[EMAIL PROTECTED] a �crit :
Patrice OLIVER a �crit :
Exactement.Ben oui. Puisque les stations partage alors le m�me r�seau physique. Rien n'emp�cherait un "petit malin" du sous-r�seau 192.168.0.0 de se faire passer pour membre de 192.168.2.0 par exemple.
<aol>Pareil</aol>
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 �tages, et ils doivent �tre stack�s pour r�percuter la configuration des VLAN, ce qui est impossible vu la configuration g�ographique de ces switchs. :-(Tu es sur de cela ? cela va � l'encontre m�me du principe de base des vlans qui est de cr�er des r�seaux logiques en s'affranchissant (du moins partiellement) des contraintes g�ographiques.
Chuis d'accord. R�seaux "logiques" de niveau 2.
L� o� je ne suis pas d'accord, c'est que les vlans, c'est fait pour �tre transport�, quelle que soit la localisation g�ographique des switchs. Pas besoins pour cel� de les stacker. Il suffit de tagger les liens inter-switchs avec tous les vlans � transporter. Dans mon entreprise, je transporte les vlans sur 12 locaux techniques, 17 �quipements, 5 �tages et plusieurs b�timents sans stacker. Que l'on soit bien clairs, il n'est pas n�cessaire de disposer de switchs niveau 3 pour faire cel�. Je dispose de switchs HP procurve 2512, 2524, 4104, 4108 et cel� fonctionne.
Je penses que l�, il y a deux �coles. L'avantage de disposer de cartes r�seau qui permettent de taggage des vlans, c'est des pouvoir acc�der � plusieurs vlans, et de pouvoir utiliser GVRP, qui permet notament l'attribution dynamique d'un port dans un ou plusieurs vlans. Les postes qui disposent d'une carte qui ne permet l'utilisation que d'un seul vlan ne peuvent pas faire cel�. Donc, pour moi, cel� ne sert � rien.
Pour cel�, il faut que les cartes r�seau de tes stations puissent �tre compatibles 802.1Q, et marquer les VLANs,
Surtout pas !
Si ce sont les stations elles-m�mes qui taggent leurs trames, alors on en revient � la situation de d�part avec les sous-r�seaux IP : elles peuvent se d�clarer dans le VLAN de leur choix.
Ensuite, en tant que responsable r�seau, j'estime que ce n'est pas � l'utilisateur de configurer sa carte r�seau. Ce n'est pas son m�tier, et bien souvent pas au coeur de ses pr�occupations. Tout ce qu'il veut, c'est utiliser son outil informatique et que cel� fonctionne. De plus, sur une station windows 2000, Windows XP Pro, il faut �tre administrateur de sa macine pour modifier cel�, ce que ne sont pas les utilisateurs.
J"irai m�me plus loin : un d�veloppeur n'est pas administrateur de sa station. Il n'est ni responsable syst�me, ni responsable s�curit�.
Pour terminer, si toutefois l'utilisateur h�rite des droits administrateur qui lui permettent de modifier ses propri�t�s r�seau, il faut qu'il soit au courant des num�ros de vlans et des sous-adressage r�seau.
Certes, pour y parvenir, il y a la technique du social engineering. Mais pour parrer cel�, il faut plut�t sensibiliser les utilisateurs que de s'en remettre � de seules solutions techniques et technologiques.
;)
il faut aussi que la carte r�seau de ton PF puisse le faire, autrement ...
En effet. Avec le module 8021q du noyau et l'outil vconfig, �a marche bien m�me avec des cartes classiques. Il faut d�finir une interface VLAN pour chaque sous-r�seau, et limiter le routage entre elles. Pour certaines cartes qui ne supportent pas les trames de plus de 1518 octets, il est n�cessaire de r�duire la MTU � 1496.
Exactement.
Sauf si une station, come je l'ai dit plus haut, doit appartenir � plus de deux VLANs. Si une station doit appartenir � deux vlans, et que la carte de celle ci peut parquer un vlan, on peut encore s'en sortir.
Les trames VLAN tagg�es ne doivent circuler qu'entre les switches et la passerelle Linux. La configuration des switches doit d�finir quel port non taggu� est dans quel VLAN. Pour les stations, c'est transparent, elles ne voient que des trames normales.
Dans mon cas, il y a des stations qui utilisent 3 vlans, et l� il faut disposer des cartes qui le permettent.
;)
Bon week-end, Patrice.
-- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
