Résolu : Re: Packet tracer / HRSP - STP - VPN IP SEC (SITE2SITE)

LarryPHP17 · ‎12-03-2024

Je m'explique, je dois faire un réseau avec des Vlan, du routage inter-vlan.. J'ai besoin de faire communiquer des VLANS (par défaut tout communiquera avec tout le monde, mais évidemment je m'occupuerai de bloquer le reste pour la suite). Tout en bas vous avez ma Couche D'accès, juste en haut, la couche de distribution, tout en haut avec les switchs L3 & les 2 routeurs, le coeur de réseau. Je précise que les switchs L3 de mon réseau sont utilisés en tant que L2 (Sauf si vous avez des propositions pour la suite). Je rencontre un problème lors de l'encapsulation dot1q, pour le croisement que vous voyez au niveau du CDR, cela me mettra "overlaps" si j'utilise les adresses ip du même sous réseau pour faire mes deux interfaces de mes 2 routeurs (ce qui est normal en soit). J'ai pensé à faire de l'HSRP au niveau des 2 routeurs du CDR pour faire l'encapsulation, mais je ne sais pas si c'est vraiment possible, si oui comment le faire. Avez-vous d'autres idées pour mettre cela en place ?

LarryPHP17 · ‎15-04-2024

Je n'ai pas réussi sur packet tracer.

Voir la solution dans l'envoi d'origine

cybersecurite2023 · ‎12-03-2024

"Je rencontre un problème lors de l'encapsulation dot1q, pour le croisement que vous voyez au niveau du CDR, cela me mettra "overlaps" si j'utilise les adresses ip du même sous réseau pour faire mes deux interfaces de mes 2 routeurs (ce qui est normal en soit). J'ai pensé à faire de l'HSRP au niveau des 2 routeurs du CDR pour faire l'encapsulation"

Vous pourriez donner plus de détails ? Avec le schéma et la configuration envisagée.

*** Obtenez des réponses techniques plus rapidement : Vidéo (15 min. fr) Visitez mon Blog technique. ***

LarryPHP17 · ‎12-03-2024

Bonjour, merci de votre réponse.

Le schéma est dans la pièce jointe de mon commentaire, je vous la reposte ici.

Pour l'instant j'ai juste mes deux serveurs VTP sur mes switchs en L3. Je cherche à comprendre pour faire le routage intervlan sur mes L3 (3650) ou bien les routeurs, pour par la suite pouvoir faire des blocages en fonction de mes besoins.

Il y aurait une méthode/protocole pour pouvoir faire du routage sur mes routeurs sans avoir un overlaps à cause de mes sous-réseaux des VLANs ?

LarryPHP17 · ‎12-03-2024

Pour exemple, les adresses ip du VLAN 10 sont en 192.168.10.0/24, ceux du VLAN 20 en 192.168.20.0/24.

LarryPHP17 · ‎14-03-2024

Je me permet de relancer le sujet, je n'ai toujours pas trouver de réponse.

cybersecurite2023 · ‎14-03-2024

Je suis désolé mais je ne comprends toujours pas "sans avoir un overlaps à cause de mes sous-réseaux des VLANs" .

"VLAN 10 sont en 192.168.10.0/24, ceux du VLAN 20 en 192.168.20.0/24" sont bien différents donc y a pas de risque d' "overlap" si vous parlez des adresses IP. 192.168.10.0/24 et 192.168.20.0/24 par définition ne se recoupent pas.

*** Obtenez des réponses techniques plus rapidement : Vidéo (15 min. fr) Visitez mon Blog technique. ***

LarryPHP17 · ‎14-03-2024

Ha je comprends, autant pour moi.

Je vais prendre l'exemple pour le VLAN 10, sur le R1 :

J'ai deux interfaces :

- G0/0/1.10 : 192.168.10.1/24

- G0/0/2.10 : 192.168.10.2/24

Avec cette configuration je vais avoir un overlaps, cependant j'ai besoin de mettre cela en place comme vous pouvez le voir d'après le schéma.

Est-ce que vous avez les informations nécessaires ?

cybersecurite2023 · ‎14-03-2024

ok, je comprends mieux. Je vais vous faire une petite réponse rapide (je n'ai pas le temps de vérifier actuellement):

Effectivement vous pouvez avoir ce type de configuration, Ethernet Portchannel (on n'utilise pas la deuxième adresse IP car devenue inutile) pour R1:

interface port-channel 1

ip address 192.168.10.1 255.255.255.0
!

interface gigabitethernet 0/0/1.10
no ip address

channel-group 1 mode active

interface gigabitethernet 0/0/2.10
no ip address

channel-group 1 mode active

~~pour R2 (on utilise l'adresse en .2):~~

interface port-channel 1

ip address 192.168.10.2 255.255.255.0
!

interface gigabitethernet 0/0/1.10
no ip address

channel-group 1 mode active

interface gigabitethernet 0/0/2.10
no ip address

channel-group 1 mode active

*** Obtenez des réponses techniques plus rapidement : Vidéo (15 min. fr) Visitez mon Blog technique. ***

LarryPHP17 · ‎14-03-2024

Cela ne fonctionne pas d'ajouter des Channel-group à des sous interfaces.

cybersecurite2023 · ‎14-03-2024

Exact je viens de regarder la doc. :

Guidelines and Limitations for Layer 3 Interfaces

"Configuring a subinterface on a physical interface that is configured to be a member of a port-channel is not supported. One must configure the subinterface under the port-channel interface itself. " (quelque chose de la forme :

interface port-channel 1.10

)

Voir : https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9600/software/release/16-12/configuration_guide/vlan/b_1612_vlan_9600_cg/configuring_layer_3_subinterfaces.pdf par exemple . A tester car je ne l'ai pas testé sur Packet Tracer

*** Obtenez des réponses techniques plus rapidement : Vidéo (15 min. fr) Visitez mon Blog technique. ***

LarryPHP17 · ‎15-04-2024

Je n'ai pas réussi sur packet tracer.

Packet tracer / HRSP - STP - VPN IP SEC (SITE2SITE)

Guidelines and Limitations for Layer 3 Interfaces

Liens rapides