Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
Pour ma part, je me fais un conbo Ghostery+uBlock Orgin. A part sur les sites codés avec les pieds, on est royalement tranquilles avec ces deux là. Seb. Le 18/02/2020 à 10:47, Joel DEREFINKO a écrit : > +1 pour uBlock Origin. > > -Message d'origine- > De : frnog-requ...@frnog.org De la part de J. C. > Jacquart > Envoyé : mardi 18 février 2020 08:37 > À : Michel Py > Cc : DUVERGIER Claude ; frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ? > > salut, > juste une précision même si un peu HS: >> Michel Pya écrit : >> -Mettre un adblocker sur les postes (adblockplus.org). > il faut éviter adblock plus qui se permet de décider quelles pubs sont > bonnes pour toi (moyennant $$ de la part des entreprises bien sur) > https://www.nytimes.com/2016/09/19/business/media/adblock-plus-created-to-protect-users-from-ads-opens-the-door.html > ublock origin est mieux et refuse de se vendre > https://en.wikipedia.org/wiki/UBlock_Origin > > Le mar. 18 févr. 2020 à 03:03, Michel Py > a écrit : > >>> DUVERGIER Claude a écrit : >>> Je comprends surtout que ces bonnes pratiques ne s'appliquent pas (ou >>> difficilement avec du matériel qui n'est pas prévu pour ça). >> Absolument. Bon en plus, même si je pouvais parce que mon matos le >> supporte, un de mes deux VLANs de management est VLAN 1 (j'ai pas assez de >> place dans un /24 pour tout). Honnêtement, j'ai mieux à faire que de >> renuméroter 250 switches dans mon VLAN 1 pour faire plaisir à Cisco. >> >> Les trucs à faire en priorité (pas forcément dans l'ordre) : >> - Se débarrasser de la machinbox de m... si possible. Une longue route >> souvent semée d'embuches. >> - Chaque fois que tu te loggues dans ton switch ou routeur çà t'envoie un >> email. >> - Un bon pare-feu. Pour 12 utilisateurs, je mets çà : >> https://www.untangle.com/shop/z4w-appliance/ >>Même avec les apps gratuites c'est sympa. >> - Mettre un adblocker sur les postes (adblockplus.org). >> - Utiliser un DNS externe qui filtre la merdasse (j'utilise OpenDNS). >> - Port Security : une seule adresse MAC par port, çà évite les clampains >> qui mettent un switch 5 ports sous leur bureau. >> >> Dans la réalité, çà fait plus pour toi que de mettre un VLAN de management >> pour 2 switchs. >> >> >>> Et aussi l'impression de mettre en place une grosse infra pour gérer >>> un réseau de 12 personnes qui font du web toute la journée. >> Bah, sur la liste du FRnOG c'est pas interdit. Je ne suis pas le seul qui >> a (à la maison) plus de VLANs que d'utilisateurs, même quand on compte ceux >> à 4 pattes. Faire une usine à gaz c'est rarement productif mais si >> t'apprends quelque chose au passage... >> >> Si t'as vraiment du temps à perdre : RBL eBGP avec uRPF, réseau local avec >> certificats 802.1x, WiFi avec PEAP et RADIUS, 2FA, il y a pleins de trucs >> très sympa pour fabriquer ton usine à gaz. >> >>> Si j'ai bien compris, dans un système "idéal" : >>> * Le LAN de management serait dans un VLAN (différent de 1, eg. 66) et >> un réseau IP "M" >>> * Le LAN des postes serait dans un VLAN (eg. 42) et un réseau IP "W" >>> * Le LAN des serveurs de fichiers serait dans un VLAN (eg. 55) et un >> réseau IP "S" >>> * Le poste de l'administrateur serait dans le VLAN 42 et réseau IP "W" >>> * Les switchs seraient L3-capable et réseau IP "M" >>> * Le trafic entre les réseaux IP¨"M" et "W" serait audité et contrôlé >>> (bloqué/autorisé : white-liste par IP/MAC/RADIUS? par les switchs L3. >>> * Le trafic entre les réseaux IP¨"W" et "S" serait au minimum audité par >> les switchs L3. >> >> Quelque chose comme çà, oui. >> >>> A défaut de switchs L3 ont peut poser un "gros" routeur (ou un serveur >> qui fait >>> routeur) pour l'inter-VLAN mais il lui faudra des liens costauds avec >> chaque switch. >> >> Non, c'est trop limitant en termes de vitesse (ou alors çà va couter un >> bras). L3 switch qui route à "wire speed", en tout cas entre les postes et >> les serveurs. Pour l'infra réseau ça suffit. >> >> Michel. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
