Accéder à plusieurs VLAN à partir d'un seul ordinateur

J'ai hérité d'un peu de désordre et je me prépare à refaire notre schéma d'adressage IP et également à diviser notre réseau en plusieurs VLAN.

Peut-être quelque chose comme:

10.1.10.0/24 VLAN 10 VOIP
10.1.20.0/24 VLAN 20 Users
10.1.30.0/24 Gestion du VLAN 30

Le schéma d'adresse n'est pas vraiment la question et ce qui précède n'est qu'un exemple.

Ce que je n'ai pas réussi à comprendre, c'est ceci:

Comment accéder à tous les VLAN depuis mon Macbook?

J'ai dû mettre le pied à terre avec cela, donc je n'ai pas encore eu le temps de suivre un cours approprié (je commencerai bientôt sur mon CCNA). Le problème de l'apprentissage par immersion totale est qu'il y a souvent des trous dans mes connaissances.

Je suppose qu'il y a 3 options:

Ajoutez plusieurs alias à la carte réseau de mon ordinateur portable et effectuez une jonction VLAN sur le port auquel la carte réseau est connectée. C'est encore assez flou pour moi.
Connectez-vous à un commutateur de couche 3 et routez entre les VLAN. Nos commutateurs sont tous de couche 2/3 (routes statiques de couche 3) mais je peux ajouter un commutateur de couche 3 complet si besoin est.
Connectez mon NIC portable à un routeur et route en fonction du sous-réseau. Quelque chose comme un Cisco 2811 ou 2821 avec une carte Ethernet multi-ports.

Cela dit, quelle est la bonne façon de procéder?

vlan layer3 netnewb
la source

Je ne peux pas imaginer autre chose que l'option 2 être une bonne idée.

Ryan Foley

@RyanFoley, il peut délibérément choisir de ne pas router entre les VLAN pour une raison ou une autre. Il pourrait encore avoir besoin de connecter son poste de travail à des fins de gestion à l'un d'eux.

syneticon-dj

@netnewb Je serais intéressé de voir un schéma de votre réseau (aseptisé, bien sûr). Il y a plusieurs façons de procéder sans rien savoir de votre réseau. Je suppose que c'est beaucoup plus simple que vous ne le pensez.

Ryan Foley

@RyanFoley J'ai ajouté quelques détails supplémentaires à la fin de la question.

netnewb

Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.

Ron Maupin

Réponses:

Ajouter plusieurs alias à la carte réseau de mon ordinateur portable et effectuer une jonction VLAN sur le port auquel la carte réseau est connectée

Vos mots clés ici sont "VLAN tagués". Vous pouvez configurer un port de commutateur en tant que membre balisé des trois VLAN et configurer des interfaces virtuelles à l'aide des identificateurs de balises VLAN dans votre instance Mac OS X , vous laissant essentiellement trois interfaces virtuelles dans trois réseaux virtuels.

Si vous avez toujours voulu l'intercommunication entre les trois réseaux, ce n'est pas ce que vous devez faire.

Connectez-vous à un commutateur de couche 3 et routez entre les VLAN.

Pour faire un choix, vous ne pourriez pas accéder aux "VLAN" dans ce cas. Vos paquets IP seraient acheminés vers les destinations dans ces VLAN (et étant donné que le routage est correctement configuré sur les récepteurs, leurs paquets de réponse seraient réacheminés), mais vous n'obtiendrez aucun du trafic non IP ou diffusé de ces réseaux tant que vous n'êtes pas directement membre.

C'est l'option préférable si vous envisagez d'interconnecter les réseaux de toute façon

Connectez mon NIC portable à un routeur et route en fonction du sous-réseau.

Ce n'est pas vraiment différent de votre option précédente, à part le fait que vous n'utilisez pas d'interfaces virtuelles configurées pour une appartenance à un VLAN (c'est en fait ce qu'est un commutateur L3), mais des interfaces physiques liant les ports Ethernet physiques. Si vous pouvez éviter cela, veuillez le faire.

quelle est la bonne façon de procéder?

Il n'y a aucun moyen approprié. Vous faites ce que vous devez faire.

