Je vous expose mon problème… :
J’ai créé un serveur DHCP sur Windows Serveur 2008 (jusqu’ici tout va bien), j’ai branché les composants de cette manière :
-Serveur dhcp relié VERS Switch principal
-Switch principal VERS second switch
-Postes clients VERS Switchs (l’un ou l’autre)
Le serveur DHCP (adresse IP fixe) fait son boulot et attribut des adresses IP automatiques aux postes clients se connectant sur le switch.
Jusqu’ici rien d’anormal.
Le problème concret est le suivant : un camarade à configuré les switchs avec des Vlans … donc tels ports appartiennent à tels Vlans.
J’ai préalablement configuré les étendues du serveur DHCP en fonction de ses Vlans.
Le souci c’est que je ne peux pas pinger des postes en dehors du Vlan dans lequel se trouve le serveur DHCP.
Admettons que mon serveur soit dans le vlan 10, un poste étant lui-même dans ce Vlan pourra être pinger et aura une adresse ip attribuée par le serveur.
Mais si un poste est dans le Vlan 20, il ne possédera qu’une adresse ip (correspondante à l’étendue réservée au Vlan) mais ne pourra être pingé…
Est-il normal de ne pas pouvoir pinger un poste ayant une adresse attribuée par le serveur DHCP ?
Le serveur DHCP attribue une adresse, même si elle est bidon, il va quand même l’attribuer, comme dit au dessus par koala06 le principe des VLAN est d’isoler les réseaux.
Si tu veux pouvoir pinger tes machines depuis le serveur, il faut lui attribuer un masque de sous réseau lui permettant de les voir.
Il a dit que les clients arrivaient bien à obtenir les IP. Donc c’est probablement pas un problème de configuration: le problème c’est que par défaut, quand on active le routage inter-vlan, tout les vlans peuvent communiquer entre eux.
Donc son collègue à très probablement décidé de mettre en place des ACL qui n’autorisent que le DHCP/Relai DHCP entre le serveur DHCP et les membres des autres vlan. Si il n’a pas crée de règle autorisant l’icmp, alors le switch L3 (ou le routeur externe si vous êtes trop pauvres :icon_biggrin: ) va juste appliquer la règle implicite deny any any qui bloque tout ce qui n’est pas explicitement autorisé.
Il faudrait lui demander lui pour vérifier.
Éventuellement, il n’est pas impossible que ton collègue n’utilise pas du routage inter-vlan dans ce cas de figure mais utilise plutôt la technique de la machine membre de plusieurs VLAN simultanément. Dans ce cas là, ton serveur DHCP devrait être dans plusieurs VLAN à la fois, le port lié au DHCP serait alors un port trunk. Dans ce cas là, ton windows server DOIT supporter le marquage 802.1Q, sinon ça ne marche pas. Si il y a plusieurs sous-réseaux IP, dans ce cas là le serveur devra avoir plusieurs interfaces virtuelles, une par VLAN.
Mais je ne pense vraiment pas que ça soit la cause, vu que tu dis que tes stations obtiennent bien une IP. Si tes stations obtiennes bien une IP, c’est quelles ont bien reçu le message DHCP Offer du serveur, donc la communication entre vlan se fait comme il faut. Avec le problème de dessus ça ne pourrait pas arriver.
Je suis un peu près sûr que tout fonctionne en fait très bien mais que c’est juste ton collègue qui à mis des ACL pour autoriser uniquement le traffic inter-vlan vraiment nécessaire. C’est très probable, surtout qu’utiliser du routage inter-vlan sans ACL n’a pas vraiment de sens selon moi.
Pas nécessairement. Avec la méthode où le serveur est membre de tout les VLAN et donc possède une carte réseau 802.1Q oui, mais avec du routage inter-vlan et du relais DHCP activé, le serveur devrait pouvoir pinger les machines même en ayant un masque différent, pour peu que les ACL l’autorisent.
Edité le 13/12/2012 à 23:10