+1 pour uBlock Origin. -Message d'origine- De : frnog-requ...@frnog.org De la part de J. C. Jacquart Envoyé : mardi 18 février 2020 08:37 À : Michel Py Cc : DUVERGIER Claude ; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ? salut, juste une précision même si un peu HS: > Michel Pya écrit : > -Mettre un adblocker sur les postes (adblockplus.org). il faut éviter adblock plus qui se permet de décider quelles pubs sont bonnes pour toi (moyennant $$ de la part des entreprises bien sur) https://www.nytimes.com/2016/09/19/business/media/adblock-plus-created-to-protect-users-from-ads-opens-the-door.html ublock origin est mieux et refuse de se vendre https://en.wikipedia.org/wiki/UBlock_Origin Le mar. 18 févr. 2020 à 03:03, Michel Py a écrit : > > DUVERGIER Claude a écrit : > > Je comprends surtout que ces bonnes pratiques ne s'appliquent pas (ou > > difficilement avec du matériel qui n'est pas prévu pour ça). > > Absolument. Bon en plus, même si je pouvais parce que mon matos le > supporte, un de mes deux VLANs de management est VLAN 1 (j'ai pas assez de > place dans un /24 pour tout). Honnêtement, j'ai mieux à faire que de > renuméroter 250 switches dans mon VLAN 1 pour faire plaisir à Cisco. > > Les trucs à faire en priorité (pas forcément dans l'ordre) : > - Se débarrasser de la machinbox de m... si possible. Une longue route > souvent semée d'embuches. > - Chaque fois que tu te loggues dans ton switch ou routeur çà t'envoie un > email. > - Un bon pare-feu. Pour 12 utilisateurs, je mets çà : > https://www.untangle.com/shop/z4w-appliance/ >Même avec les apps gratuites c'est sympa. > - Mettre un adblocker sur les postes (adblockplus.org). > - Utiliser un DNS externe qui filtre la merdasse (j'utilise OpenDNS). > - Port Security : une seule adresse MAC par port, çà évite les clampains > qui mettent un switch 5 ports sous leur bureau. > > Dans la réalité, çà fait plus pour toi que de mettre un VLAN de management > pour 2 switchs. > > > > Et aussi l'impression de mettre en place une grosse infra pour gérer > > un réseau de 12 personnes qui font du web toute la journée. > > Bah, sur la liste du FRnOG c'est pas interdit. Je ne suis pas le seul qui > a (à la maison) plus de VLANs que d'utilisateurs, même quand on compte ceux > à 4 pattes. Faire une usine à gaz c'est rarement productif mais si > t'apprends quelque chose au passage... > > Si t'as vraiment du temps à perdre : RBL eBGP avec uRPF, réseau local avec > certificats 802.1x, WiFi avec PEAP et RADIUS, 2FA, il y a pleins de trucs > très sympa pour fabriquer ton usine à gaz. > > > Si j'ai bien compris, dans un système "idéal" : > > * Le LAN de management serait dans un VLAN (différent de 1, eg. 66) et > un réseau IP "M" > > * Le LAN des postes serait dans un VLAN (eg. 42) et un réseau IP "W" > > * Le LAN des serveurs de fichiers serait dans un VLAN (eg. 55) et un > réseau IP "S" > > * Le poste de l'administrateur serait dans le VLAN 42 et réseau IP "W" > > * Les switchs seraient L3-capable et réseau IP "M" > > * Le trafic entre les réseaux IP¨"M" et "W" serait audité et contrôlé > > (bloqué/autorisé : white-liste par IP/MAC/RADIUS? par les switchs L3. > > * Le trafic entre les réseaux IP¨"W" et "S" serait au minimum audité par > les switchs L3. > > Quelque chose comme çà, oui. > > > A défaut de switchs L3 ont peut poser un "gros" routeur (ou un serveur > qui fait > > routeur) pour l'inter-VLAN mais il lui faudra des liens costauds avec > chaque switch. > > Non, c'est trop limitant en termes de vitesse (ou alors çà va couter un > bras). L3 switch qui route à "wire speed", en tout cas entre les postes et > les serveurs. Pour l'infra réseau ça suffit. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- JC --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
salut, juste une précision même si un peu HS: > Michel Pya écrit : > -Mettre un adblocker sur les postes (adblockplus.org). il faut éviter adblock plus qui se permet de décider quelles pubs sont bonnes pour toi (moyennant $$ de la part des entreprises bien sur) https://www.nytimes.com/2016/09/19/business/media/adblock-plus-created-to-protect-users-from-ads-opens-the-door.html ublock origin est mieux et refuse de se vendre https://en.wikipedia.org/wiki/UBlock_Origin Le mar. 18 févr. 2020 à 03:03, Michel Py a écrit : > > DUVERGIER Claude a écrit : > > Je comprends surtout que ces bonnes pratiques ne s'appliquent pas (ou > > difficilement avec du matériel qui n'est pas prévu pour ça). > > Absolument. Bon en plus, même si je pouvais parce que mon matos le > supporte, un de mes deux VLANs de management est VLAN 1 (j'ai pas assez de > place dans un /24 pour tout). Honnêtement, j'ai