Comment créer un VLAN "Internet-only" sur un routeur ?

Comment créer un VLAN "Internet-only" sur un routeur ?

Les VLAN (Virtual Local Area Networks) ou réseaux locaux virtuels permettent aux commutateurs de réseau de séparer le trafic en se basant sur un identifiant logique, connu comme un ID de VLAN. Lorsqu'il est utilisé en conjonction avec un routeur qui supporte des sous-interfaces, un VLAN peut être créé pour permettre aux utilisateurs d'accéder seulement à Internet et à aucune autre ressource sur le réseau. Le routeur peut être configuré pour différencier les périphériques connectés seulement sur Internet et d'autres données qui arrivent sur les mêmes connexions physiques, en utilisant les listes d'accès et les tables de routage pour empêcher les premiers de communiquer avec les derniers.

Quelles sont les fournitures nécessaires ?

  • Ordinateurs
  • Routeur qui prend en charge IEEE 802.1Q ou l'encapsulation ISL VLAN
  • PC capable de se connecter au routeur
  • Câble de console (si une configuration Web ou Telnet n'est pas disponible)

Étapes de réalisation

1.

Planifiez d'abord votre réseau. Vous aurez besoin de deux espaces d'adresse IP séparés et non-superposés pour chaque réseau. L'espace d'adresse privé le plus courant est 192.168.yx, avec un subnet mask de 255.255.255.0 (où "Y" est un nombre statique de 1 à 254 et X est le numéro qui sera attribué à chaque hôte individuel).

2.

Connectez-vous ensuite à votre routeur. Sur un routeur Cisco, cela impliquerait un session telnet à son adresse IP administrative ou une connexion directe entre le port série de votre PC et le port console du routeur. D'autres routeurs grand public pourraient utiliser une interface Web à laquelle vous pouvez accéder en tapant l'adresse IP administrative dans un navigateur Web. Vérifiez avec le fabricant pour obtenir des instructions spécifiques sur l'accès à leur interface de configuration.

3.

Configurez les sous-interfaces virtuelles sur le port physique qui est connecté entre le commutateur et le routeur. Sur un routeur Cisco, vous allez faire cela en entrant dans le mode de configuration de l'interface (par exemple: "int ethernet0"), puis en entrant dans la sous-interface en tapant ". Int[nom de l'interface][numéro de l'interface].[vlan id]" (par exemple "int e0.1").

4.

Activez ensuite DOT1Q ou l'encapsulation ISL VLAN sur toutes les sous-interfaces, donnant à chacune un numéro distinct d'identification VLAN (un nombre entre 1 et 4094). Sur les routeurs Cisco, cette commande est émise dans le mode de configuration de la sous-interface et est au format "encapsulation [DOT1Q ou ISL][VLAN ID]" (par exemple: "encapsulation 10 dot1q" pour vlan "10"). Exécutez cette commande séparément pour chaque sous-interface.

5.

Attribuez ensuite à toutes les sous-interfaces une adresse de passerelle au sein de leur réseau respectif. L'adresse IP de la passerelle est généralement le premier ou le dernier numéro d'hôte du réseau (par exemple: réseau 192.168.2.x aurait une interface de 192.168.2.1 ou 192.168.2.254). Sur un routeur Cisco, cette commande serait (en mode de configuration de sous-interface) "IP address [adresse] [subnet mask]" (par exemple: IP address 192.168.2.1 255.255.255.0).

6.

Configurez ensuite les tables de routage pour chaque réseau VLAN. Veillez à ce que le VLAN ait une route par défaut (0.0.0.0) qui pointe vers le port connecté à Internet dans le routeur. Dans un routeur Cisco, vous tapez cette commande en mode de configuration globale en tapant "ip route 0.0.0.0 0.0.0.0 [interface ou adresse IP du prochain 'hop']"

7.

Créez ensuite une liste de contrôle d'accès (ACL) qui empêche à tout membre du réseau Internet unique d'accéder à d'autres réseaux. Les listes de contrôle d'accès peuvent être difficiles à mettre en place, mais la commande individuelle dans les routeurs Cisco cherche "access-list [Numéro ACL] deny [Adresse réseau Internet-only] [Masque générique Internet-only] [autre adresse réseau] [autre masque générique de réseau] (par exemple: access-list 10 deny 92.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255)".

8.

Appliquez finalement la liste d'accès à la sous-interface Internet-only. Dans les routeurs Cisco, vous pouvez le faire en allant dans le mode de configuration de l'interface et en tapant la commande "access-group [numéro/nom ACL] [in/out]."

Astuces et mises en garde

Astuce(s) :

Avec tous les différents numéros de VLAN, il peut être intéressant de développer un système de cohérence. Pensez à faire correspondre le numéro de réseau et l'ID du VLAN, en liant VLAN 2, par exemple, au réseau 192.168.*2*.0. De cette façon, vous savez que les hôtes avec une adresse 192.168.2.x sont membres du VLAN 2.

Mise(s) en garde :

Assurez-vous que le port connectant le commutateur au routeur soit défini comme un tronc VLAN. Si le port du commutateur n'est pas un tronc, il ne fera suivre aucune donnée des réseaux locaux virtuels en dehors de celui qui lui est attribué.

Sur le même thème

Emilian Tahindro

Comment surfer rapidement sur un mobile ?

L'internet 3G est notamment plus rapide que le 2G. Malheureusement, la plupart des anciens modèles téléphoniques sous Javascript n'en sont pas dotés ; mais on peut néanmoins avoir un aperçu de cette 3G, en ayant recours à certaines applications Jav

Emilian Tahindro

Comment envoyer un SMS depuis un numéro qui n'est pas le sien ?

Saviez-vous qu'il était possible d'envoyer un SMS à quelqu'un, en utilisant le numéro d'une autre personne ? Voici comment procéder.

jerome8

Comment sortir de la Facebook addiction ?

19h30 : vous venez de rentrer chez vous après une longue et harassante journée de travail. Quel bonheur !!! A peine la porte fermée, vous vous installez dans votre canapé pour regarder la télé quand une question vous turlupine soudainement l'esprit.

Chercher un article sur Comment fait-on