Imaginez un petit réseau avec un commutateur (ou hub) et, disons, 10 utilisateurs.
Est-il possible que 5 d'entre eux soient dans le réseau 192.168.1.0/24 ? et que les 5 autres soient dans le réseau 192.168.2.0/24 ?
Y aurait-il des conflits, des problèmes ?
Un réseau physique signifie-t-il nécessairement un sous-réseau ?
Vous pouvez séparer un réseau physique/domaine de diffusion en plusieurs sous-réseaux/domaines de diffusion à l'aide de commutateurs compatibles VLAN (pas de concentrateurs).
Réseau local virtuel est une technologie de couche 2 qui est supportée par IEEE 802.1Q . Il ajoute une balise dans la trame Ethernet qui définit l'ID du VLAN du paquet. Vous aurez besoin d'une sorte de commutateur/routeur de couche 3 pour que les VLAN puissent communiquer entre eux.
Une conception commune de réseau pour les VLANs est appelée routeur sur bâton .
L'interface du routeur à laquelle le commutateur est connecté via trunking peut être divisée en plusieurs sous-interfaces, chaque sous-interface servant de passerelle par défaut d'un VLAN. Le routeur traite alors chaque sous-interface comme une interface individuelle à des fins de routage et de contrôle d'accès.
Par exemple, si vous avez les VLAN 2, 3 et 4, l'interface du routeur peut être configurée pour avoir des interfaces fa0/0.2 , fa0/0.3 , fa0/0.4 .
Vous pouvez partager le même commutateur ou concentrateur entre deux réseaux "logiques" distincts. L'un utilisera 192.168.1.0/24 et l'autre 192.168.2.0/24. Il y a quelques réserves possibles :
Vous devrez utiliser des adresses IP statiques ou une configuration DHCP complexe, car vous ne pouvez pas avoir deux serveurs DHCP sur un même réseau.
Si vous aviez, disons, plus de 100 ordinateurs, et non 10, il serait préférable de séparer ces réseaux physiquement ou via des VLAN. Mais avec seulement 10, les diffusions ne poseront aucun problème.
Vous aurez besoin d'un routeur pour acheminer les données entre ces deux réseaux, puisqu'ils sont logiquement séparés (l'ordinateur d'un réseau ne saura pas comment parler/trouver l'autre malgré le fait qu'ils soient sur le même réseau physique).
Le même réseau physique signifie qu'il n'y a pas de séparation physique entre les deux réseaux. Par conséquent, si la sécurité vous préoccupe, vous devrez utiliser un commutateur compatible VLAN (coûteux) ou séparer les deux réseaux sur deux réseaux physiques différents.
Dans le passé, j'ai utilisé plusieurs segments IP sur un seul réseau physique ou segment VLAN lorsque je voulais être en mesure de tester la réponse du serveur aux défaillances du réseau local en injectant une panne sans perdre la possibilité de collecter des données à partir des machines testées.
Vous devez être quelque peu prudent dans la configuration du routeur que vous utiliserez pour connecter les segments IP ; si vous autorisez le routeur à envoyer des paquets de redirection ICMP, les machines se rendront progressivement compte qu'elles sont en fait sur le même réseau physique et cesseront de se parler à travers le routeur, ce qui ruine assez rapidement une simulation WAN.
Il est également inutile de séparer les segments IP pour des raisons de sécurité. Les paquets visibles sur le réseau local seront visibles par tous les récepteurs du réseau local, qu'ils se trouvent ou non sur le même segment IP. Pour assurer une visibilité séparée, vous devez configurer un VLAN en utilisant un routeur approprié. Bien sûr, les routeurs intelligents n'envoient normalement pas les paquets qui n'ont pas de trames ethernet de diffusion vers un port autre que celui qui contient l'adresse ethernet de destination, mais vous ne pouvez pas vraiment compter sur cela pour la sécurité puisque n'importe quel client peut injecter des trames ethernet qui vont confondre le routeur en lui faisant transférer des paquets destinés à une autre machine.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
