plus simple...)
- vous activez les "relais DHCP" qui pointeront sur la livebox comme serveur DHCP sur le routeur ou vous activez le DHCP sur chacun des VLANs sur le routeur. (mode routeur). Ou vous activez autant de serveur DHCP qu'il y a de VLAN sur le routeur en mode routeur.
- vous réglez le firewall du routeur comme vous le désirez que ce soit en bridge ou en mode routeur pour faire la police. (Note : concentrez vos filtrage sur l'interface de sortie vers la livebox. ca va vous aider)
- vous branchez votre livebox sur votre port edge de sortie (elle se retrouve avec deux cables : un cable LAN et un cable TV).
Note 1 : si vous utilisez le routeur en routeur et pas en bridge : soignez votre plan d'adressage.
Note 2: les limitations de la livebox font qu'elle ne tolère pas de routeur en IPv6 derrière elle. mode bridge conseillé ici.
Note 3 : si votre point d'accès wifi peut sorti sur un VLAN il peut sortir sur 4 VLANs ou plus. Vous pouvez avoir au minimum 4 réseaux wifi : un pour votre LAN, un pour vos IoTs, un pour les guest, etc chacun sortant sur un VLAN. il faut alors configurer le port utilisé pour le point d'accès wifi comme un trunk relié aux VLANs qui vont bien.
Option 2 : vous n'avez pas de routeur/bridge et vous branchez autant de ports edge que nécessaires sur la livebox pour y connecter les VLANs. ca va relier les VLANs entre eux et tout le monde va être sur le meme réseau et accessible a tout le monde. Ca rend l'usage de VLAN plutot inutile sauf pour en isoler certains de l'extérieur et accessoirement pour trier vos noisettes.
Pour sniffer les paquets réservez vous un port pour cela il y a normalement une fonction "mirroring" sur le switch qui copie ce qui entre et sort d'un port cible vers un port d'espionnage.
Si vous avez les bons trunks entre switches , vous pouvez faire la meme chose sans vous préoccuper de sur quel switch est branché quel bidule et si c'est bien sur le meme switch. JDCJDR.
accessoirement j'ai un petit DGS-1100 monté sur rail DIN dans le tableau électrique tout simplement parce que je peux le télé-alimenter en PoE. C'est pas cher, yapatou, mais ca fait le job de base.
