Problème de configuration Private VLAN sur un switch Cisco pour isoler des sous-réseaux

[batoudu73]

Bonjour à tous,

Je suis en train de configurer un switch Cisco pour isoler plusieurs sous-réseaux en utilisant des Private VLANs. L’idée est d’empêcher la communication directe entre certains hôtes, sauf via un routeur ou un firewall. J'ai réussi à mettre en place une partie de la configuration, mais je rencontre encore un souci. Certains hôtes peuvent communiquer entre eux alors qu'ils ne devraient pas.

J'utilise un switch Cisco modèle XYZ, et j’ai créé un VLAN principal avec plusieurs sous-VLANs. J’ai également configuré les ports en fonction des besoins, certains en mode 'Promiscuous' et d’autres en 'Isolated'. Cependant, lors de mes tests, les résultats ne correspondent pas à ce que j'attendais.
Pour ceux que ça intéresse, j’ai aussi écrit un article qui détaille cette configuration sur mon blog. Vous pouvez le consulter ici : Article sur la configuration des Private VLANs

Est-ce que quelqu'un aurait déjà fait face à ce type de problème ? J’ai consulté plusieurs ressources en ligne, mais les explications ne sont pas toujours très claires pour mon cas précis.

Merci pour vos conseils et votre aide !


Ce message a été modifié par batoudu73 - 24 Sep 2024, 20:11.

[Polo35230]

Salut,

Il faudrait en savoir d'avantage sur l'architecture réseau de ton LAN.

Une explication possible pourrait être celle-ci:

Les machines connectées sur un même VLAN isolé peuvent causer entre elles et pas avec les machines connectées sur un autre VLAN isolé.
Mais une machine sur un VLAN isolé peut causer avec une machine connectée sur un port Promiscous
Dans ce cas, le port promiscous du switch se fiche complètement du tag vlan dans la trame ethernet, tout se joue alors au niveau 3 donc au niveau adresse IP.
Si les 2 machines se trouvent dans le même plan IP, elles pourront se causer.

Ce message a été modifié par Polo35230 - 19 Sep 2024, 10:21.

[batoudu73]

Merci pour ta réponse. Effectivement, cela pourrait être lié à la gestion des adresses IP au niveau 3. Je vais creuser cette piste, car j'ai configuré le port promiscuous pour permettre la communication avec certaines machines spécifiques, mais j'avais l'impression que cela bloquerait toute autre communication entre hôtes isolés.

Pour clarifier l'architecture réseau, j'ai plusieurs VLANs configurés, certains sont complètement isolés, et d'autres sont liés au port promiscuous pour permettre l'accès à des ressources partagées, comme un serveur DHCP. Le souci semble venir quand des hôtes dans des VLANs isolés tentent de se communiquer alors qu'ils ne devraient pas pouvoir le faire.

Je vais également vérifier la segmentation IP et l’architecture du plan d’adressage pour voir si cela peut influencer la situation. Si tu as des conseils supplémentaires sur la manière d’organiser les plans IP dans ce type de configuration, je suis preneur.

[Polo35230]

Un VLAN est un domaine de broadcast, les VLANs isolés sont donc bien isolés entre eux (mais tous, au niveau 2 ont accès aux machines qui sont sur des ports promiscuous) SAUF si dans le réseau il y a du routage inter-VLANs de configuré au niveau 2 ou au niveau 3.
Le switch Cisco est un switch N3 ? Je n'ai pas trouvé la référence XYZ. C'est un catalyst?

Pour clarifier l'architecture réseau, j'ai plusieurs VLANs configurés, certains sont complètement isolés, et d'autres sont liés au port promiscuous pour permettre l'accès à des ressources partagées, comme un serveur DHCP. Le souci semble venir quand des hôtes dans des VLANs isolés tentent de se communiquer alors qu'ils ne devraient pas pouvoir le faire.

Quand tu dis que que des machines dans des VLANS isolés "tentent de communiquer" entre elles, qu'est ce qui te fais dire ça?
Fais un ping (dans les 2 sens) pour vérifier si elles peuvent communiquer ou pas. Dans les 2 sens, parce que, suivant les masques, même si elles sont dans un même plan IP, ça peut marcher dans un sens, et pas dans l'autre.

Autrement, je pense que quand on a un LAN comme le tien qui semble conséquent et complexe (VLANs, plusieurs plans IP, Firewall, du routage IP peut-être), il faudrait (mais tu l'as sans doute fait) faire un schéma détaillé de celui-ci:
-Matériels, type de ports (isolés, promiscuous, trunks si tu en as entre le switch )
-Vlans, adresses IP avec masques
-Tables de routage (niveau 2 et niveau 3, si tu fais du routage inter-vlans)
Puis, vériier si tout fonctionne comme tu veux sur le papier. Ensuite, c'est que de la conf. Mais c'est vrai que c'est pas le plus simple...

Toutes les machines concernées par les VLANs sont bien en filaire ? Parce que, bien sûr, si certaines sont en filaire et en wifi, elles peuvent échapper aux VLANs.

[batoudu73]

Merci pour ta réponse détaillée ! Effectivement, c'est un switch N3, je me suis mal exprimé en donnant la référence XYZ, c'est un Cisco Catalyst. Je vais suivre ton conseil et revoir le routage inter-VLANs, car c’est une piste qui semble pertinente. Je vais aussi refaire des tests de ping, car je n’avais pas pensé à vérifier dans les deux sens avec les masques. Je pensais que si ça marchait dans un sens, ce serait suffisant pour conclure.

Concernant le schéma, j’en ai déjà un assez détaillé, mais tu as raison, il serait bon de le revoir pour être sûr que je n’ai rien manqué. J’ai des trunks entre les switches, et je vais m’assurer que la config correspond bien à ce que j’attends.

En ce qui concerne le LAN, toutes les machines sont bien en filaire, pas de Wi-Fi pour ces VLANs-là, donc je devrais pouvoir isoler le problème du côté des VLANs eux-mêmes. Je vais continuer mes vérifications.
Encore merci pour ton aide, je vous tiens au courant après les tests supplémentaires !