mieux à faire que de > renuméroter 250 switches dans mon VLAN 1 pour faire plaisir à Cisco. > > Les trucs à faire en priorité (pas forcément dans l'ordre) : > - Se débarrasser de la machinbox de m... si possible. Une longue route > souvent semée d'embuches. > - Chaque fois que tu te loggues dans ton switch ou routeur çà t'envoie un > email. > - Un bon pare-feu. Pour 12 utilisateurs, je mets çà : > https://www.untangle.com/shop/z4w-appliance/ >Même avec les apps gratuites c'est sympa. > - Mettre un adblocker sur les postes (adblockplus.org). > - Utiliser un DNS externe qui filtre la merdasse (j'utilise OpenDNS). > - Port Security : une seule adresse MAC par port, çà évite les clampains > qui mettent un switch 5 ports sous leur bureau. > > Dans la réalité, çà fait plus pour toi que de mettre un VLAN de management > pour 2 switchs. > > > > Et aussi l'impression de mettre en place une grosse infra pour gérer > > un réseau de 12 personnes qui font du web toute la journée. > > Bah, sur la liste du FRnOG c'est pas interdit. Je ne suis pas le seul qui > a (à la maison) plus de VLANs que d'utilisateurs, même quand on compte ceux > à 4 pattes. Faire une usine à gaz c'est rarement productif mais si > t'apprends quelque chose au passage... > > Si t'as vraiment du temps à perdre : RBL eBGP avec uRPF, réseau local avec > certificats 802.1x, WiFi avec PEAP et RADIUS, 2FA, il y a pleins de trucs > très sympa pour fabriquer ton usine à gaz. > > > Si j'ai bien compris, dans un système "idéal" : > > * Le LAN de management serait dans un VLAN (différent de 1, eg. 66) et > un réseau IP "M" > > * Le LAN des postes serait dans un VLAN (eg. 42) et un réseau IP "W" > > * Le LAN des serveurs de fichiers serait dans un VLAN (eg. 55) et un > réseau IP "S" > > * Le poste de l'administrateur serait dans le VLAN 42 et réseau IP "W" > > * Les switchs seraient L3-capable et réseau IP "M" > > * Le trafic entre les réseaux IP¨"M" et "W" serait audité et contrôlé > > (bloqué/autorisé : white-liste par IP/MAC/RADIUS? par les switchs L3. > > * Le trafic entre les réseaux IP¨"W" et "S" serait au minimum audité par > les switchs L3. > > Quelque chose comme çà, oui. > > > A défaut de switchs L3 ont peut poser un "gros" routeur (ou un serveur > qui fait > > routeur) pour l'inter-VLAN mais il lui faudra des liens costauds avec > chaque switch. > > Non, c'est trop limitant en termes de vitesse (ou alors çà va couter un > bras). L3 switch qui route à "wire speed", en tout cas entre les postes et > les serveurs. Pour l'infra réseau ça suffit. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- JC --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
> DUVERGIER Claude a écrit : > Je comprends surtout que ces bonnes pratiques ne s'appliquent pas (ou > difficilement avec du matériel qui n'est pas prévu pour ça). Absolument. Bon en plus, même si je pouvais parce que mon matos le supporte, un de mes deux VLANs de management est VLAN 1 (j'ai pas assez de place dans un /24 pour tout). Honnêtement, j'ai mieux à faire que de renuméroter 250 switches dans mon VLAN 1 pour faire plaisir à Cisco. Les trucs à faire en priorité (pas forcément dans l'ordre) : - Se débarrasser de la machinbox de m... si possible. Une longue route souvent semée d'embuches. - Chaque fois que tu te loggues dans ton switch ou routeur çà t'envoie un email. - Un bon pare-feu. Pour 12 utilisateurs, je mets çà : https://www.untangle.com/shop/z4w-appliance/ Même avec les apps gratuites c'est sympa. - Mettre un adblocker sur les postes (adblockplus.org). - Utiliser un DNS externe qui filtre la merdasse (j'utilise OpenDNS). - Port Security : une seule adresse MAC par port, çà évite les clampains qui mettent un switch 5 ports sous leur bureau. Dans la réalité, çà fait plus pour toi que de mettre un VLAN de management pour 2 switchs. > Et aussi l'impression de mettre en place une grosse infra pour gérer > un réseau de 12 personnes qui font du web toute la journée. Bah, sur la liste du FRnOG c'est pas interdit. Je ne suis pas le seul qui a (à la maison) plus de VLANs que d'utilisateurs, même quand on compte ceux à 4 pattes. Faire une usine à gaz c'est rarement productif mais si t'apprends quelque chose au passage... Si t'as vraiment du temps à perdre : RBL eBGP avec uRPF, réseau local avec certificats 802.1x, WiFi avec PEAP et RADIUS, 2FA, il y a pleins de trucs très