Path: ...!feeds.phibee-telecom.net!weretis.net!feeder8.news.weretis.net!news.trigofacile.com!usenet-fr.net!.POSTED!not-for-mail
From: Erwan David <erwan@rail.eu.org>
Newsgroups: fr.comp.reseaux.ethernet
Subject: Re: IPv6 et mapping mac-vlan
Date: Mon, 21 Aug 2023 20:41:06 +0200
Organization: There's no cabale
Lines: 45
Message-ID: <87ttsss0fx.fsf@maine-ocean.rail.eu.org>
References: <87fs4gieid.fsf@maine-ocean.rail.eu.org>
NNTP-Posting-Host: 2a01:e0a:2b7:70e4:d1df:e7bc:626a:f17a
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-Trace: cabale.usenet-fr.net 1692643266 77035 2a01:e0a:2b7:70e4:d1df:e7bc:626a:f17a (21 Aug 2023 18:41:06 GMT)
X-Complaints-To: abuse@usenet-fr.net
NNTP-Posting-Date: Mon, 21 Aug 2023 18:41:06 +0000 (UTC)
User-Agent: Gnus/5.13 (Gnus v5.13) Emacs/28.2 (gnu/linux)
Mail-Copies-To: nobody
Cancel-Lock: sha1:TbZCbND/2mXq1W0QuK2YJ26x2Do=
Bytes: 2900

Erwan David <erwan@rail.eu.org> écrivait :

> Crossposté car on est à la limite des 2 couches, suite sur
> fr.comp.reseaux.ethernet parceque toute la machinerie est en couche 2
>
> Sur un switch Cisco small business j'ai un port où les vlans sont mappés
> selon leur adresse mac
>
> interface gigabitethernet4
>  switchport mode general
>  switchport general allowed vlan add 30,40 untagged
>  switchport general map macs-group 10 vlan 40
>  switchport general pvid 30
>
>
> En IPv4 tout se passe bien, le relais DHCP est bien celui qu'il faut et
> la machine reçoit bien une adresse dans le réseau IP correspondant à son
> vlan
>
> Par contre en IPv6, la machine finit par avoir une adresse dans chacun
> des réseaux, en utilise une au hasard et donc a une chance sur 2 (2
> chances sur 3 si on a 3 allowed vlans) d'utiliser une adresse IP source
> dans le mauvais vlan...
>
> Le but c'est d'avoir le laptop du boulot sur un réseau plus restreint (le
> vlan 30) quand il est sur le dock, et que mon laptop perso soit dans un
> réseau plus privilégié quand il est branché sur ce même dock (donc même
> port sur le switch).
>
> Si quelqu'un a une idée de comment faire ça ?
> On m'a suggéré 802.1X, mais ça fait un peu gros à mettre en place,
> surtout le serveur Radius.

Bon il semblerait que ce soit un bug dans l'implémentation du multicast
sur mon switch. Un multicast "tous les noeuds du vlan" est implémenté par un
broadcast alors que le paquet ne devrait être envoyé que sur les ports
ayant montré qu'ils ont un noeud dans le vlan.

Du coup j'ai fait plus bricoleur : vlan par défaut en non taggué, vlan
pour PC perso en taggué et via networkmanager, quand il détecte la mac
du dock, il ne met pas d'IP sur l'interface principale, mais monte une
interface vlan sur le vlan taggué. Et ça marche

-- 
Les simplifications c'est trop compliqué