Si vous séparez les réseaux afin de les séparer et d'empêcher complètement les communications inter-réseaux, vous ne devez pas les interconnecter par un routeur à l'étape suivante.
Si vous ne faites cela que pour diviser vos domaines de diffusion en petits morceaux ou pour pouvoir contrôler le type de trafic qu'ils échangent (segmentation), choisissez un routeur (ou commutateur L3) capable de définir des filtres IP (généralement appelés ACL dans la mise en œuvre de Cisco) selon vos besoins.
Si votre ordinateur portable a besoin de trafic diffusé ou non IP à partir de ces réseaux, vous devrez le connecter à un port configuré en tant que membre (balisé ou non balisé) car le routeur ne transmettra pas ce type de trafic à un autre réseau.

Choisissez votre poison.

syneticon-dj
la source

Réponse obligatoire pour un poste de travail Windows

(Je n'ai jamais vu une telle configuration sur un Mac, mais cela pourrait aider à savoir ce qui fonctionne sur Windows.)

Je suppose que vous avez besoin d'accéder à chacun des VLAN pour effectuer des tâches d'administration réseau sur ces VLAN.

Carte réseau et pilote avec prise en charge VLAN

J'ai réussi à utiliser des adaptateurs mobiles Intel qui prennent en charge les VLAN sur les systèmes d'exploitation de bureau Windows. Dans ce cas, le pilote Intel ajoute un VLANsonglet spécial à la boîte de dialogue des propriétés.

Dans cette boîte de dialogue, vous pouvez créer différentes cartes réseau virtuelles pour chaque VLAN, que vous pouvez activer et désactiver pour basculer entre les VLAN.

Les VM sont votre ami

J'ai trouvé que la commutation entre les VLAN sur un seul système d'exploitation était plutôt lourde pour tout, sauf pour les tâches d'administration les plus élémentaires. Inévitablement, vous vous retrouverez dans une tâche de dépannage où vous aurez besoin de connexions positives simultanées à plusieurs VLAN. Le défi en faisant cela sur un seul système d'exploitation est que vous vous retrouverez avec plusieurs chemins possibles pour vos paquets - un pour chaque VLAN. En général, contrôler à quelle carte réseau (et donc VLAN) une application sur un seul OS envoie ses paquets est difficile, voire impossible à contrôler. D'un autre côté, si vous avez plusieurs machines virtuelles, vous pouvez activer exactement une carte réseau correspondant au VLAN auquel vous souhaitez vous connecter. Ensuite, vous avez la certitude sur quel VLAN tout sur cette machine virtuelle entière utilise.

J'ai fait un dépannage réseau assez élaboré à partir d'une seule vitre de cette façon. En fait, ce lien est également un excellent exemple de l'incertitude de la carte réseau sur laquelle une application (dans ce cas, Chrome) a fini par envoyer ses paquets. Sans VM, vous limiterez considérablement votre capacité de dépannage.

alx9r
la source

Alors que le multihébergement en général et les interfaces VLAN en particulier ont été intrinsèquement gênants sur les hôtes Windows dans le passé (au moins avant Windows 8 / Server 2012), de nombreux autres systèmes d'exploitation offrent des moyens assez sophistiqués de gérer le routage, même multichemin et asymétrique, en raison de leur histoire et leurs origines.

syneticon-dj

J'aimerais pouvoir simplement ajouter un commentaire au lieu de proposer cela comme réponse, mais je n'ai pas encore cette capacité.

Je vous suggérerai que si aucun problème de pare-feu ou de liste de contrôle d'accès ne vous empêche d'accéder à un VLAN à partir d'un autre, et qu'il existe des routes dans vos commutateurs de couche 3 pour que cela se produise, alors tout ce que vous avez à faire est de les supprimer. VLAN jusqu'à votre station Ethernet que votre MacBook utilise. Si vous vous connectez via 802.11, assurez-vous simplement que les mêmes restrictions que celles mentionnées précédemment ne sont pas en place. Je ne vois aucune raison pour laquelle vous auriez besoin de vous abonner à plusieurs adresses IP sur votre macbook pour que cela se produise.

En fait, la situation que je décris ci-dessus est exactement ce que je fais depuis le PC sur lequel je tape ceci.

Je souhaite que ce ne soit qu'un commentaire, mais j'espère que cela aide.

Cordialement

skrap3e
la source