sympa pour fabriquer ton usine à gaz. > Si j'ai bien compris, dans un système "idéal" : > * Le LAN de management serait dans un VLAN (différent de 1, eg. 66) et un > réseau IP "M" > * Le LAN des postes serait dans un VLAN (eg. 42) et un réseau IP "W" > * Le LAN des serveurs de fichiers serait dans un VLAN (eg. 55) et un réseau > IP "S" > * Le poste de l'administrateur serait dans le VLAN 42 et réseau IP "W" > * Les switchs seraient L3-capable et réseau IP "M" > * Le trafic entre les réseaux IP¨"M" et "W" serait audité et contrôlé > (bloqué/autorisé : white-liste par IP/MAC/RADIUS? par les switchs L3. > * Le trafic entre les réseaux IP¨"W" et "S" serait au minimum audité par les > switchs L3. Quelque chose comme çà, oui. > A défaut de switchs L3 ont peut poser un "gros" routeur (ou un serveur qui > fait > routeur) pour l'inter-VLAN mais il lui faudra des liens costauds avec chaque > switch. Non, c'est trop limitant en termes de vitesse (ou alors çà va couter un bras). L3 switch qui route à "wire speed", en tout cas entre les postes et les serveurs. Pour l'infra réseau ça suffit. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
Le 17/02/2020 à 22:46, Michel Py a écrit : >> DUVERGIER Claude a écrit : >> OK, je mets le LAN des postes clients dans un VLAN dédié (eg. VID 42) et que >> pour administer les switchs >> il faille être dans le VLAN dédié (eg. VID 1 pour simplifier). Dans quel >> VLAN dois-je mettre le port de >> mon ordinateur, moi, le type qui va administer les switchs et vouloir surfer >> sur Internet ? > > Tu le mets dans le même VLAN que les clients (42), par contre tu lui donnes > une IP statique hors du scope DHCP, et dans ton routing inter-VLAN tu > n'acceptes le traffic vers le VLAN des switchs que depuis l'IP de ton poste. > C'est pas parfait si quelqu'un en interne a l'IP de ton poste, mais faut > savoir qui est l'ennemi. > > Avec des switchs qui font pas de L3, tu vas pas aller bien loin :-( > Si tu veux faire du vrai réseau, mets un vrai switch. Au passage, qui a les > ventilos hot-swap, les alims hot-swap, et toussa. > > Michel. Je comprends surtout que ces bonnes pratiques ne s'appliquent pas (ou difficilement avec du matériel qui n'est pas prévu pour ça). Et aussi l'impression de mettre en place une grosse infra pour gérer un réseau de 12 personnes qui font du web toute la journée. NB: Les DGS-1210 série F ont des "L3 capabilities" : « Route Layer 3 traffic between switches, even if they're segmented in VLANs. » L'envie de "faire propre" va donc attendre un peu : il va falloir repenser tout le plan d'adressage (qui n'est pas prévu pour simplifier les routes). Si j'ai bien compris, dans un système "idéal" : * Le LAN de management serait dans un VLAN (différent de 1, eg. 66) et un réseau IP "M" * Le LAN des postes serait dans un VLAN (eg. 42) et un réseau IP "W" * Le LAN des serveurs de fichiers serait dans un VLAN (eg. 55) et un réseau IP "S" * Le poste de l'administrateur serait dans le VLAN 42 et réseau IP "W" * Les switchs seraient L3-capable et réseau IP "M" * Le trafic entre les réseaux IP¨"M" et "W" serait audité et contrôlé (bloqué/autorisé : white-liste par IP/MAC/RADIUS? par les switchs L3. * Le trafic entre les réseaux IP¨"W" et "S" serait au minimum audité par les switchs L3. A défaut de switchs L3 ont peut poser un "gros" routeur (ou un serveur qui fait routeur) pour l'inter-VLAN mais il lui faudra des liens costauds avec chaque switch. Bref, merci : je pense avoir (enfin) compris (dans la désilusion) cette histoire de switch L3. -- Duvergier Claude --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
> DUVERGIER Claude a écrit : > OK, je mets le LAN des postes clients dans un VLAN dédié (eg. VID 42) et que > pour administer les switchs > il faille être dans le VLAN dédié (eg. VID 1 pour simplifier). Dans quel VLAN > dois-je mettre le port de > mon ordinateur, moi, le type qui va administer les switchs et vouloir surfer > sur Internet ? Tu le mets dans le même VLAN que les clients (42), par contre tu lui donnes une IP statique hors du scope DHCP, et dans ton routing inter-VLAN tu n'acceptes le traffic vers le VLAN des switchs que depuis l'IP de ton poste. C'est pas parfait si quelqu'un en interne a l'IP de ton poste, mais faut savoir qui est l'ennemi. Avec des switchs qui font pas de L3, tu vas pas aller bien loin :-( Si tu veux faire du vrai