J'ai essayé d'etre le PLUS clair possible, j'espere que toutes ces explications ne démotiveront pas certains.
Mon switch supporte les VLANs.
[u][b]SWITCH :[/b][/u]
port 1 = firewall
Port 1 compris au port 10 = VLAN 1
port 1 compris + port 10 à 16 = VLAN 2
donc le firewall est compris dans les deux VLANs
Au niveau du switch voici la [b]configuration de mon port 1[/b] = firewall Mandriva :
Port : 1
Filter Tagged Frames : No
Filter UnTagged Frames : No
Filter Unregisterer Frames: No
Port name : Port 1
PVID : 1
Port priority : 0
Tagging :: tag All
AutoPVID <all ports> : Disabled
[b]
Définition des VLANs au niveau de la carte réseau :[/b]
# activation de ma carte réseau
ifconfig eth1 up
# association des vlans aux interfaces physiques
vconfig add eth1 1
vconfig add eth1 2
# activation des interfaces virtuelles
ifconfig eth1.1 up
ifconfig eth1.2 up
[b]QUESTIONS :[/b][u]Texte à souligner[/u]
1) J'ai lu qu'il fallait rajouter "VLAN=yes" dans /etc/sysconfig/network (poour mandriva). Est-ce vrai ? j'ai testé mais les vlans ne communiquent tjrs pas avec le firewall.
2)faut il (obligation?) attribuer une adresse IP aux interfaces virtuelles ?
ifconfig eth1.1 192.168.0.1 netmask 255.255.255.0 ???
si oui, quelle IP faut-il mettre (quel réseau),(réseau du VLAN? réseau de la carte eth1 ? )
3)Faut il mettre le firewall dans un VLAN ? ce qui en ferai un 3eme...
[i]Je ne pense pas...(mettre son port dans chaque VLAn suffit, non...)[/i]
4) faut il router obligatoirement pour que ça marche ?
Dans un des forums jai vu une commande de ce genre, elle ne passe pas sous mandriva, surement imcomplete... :
route add-net 192.168.0.1 netmask 255.255.255.0 dev eth1.1
5) faut il declarer quelque chose pour ma carte eth0 du firewall qui permet de sortir vers l'internet ?
Les 2 VLANs ne ping pas le firewall donc Voila toutes les questions que je me pose,
merci a tous ;)
Forum Linux.mandriva vconfig VLAN réseau virtuel
27
jan.
2006
# Pistes
Posté par Hobgoblins Master (Mastodon) . Évalué à 1.
Si tel est le cas, pour que ça marche, tu dois de toute façon assigner une IP sur chaque interface utilisée (eth1.1 et eth1.2) ça doit pouvoir être la même sur les deux interfaces.
Là, tes machines quelque soit leur vlan doivent pouvoir pinguer ton FW si elles sont dans la même plage IP. Deux machines du même VLAN doivent se voir, mais une machine sur un VLAN ne peut voir ni celles des autres vlan, ni l'extérieur (eth0 du FW).
Ensuite, pour que tout ce petit monde puisse communiquer, ça se joue au niveau de ton FW, avec iptable... et notamment les chaînes FORWARD et MASQ (de mémoire, je crois que je n'ai jamais écrit une règle iptables à la main).
# oula c'est compliqué ...
Posté par Laurent Mutricy . Évalué à 2.
Vlan 1-----------, '-----eth1.1(pas d'ip)--, Firewall | br0 (192.168.0.254) ---- eth0 (ip publique) ----- net ,------eth1.2(pas d'ip)--' Vlan 2----------'tu definies tes deux interface qui flaguent les vlan, entre ces deux interface tu montes un bridge (br0) auquel tu assigne une ip. tu peux alors filtrer le forward sur br0 pour controler le traffique vlan1 <-> vlan2 et mettre un place un routage entre br0 et eth0 avec nat pour faire sortir sur l'exterieur 2eme solution les deux vlans sont sur des sous reseaus différentsVlan 1 192.168.0.0/24--, Firewall '---eth1.1 192.168.0.254--, | ---- eth0 (ip publique) ----- net ,---eth1.2 192.168.1.254--' Vlan 2 192.168.1.0/24--'vlan1 sous reseau 192.168.0.0/24 passerelle 192.168.0.254, vlan2 la meme chose avec 1 donc ton firewall dispose de 3 interfaces, il faut mettre en place un Nat pour sortir vers le net et filtrer comme tu veux en IN et OUT sur tes deux interfaces eth1.X pour controler ce qui se passe entre tes vlans voila j'espère que ça réponds à tes questions :þSuivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.