Le 17/02/2020 à 22:46, Michel Py a écrit : >> DUVERGIER Claude a écrit : >> OK, je mets le LAN des postes clients dans un VLAN dédié (eg. VID 42) et que >> pour administer les switchs >> il faille être dans le VLAN dédié (eg. VID 1 pour simplifier). Dans quel >> VLAN dois-je mettre le port de >> mon ordinateur, moi, le type qui va administer les switchs et vouloir surfer >> sur Internet ? > > Tu le mets dans le même VLAN que les clients (42), par contre tu lui donnes > une IP statique hors du scope DHCP, et dans ton routing inter-VLAN tu > n'acceptes le traffic vers le VLAN des switchs que depuis l'IP de ton poste. > C'est pas parfait si quelqu'un en interne a l'IP de ton poste, mais faut > savoir qui est l'ennemi. > > Avec des switchs qui font pas de L3, tu vas pas aller bien loin :-( > Si tu veux faire du vrai réseau, mets un vrai switch. Au passage, qui a les > ventilos hot-swap, les alims hot-swap, et toussa. > > Michel.
Je comprends surtout que ces bonnes pratiques ne s'appliquent pas (ou difficilement avec du matériel qui n'est pas prévu pour ça). Et aussi l'impression de mettre en place une grosse infra pour gérer un réseau de 12 personnes qui font du web toute la journée. NB: Les DGS-1210 série F ont des "L3 capabilities" : « Route Layer 3 traffic between switches, even if they're segmented in VLANs. » L'envie de "faire propre" va donc attendre un peu : il va falloir repenser tout le plan d'adressage (qui n'est pas prévu pour simplifier les routes). Si j'ai bien compris, dans un système "idéal" : * Le LAN de management serait dans un VLAN (différent de 1, eg. 66) et un réseau IP "M" * Le LAN des postes serait dans un VLAN (eg. 42) et un réseau IP "W" * Le LAN des serveurs de fichiers serait dans un VLAN (eg. 55) et un réseau IP "S" * Le poste de l'administrateur serait dans le VLAN 42 et réseau IP "W" * Les switchs seraient L3-capable et réseau IP "M" * Le trafic entre les réseaux IP¨"M" et "W" serait audité et contrôlé (bloqué/autorisé : white-liste par IP/MAC/RADIUS? par les switchs L3. * Le trafic entre les réseaux IP¨"W" et "S" serait au minimum audité par les switchs L3. A défaut de switchs L3 ont peut poser un "gros" routeur (ou un serveur qui fait routeur) pour l'inter-VLAN mais il lui faudra des liens costauds avec chaque switch. Bref, merci : je pense avoir (enfin) compris (dans la désilusion) cette histoire de switch L3. -- Duvergier Claude --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