réseau, mets un vrai switch. Au passage, qui a les ventilos hot-swap, les alims hot-swap, et toussa. Michel. Dans les 2 en non-taggés, avec un PVID par défaut sur VID 1 ? Dans les 2 : en non taggé sur VID 42 et en taggé sur VID 1, avec une configuration d'OS pour pouvoir émettre du trafic taggé vers VID 1 ? Ça me parait lourd et peu commode. -- Duvergier Claude Le 17/02/2020 à 21:41, David Ponzone a écrit : > L’idéal, tu l’as compris, c’est de rien mettre dans le VLAN 1. > A mon avis personnel, en fonction de ton contexte pro, c’est quand même un > peu parano :) > > Passons ce détail, revenons à tes D-Link. > Tu dis que sur tes DGS, tu n’as plus de menu L2 Features/VLAN/Management > VLAN, pour choisir l’ID de ton VLAN de management ? > Je viens de vérifier la doc et tu sembles avoir raison: ils ont viré ça pour > mettre tout leur merdier de Surveillance VLAN. > On sent le truc pour te vendre leurs solutions de caméras/NVR. > > Ben 2 solutions: > 1/ tu vires les DLink (à mon avis, la meilleure option, plus le temps passe, > plus ces constructeurs font n’importe quoi) > 2/ tu laisses un seul port dans le VLAN 1 untag et AUCUN autre, et tu le > connectes à ton LAN de management > >> Le 17 févr. 2020 à 19:30, DUVERGIER Claude a >> écrit : >> >> Bonjour la liste, >> >> Je configure le réseau de nouveaux locaux et je voulais en profiter pour >> faire un truc "propre" qui me trotte dans la tête depuis un moment : >> >> « Ne plus utiliser le VLAN de VID 1 pour le LAN. » >> >> J'ai l'impression que ce VLAN est censée être réservé à l'administration >> du réseau et que faire que les postes du LAN ne soient pas dedans serait >> une bonne chose. >> En fait de manière plus générique : ne pas avoir les postes clients et >> les interfaces d'administration des switchs dans le même VLAN (que ça >> soit VID 1, VID 42 ou autre). >> >> Le site Ciscopress [1] conseille bien de changer le VID du management >> VLAN pour autre chose que 1, mais seulement voilà : >> >> Mes switchs sont des D-Link DGS-1210 série F [1] pour lesquels je me >> suis dit : tu vires tous les ports du VLAN de VID 1 comme ça tu es sûr >> de ne pas t'en servir... Sauf que l'interface web GUI du D-Link ne >> permet plus (visiblement on pouvait sur d'anciens modèles) de choisir le >> VID du "Management VLAN" et que donc si je vide le VID 1 je me retrouve >> interdit d'accès à la web GUI (logique). >> >> Est-ce que conserver le VID 1 pour le management VLAN (et mettre les >> autres appareils sur d'autres VLAN) reste une bonne pratique ? >> Ce qui me "dérange" c'est que, à l'achat, tout switch est en mode "tous >> les ports dans VID 1 et management VLAN = VID 1" donc lors de la >> première configuration les switchs neufs sont déjà dans le VLAN de >> management... >> >> Avez-vous des conseils à me faire (autre que changer de matériel) pour >> la bonne gestion du management VLAN ? >> >> Merci >> >> [1] : http://www.ciscopress.com/articles/article.asp?p=2181837=11 >> [2] : >> https://eu.dlink.com/uk/en/products/dgs-1210-series-gigabit-smart-plus-switches >> >> -- >> DUVERGIER Claude >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
A mon avis, tu dédies un switch (il peut probablement être non-manageable) au management, tu le connectes à une interface de ton routeur (une interface LAN à part, pas bridgée avec le LAN normal), tu configures ton subnet de management sur cette interface, et tu branches tous tes équipements à manager sur ce switch. Dans le cas du D-Link, tu dédies un port quelconque qui devra être dans le VLAN 1 untag, avec tous les autres ports «Not a member » du VLAN 1. Tu te fais un port de management dédié sur un équipement qui n’en a pas. > Le 17 févr. 2020 à 21:53, DUVERGIER Claude a > écrit : > > Je me rends compte qu'il manque un paragraphe : > > OK, je mets le LAN des postes clients dans un VLAN dédié (eg. VID 42) et > que pour administer les switchs il faille être dans le VLAN dédié (eg. > VID 1 pour simplifier). Dans quel VLAN dois-je mettre le port de mon > ordinateur, moi, le type qui va administer les switchs et vouloir surfer > sur Internet ? > > Dans les 2 en non-taggés, avec un PVID par défaut sur VID 1 ? > Dans les 2 : en non taggé sur VID 42 et en taggé sur VID 1, avec une > configuration d'OS pour pouvoir émettre du trafic taggé vers VID 1 ? Ça > me parait lourd et peu commode. > > -- > Duvergier Claude > > Le 