Aller au contenu

VLAN et (un)tagged


Messages recommandés

Bonjour, je dispose d'un configuration réseau un peu particulière mais le souhait est que les invités n'ai accès qu'au vlan 5 et les salariés au Vlan 20.
Petit plus, il faut que le technicien sur place puisse voir les vlan 5 et 20 depuis son poste.

Je me suis dis ... fait un schéma, ce sera plus parlant ^^

Dans la version souhaitée du schéma, j'ai volontairement supprimer les données des liens car je pense qu'elle ne sont pas bonne .

 


Merci beaucoup pour votre aide.

Dessin4.png

Modifié par ViriisXP
Lien vers le commentaire
Partager sur d’autres sites

La norme pour ça c'est le 802.1X. Je crois qu'il faut un serveur d'authentification (radius, Active Directory) et des switchs compatibles.

  1. Tout ordinateur connecté est dans le VLAN invité, qui donne accès à l'authentification
  2. Si un utilisateur se logue avec un profil employé, Active directory/le radius le signale et l'utilisateur change de VLAN (une nouvelle adresse IP est envoyée, le port du switch est reconfiguré sur le VLAN)
  3. Un 3ème VLAN technicien avec des passerelles vers les 2 autres VLAN permettra d'accéder aux autres réseaux

Autre solution:

  • Faire un VPN, les accès au VLAN sécurisé passent par la passerelle qui fait office de portail VPN
Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, refuznik a dit :

Alors question bête comment s'authentifie les utilisateurs salariés et invités lorsqu'ils se connectent (est ce au niv. wifi ou au niv du switch) ? 

Les salariés simplement par l’accès au wifi sécurisé 

 

les invités via un portail captif (oui les salariés pourraient eux aussi du coup utilisé le portail d’invité mais c’est plus restraint donc bon).

Lien vers le commentaire
Partager sur d’autres sites

ne connaissant pas la 802.1X je ferais bien plus simple:

les TPLINK EAP245 diffuse 2 ssid 1 pour les employés et 1 pour les invités

sur celui des administratifs les employés se connectent au ssid_employé et auront une ip en 192.168.2.xxx et les invités se logguent sur le ssid_invité qui du coup donnent une ip en 192.168.5.xxx

ensuite les dglink envoie les ip en 2.xxx sur le vlan20 et les ip en 5.xxx sur le vlan5

si les vlan sont créés sur le routeur je ne vois pas à quoi sert le 1600G ni le vlan1 ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...