A mon avis, tu dédies un switch (il peut probablement être non-manageable) au management, tu le connectes à une interface de ton routeur (une interface LAN à part, pas bridgée avec le LAN normal), tu configures ton subnet de management sur cette interface, et tu branches tous tes équipements à manager sur ce switch. Dans le cas du D-Link, tu dédies un port quelconque qui devra être dans le VLAN 1 untag, avec tous les autres ports «Not a member » du VLAN 1. Tu te fais un port de management dédié sur un équipement qui n’en a pas.
> Le 17 févr. 2020 à 21:53, DUVERGIER Claude <frnog...@claude.duvergier.fr> a > écrit : > > Je me rends compte qu'il manque un paragraphe : > > OK, je mets le LAN des postes clients dans un VLAN dédié (eg. VID 42) et > que pour administer les switchs il faille être dans le VLAN dédié (eg. > VID 1 pour simplifier). Dans quel VLAN dois-je mettre le port de mon > ordinateur, moi, le type qui va administer les switchs et vouloir surfer > sur Internet ? > > Dans les 2 en non-taggés, avec un PVID par défaut sur VID 1 ? > Dans les 2 : en non taggé sur VID 42 et en taggé sur VID 1, avec une > configuration d'OS pour pouvoir émettre du trafic taggé vers VID 1 ? Ça > me parait lourd et peu commode. > > -- > Duvergier Claude > > Le 17/02/2020 à 21:41, David Ponzone a écrit : >> L’idéal, tu l’as compris, c’est de rien mettre dans le VLAN 1. >> A mon avis personnel, en fonction de ton contexte pro, c’est quand même un >> peu parano :) >> >> Passons ce détail, revenons à tes D-Link. >> Tu dis que sur tes DGS, tu n’as plus de menu L2 Features/VLAN/Management >> VLAN, pour choisir l’ID de ton VLAN de management ? >> Je viens de vérifier la doc et tu sembles avoir raison: ils ont viré ça pour >> mettre tout leur merdier de Surveillance VLAN. >> On sent le truc pour te vendre leurs solutions de caméras/NVR. >> >> Ben 2 solutions: >> 1/ tu vires les DLink (à mon avis, la meilleure option, plus le temps passe, >> plus ces constructeurs font n’importe quoi) >> 2/ tu laisses un seul port dans le VLAN 1 untag et AUCUN autre, et tu le >> connectes à ton LAN de management >> >>> Le 17 févr. 2020 à 19:30, DUVERGIER Claude <frnog...@claude.duvergier.fr> a >>> écrit : >>> >>> Bonjour la liste, >>> >>> Je configure le réseau de nouveaux locaux et je voulais en profiter pour >>> faire un truc "propre" qui me trotte dans la tête depuis un moment : >>> >>> « Ne plus utiliser le VLAN de VID 1 pour le LAN. » >>> >>> J'ai l'impression que ce VLAN est censée être réservé à l'administration >>> du réseau et que faire que les postes du LAN ne soient pas dedans serait >>> une bonne chose. >>> En fait de manière plus générique : ne pas avoir les postes clients et >>> les interfaces d'administration des switchs dans le même VLAN (que ça >>> soit VID 1, VID 42 ou autre). >>> >>> Le site Ciscopress [1] conseille bien de changer le VID du management >>> VLAN pour autre chose que 1, mais seulement voilà : >>> >>> Mes switchs sont des D-Link DGS-1210 série F [1] pour lesquels je me >>> suis dit : tu vires tous les ports du VLAN de VID 1 comme ça tu es sûr >>> de ne pas t'en servir... Sauf que l'interface web GUI du D-Link ne >>> permet plus (visiblement on pouvait sur d'anciens modèles) de choisir le >>> VID du "Management VLAN" et que donc si je vide le VID 1 je me retrouve >>> interdit d'accès à la web GUI (logique). >>> >>> Est-ce que conserver le VID 1 pour le management VLAN (et mettre les >>> autres appareils sur d'autres VLAN) reste une bonne pratique ? >>> Ce qui me "dérange" c'est que, à l'achat, tout switch est en mode "tous >>> les ports dans VID 1 et management VLAN = VID 1" donc lors de la >>> première configuration les switchs neufs sont déjà dans le VLAN de >>> management... >>> >>> Avez-vous des conseils à me faire (autre que changer de matériel) pour >>> la bonne gestion du management VLAN ? >>> >>> Merci >>> >>> [1] : http://www.ciscopress.com/articles/article.asp?p=2181837&seqNum=11 >>> [2] : >>> https://eu.dlink.com/uk/en/products/dgs-1210-series-gigabit-smart-plus-switches >>> >>> -- >>> DUVERGIER Claude >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