17/02/2020 à 21:41, David Ponzone a écrit : >> L’idéal, tu l’as compris, c’est de rien mettre dans le VLAN 1. >> A mon avis personnel, en fonction de ton contexte pro, c’est quand même un >> peu parano :) >> >> Passons ce détail, revenons à tes D-Link. >> Tu dis que sur tes DGS, tu n’as plus de menu L2 Features/VLAN/Management >> VLAN, pour choisir l’ID de ton VLAN de management ? >> Je viens de vérifier la doc et tu sembles avoir raison: ils ont viré ça pour >> mettre tout leur merdier de Surveillance VLAN. >> On sent le truc pour te vendre leurs solutions de caméras/NVR. >> >> Ben 2 solutions: >> 1/ tu vires les DLink (à mon avis, la meilleure option, plus le temps passe, >> plus ces constructeurs font n’importe quoi) >> 2/ tu laisses un seul port dans le VLAN 1 untag et AUCUN autre, et tu le >> connectes à ton LAN de management >> >>> Le 17 févr. 2020 à 19:30, DUVERGIER Claude a >>> écrit : >>> >>> Bonjour la liste, >>> >>> Je configure le réseau de nouveaux locaux et je voulais en profiter pour >>> faire un truc "propre" qui me trotte dans la tête depuis un moment : >>> >>> « Ne plus utiliser le VLAN de VID 1 pour le LAN. » >>> >>> J'ai l'impression que ce VLAN est censée être réservé à l'administration >>> du réseau et que faire que les postes du LAN ne soient pas dedans serait >>> une bonne chose. >>> En fait de manière plus générique : ne pas avoir les postes clients et >>> les interfaces d'administration des switchs dans le même VLAN (que ça >>> soit VID 1, VID 42 ou autre). >>> >>> Le site Ciscopress [1] conseille bien de changer le VID du management >>> VLAN pour autre chose que 1, mais seulement voilà : >>> >>> Mes switchs sont des D-Link DGS-1210 série F [1] pour lesquels je me >>> suis dit : tu vires tous les ports du VLAN de VID 1 comme ça tu es sûr >>> de ne pas t'en servir... Sauf que l'interface web GUI du D-Link ne >>> permet plus (visiblement on pouvait sur d'anciens modèles) de choisir le >>> VID du "Management VLAN" et que donc si je vide le VID 1 je me retrouve >>> interdit d'accès à la web GUI (logique). >>> >>> Est-ce que conserver le VID 1 pour le management VLAN (et mettre les >>> autres appareils sur d'autres VLAN) reste une bonne pratique ? >>> Ce qui me "dérange" c'est que, à l'achat, tout switch est en mode "tous >>> les ports dans VID 1 et management VLAN = VID 1" donc lors de la >>> première configuration les switchs neufs sont déjà dans le VLAN de >>> management... >>> >>> Avez-vous des conseils à me faire (autre que changer de matériel) pour >>> la bonne gestion du management VLAN ? >>> >>> Merci >>> >>> [1] : http://www.ciscopress.com/articles/article.asp?p=2181837=11 >>> [2] : >>> https://eu.dlink.com/uk/en/products/dgs-1210-series-gigabit-smart-plus-switches >>> >>> -- >>> DUVERGIER Claude >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
Le 17-02-2020 21:53, DUVERGIER Claude a écrit : Je me rends compte qu'il manque un paragraphe : OK, je mets le LAN des postes clients dans un VLAN dédié (eg. VID 42) et que pour administer les switchs il faille être dans le VLAN dédié (eg. VID 1 pour simplifier). Dans quel VLAN dois-je mettre le port de mon ordinateur, moi, le type qui va administer les switchs et vouloir surfer sur Internet ? Dans les 2 en non-taggés, avec un PVID par défaut sur VID 1 ? Dans les 2 : en non taggé sur VID 42 et en taggé sur VID 1, avec une configuration d'OS pour pouvoir émettre du trafic taggé vers VID 1 ? Ça me parait lourd et peu commode. -- Duvergier Claude Le 17/02/2020 à 21:41, David Ponzone a écrit : L’idéal, tu l’as compris, c’est de rien mettre dans le VLAN 1. A mon avis personnel, en fonction de ton contexte pro, c’est quand même un peu parano :) Passons ce détail, revenons à tes D-Link. Tu dis que sur tes DGS, tu n’as plus de menu L2 Features/VLAN/Management VLAN, pour choisir l’ID de ton VLAN de management ? Je viens de vérifier la doc et tu sembles avoir raison: ils ont viré ça pour mettre tout leur merdier de Surveillance VLAN. On sent le truc pour te vendre leurs solutions de caméras/NVR. Ben 2 solutions: 1/ tu vires les DLink (à mon avis, la meilleure option, plus le temps passe, plus ces constructeurs font n’importe quoi) 2/ tu laisses un seul port dans le VLAN 1 untag et AUCUN autre, et tu le connectes à ton LAN de management Le 17 févr. 2020 à 19:30, DUVERGIER Claude a écrit : Bonjour la liste, Je configure le