Le 17-02-2020 21:53, DUVERGIER Claude a écrit :
Je me rends compte qu'il manque un paragraphe :
OK, je mets le LAN des postes clients dans un VLAN dédié (eg. VID 42)
et
que pour administer les switchs il faille être dans le VLAN dédié (eg.
VID 1 pour simplifier). Dans quel VLAN dois-je mettre le port de mon
ordinateur, moi, le type qui va administer les switchs et vouloir
surfer
sur Internet ?
Dans les 2 en non-taggés, avec un PVID par défaut sur VID 1 ?
Dans les 2 : en non taggé sur VID 42 et en taggé sur VID 1, avec une
configuration d'OS pour pouvoir émettre du trafic taggé vers VID 1 ? Ça
me parait lourd et peu commode.
--
Duvergier Claude
Le 17/02/2020 à 21:41, David Ponzone a écrit :
L’idéal, tu l’as compris, c’est de rien mettre dans le VLAN 1.
A mon avis personnel, en fonction de ton contexte pro, c’est quand
même un peu parano :)
Passons ce détail, revenons à tes D-Link.
Tu dis que sur tes DGS, tu n’as plus de menu L2
Features/VLAN/Management VLAN, pour choisir l’ID de ton VLAN de
management ?
Je viens de vérifier la doc et tu sembles avoir raison: ils ont viré
ça pour mettre tout leur merdier de Surveillance VLAN.
On sent le truc pour te vendre leurs solutions de caméras/NVR.
Ben 2 solutions:
1/ tu vires les DLink (à mon avis, la meilleure option, plus le temps
passe, plus ces constructeurs font n’importe quoi)
2/ tu laisses un seul port dans le VLAN 1 untag et AUCUN autre, et tu
le connectes à ton LAN de management
Le 17 févr. 2020 à 19:30, DUVERGIER Claude
<frnog...@claude.duvergier.fr> a écrit :
Bonjour la liste,
Je configure le réseau de nouveaux locaux et je voulais en profiter
pour
faire un truc "propre" qui me trotte dans la tête depuis un moment :
« Ne plus utiliser le VLAN de VID 1 pour le LAN. »
J'ai l'impression que ce VLAN est censée être réservé à
l'administration
du réseau et que faire que les postes du LAN ne soient pas dedans
serait
une bonne chose.
En fait de manière plus générique : ne pas avoir les postes clients
et
les interfaces d'administration des switchs dans le même VLAN (que ça
soit VID 1, VID 42 ou autre).
Le site Ciscopress [1] conseille bien de changer le VID du management
VLAN pour autre chose que 1, mais seulement voilà :
Mes switchs sont des D-Link DGS-1210 série F [1] pour lesquels je me
suis dit : tu vires tous les ports du VLAN de VID 1 comme ça tu es
sûr
de ne pas t'en servir... Sauf que l'interface web GUI du D-Link ne
permet plus (visiblement on pouvait sur d'anciens modèles) de choisir
le
VID du "Management VLAN" et que donc si je vide le VID 1 je me
retrouve
interdit d'accès à la web GUI (logique).
Est-ce que conserver le VID 1 pour le management VLAN (et mettre les
autres appareils sur d'autres VLAN) reste une bonne pratique ?
Ce qui me "dérange" c'est que, à l'achat, tout switch est en mode
"tous
les ports dans VID 1 et management VLAN = VID 1" donc lors de la
première configuration les switchs neufs sont déjà dans le VLAN de
management...
Avez-vous des conseils à me faire (autre que changer de matériel)
pour
la bonne gestion du management VLAN ?
Merci
[1] :
http://www.ciscopress.com/articles/article.asp?p=2181837&seqNum=11
[2] :
https://eu.dlink.com/uk/en/products/dgs-1210-series-gigabit-smart-plus-switches
--
DUVERGIER Claude
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
A mon avis, c'est parce que le CPU de ton control plane ne gère pas les
paquets taggués. Donc ils forcent le VLAN1 qu'ils considérent vlan
native. Le VLAN 1 je le vois toujours comme le native, parce que dans
beaucoup d'implémentations, VLAN 1 même taggué dans la trame 802.1q =
VLAN native = Ethernet 0x8000. Cisco, pour ne pas les citer, taggue les
CDP/VTP en VLAN 1. Donc pour éviter le VLAN Hopping, c'est mieux de ne
pas l'utiliser en taggué.
Après la je dirais que ca semble inhérent au produit, qui ne sait pas
gérer des paquets 802.1q avec un type 0x8100 directement punté au CPU.
Ou alors qui a fait un management plane cohérent sur tous les produits
sans discussion de si le control plane le fait.
Donc la t'as pas vraiment le choix que de tagguer le 1 only, pour
limiter à minima l'accès (plus ACL avec sécurité par l'obscurité),
attention aux autres constructeurs sur une topologie comme ca.
--
Fabien VINCENT
_@beufanet_
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