réseau de nouveaux locaux et je voulais en profiter pour faire un truc "propre" qui me trotte dans la tête depuis un moment : « Ne plus utiliser le VLAN de VID 1 pour le LAN. » J'ai l'impression que ce VLAN est censée être réservé à l'administration du réseau et que faire que les postes du LAN ne soient pas dedans serait une bonne chose. En fait de manière plus générique : ne pas avoir les postes clients et les interfaces d'administration des switchs dans le même VLAN (que ça soit VID 1, VID 42 ou autre). Le site Ciscopress [1] conseille bien de changer le VID du management VLAN pour autre chose que 1, mais seulement voilà : Mes switchs sont des D-Link DGS-1210 série F [1] pour lesquels je me suis dit : tu vires tous les ports du VLAN de VID 1 comme ça tu es sûr de ne pas t'en servir... Sauf que l'interface web GUI du D-Link ne permet plus (visiblement on pouvait sur d'anciens modèles) de choisir le VID du "Management VLAN" et que donc si je vide le VID 1 je me retrouve interdit d'accès à la web GUI (logique). Est-ce que conserver le VID 1 pour le management VLAN (et mettre les autres appareils sur d'autres VLAN) reste une bonne pratique ? Ce qui me "dérange" c'est que, à l'achat, tout switch est en mode "tous les ports dans VID 1 et management VLAN = VID 1" donc lors de la première configuration les switchs neufs sont déjà dans le VLAN de management... Avez-vous des conseils à me faire (autre que changer de matériel) pour la bonne gestion du management VLAN ? Merci [1] : http://www.ciscopress.com/articles/article.asp?p=2181837=11 [2] : https://eu.dlink.com/uk/en/products/dgs-1210-series-gigabit-smart-plus-switches -- DUVERGIER Claude --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ A mon avis, c'est parce que le CPU de ton control plane ne gère pas les paquets taggués. Donc ils forcent le VLAN1 qu'ils considérent vlan native. Le VLAN 1 je le vois toujours comme le native, parce que dans beaucoup d'implémentations, VLAN 1 même taggué dans la trame 802.1q = VLAN native = Ethernet 0x8000. Cisco, pour ne pas les citer, taggue les CDP/VTP en VLAN 1. Donc pour éviter le VLAN Hopping, c'est mieux de ne pas l'utiliser en taggué. Après la je dirais que ca semble inhérent au produit, qui ne sait pas gérer des paquets 802.1q avec un type 0x8100 directement punté au CPU. Ou alors qui a fait un management plane cohérent sur tous les produits sans discussion de si le control plane le fait. Donc la t'as pas vraiment le choix que de tagguer le 1 only, pour limiter à minima l'accès (plus ACL avec sécurité par l'obscurité), attention aux autres constructeurs sur une topologie comme ca. -- Fabien VINCENT _@beufanet_ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
Je me rends compte qu'il manque un paragraphe : OK, je mets le LAN des postes clients dans un VLAN dédié (eg. VID 42) et que pour administer les switchs il faille être dans le VLAN dédié (eg. VID 1 pour simplifier). Dans quel VLAN dois-je mettre le port de mon ordinateur, moi, le type qui va administer les switchs et vouloir surfer sur Internet ? Dans les 2 en non-taggés, avec un PVID par défaut sur VID 1 ? Dans les 2 : en non taggé sur VID 42 et en taggé sur VID 1, avec une configuration d'OS pour pouvoir émettre du trafic taggé vers VID 1 ? Ça me parait lourd et peu commode. -- Duvergier Claude Le 17/02/2020 à 21:41, David Ponzone a écrit : > L’idéal, tu l’as compris, c’est de rien mettre dans le VLAN 1. > A mon avis personnel, en fonction de ton contexte pro, c’est quand même un > peu parano :) > > Passons ce détail, revenons à tes D-Link. > Tu dis que sur tes DGS, tu n’as plus de menu L2 Features/VLAN/Management > VLAN, pour choisir l’ID de ton VLAN de management ? > Je viens de vérifier la doc et tu sembles avoir raison: ils ont viré ça pour > mettre tout leur merdier de Surveillance VLAN. > On sent le truc pour te vendre leurs solutions de caméras/NVR. > > Ben 2 solutions: > 1/ tu vires les DLink (à mon avis, la meilleure option, plus le temps passe, > plus ces constructeurs font n’importe quoi) > 2/ tu laisses un seul port dans le VLAN 1 untag et AUCUN autre, et tu le > connectes à ton LAN de management > >> Le 17 févr. 2020 à 19:30, DUVERGIER Claude a >> écrit : >> >> Bonjour la liste, >> >> Je configure le réseau de nouveaux locaux et je voulais en profiter pour >> faire un truc "propre" qui me trotte dans la tête depuis un moment : >> >> « Ne plus utiliser le VLAN de VID 1 pour le LAN. » >> >> J'ai l'impression que ce VLAN est censée être réservé à l'administration >> du réseau et que faire que les postes du LAN ne soient pas dedans serait >> une bonne chose. >> En fait de manière plus générique : ne pas avoir les postes clients et >> les interfaces d'administration des switchs dans le même VLAN (que ça >> soit VID 1, VID 42 ou autre). >> >> Le site Ciscopress [1] conseille bien de changer le VID du management >> VLAN pour autre chose que 1, mais seulement voilà : >> >> Mes switchs sont des D-Link DGS-1210 série F [1] pour lesquels je me >> suis dit : tu vires tous les ports du VLAN de VID 1 comme ça tu es sûr >> de ne pas t'en servir... Sauf que l'interface web GUI du D-Link ne >> permet plus (visiblement on pouvait sur d'anciens modèles) de choisir le >> VID du "Management VLAN" et que donc si je vide le VID 1 je me retrouve >> interdit d'accès à la web GUI (logique). >> >> Est-ce que conserver le VID 1 pour le management VLAN (et mettre les >> autres appareils sur d'autres VLAN) reste une bonne pratique ? >> Ce qui me "dérange" c'est que, à l'achat, tout switch est en mode "tous >> les ports dans VID 1 et management VLAN = VID 1" donc lors de la >> première configuration les switchs neufs sont déjà dans le VLAN de >> management... >> >> Avez-vous des conseils à me faire (autre que changer de matériel) pour >> la bonne gestion du management VLAN ? >> >> Merci >> >> [1] : http://www.ciscopress.com/articles/article.asp?p=2181837=11 >> [2] : >> https://eu.dlink.com/uk/en/products/dgs-1210-series-gigabit-smart-plus-switches >> >> -- >> DUVERGIER Claude >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ?
L’idéal, tu l’as compris, c’est de rien mettre dans le VLAN 1. A mon avis personnel, en fonction de ton contexte pro, c’est quand même un peu parano :) Passons ce détail, revenons à tes D-Link. Tu dis que sur tes DGS, tu n’as plus de menu L2 Features/VLAN/Management VLAN, pour choisir l’ID de ton VLAN de management ? Je viens de vérifier la doc et tu sembles avoir raison: ils ont viré ça pour mettre tout leur merdier de Surveillance VLAN. On sent le truc pour te vendre leurs solutions de caméras/NVR. Ben 2 solutions: 1/ tu vires les DLink (à mon avis, la meilleure option, plus le temps passe, plus ces constructeurs font n’importe quoi) 2/ tu laisses un seul port dans le VLAN 1 untag et AUCUN autre, et tu le connectes à ton LAN de management > Le 17 févr. 2020 à 19:30, DUVERGIER Claude a > écrit : > > Bonjour la liste, > > Je configure le réseau de nouveaux locaux et je voulais en profiter pour > faire un truc "propre" qui me trotte dans la tête depuis un moment : > > « Ne plus utiliser le VLAN de VID 1 pour le LAN. » > > J'ai l'impression que ce VLAN est censée être réservé à l'administration > du réseau et que faire que les postes du LAN ne soient pas dedans serait > une bonne chose. > En fait de manière plus générique : ne pas avoir les postes clients et > les interfaces d'administration des switchs dans le même VLAN (que ça > soit VID 1, VID 42 ou autre). > > Le site Ciscopress [1] conseille bien de changer le VID du management > VLAN pour autre chose que 1, mais seulement voilà : > > Mes switchs sont des D-Link DGS-1210 série F [1] pour lesquels je me > suis dit : tu vires tous les ports du VLAN de VID 1 comme ça tu es sûr > de ne pas t'en servir... Sauf que l'interface web GUI du D-Link ne > permet plus (visiblement on pouvait sur d'anciens modèles) de choisir le > VID du "Management VLAN" et que donc si je vide le VID 1 je me retrouve > interdit d'accès à la web GUI (logique). > > Est-ce que conserver le VID 1 pour le management VLAN (et mettre les > autres appareils sur d'autres VLAN) reste une bonne pratique ? > Ce qui me "dérange" c'est que, à l'achat, tout switch est en mode "tous > les ports dans VID 1 et management VLAN = VID 1" donc lors de la > première configuration les switchs neufs sont déjà dans le VLAN de > management... > > Avez-vous des conseils à me faire (autre que changer de matériel) pour > la bonne gestion du management VLAN ? > > Merci > > [1] : http://www.ciscopress.com/articles/article.asp?p=2181837=11 > [2] : > https://eu.dlink.com/uk/en/products/dgs-1210-series-gigabit-smart-plus-switches > > -- > DUVERGIER Claude > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
