Bonsoir,
 
Dans mon entreprise, je configure actuellement 2 commutateurs en stack (Dell PowerConnect 6224).
Je mets en place plusieurs VLAN (serveurs, imprimantes, utilisateurs...) avec une adresse IP sur l'interface de chaque VLAN au niveau du stack, qui seront la passerelle pour chaque réseau.
 
Pas de problème jusque là, mais je ne sais par contre pas comment configurer pour l'interconnexion avec mes 2 FW en cluster.
 
Voici le schéma :
 

 
Légende :
 
- les 2 commutateurs de niveau 3 en rouge forment mon stack (Dell PowerConnect 6224) ;
- les 2 commutateurs de niveau 2 en vert sont pour les utilisateurs, imprimantes...
 
Ce que je pensais :
 
Mettre une route par défaut sur le stack de 6224.
Mais dois-je créer une interface vlan, surement sur le 1 et une route par défaut en prenant l'adresse IP du FW ?
 
Ainsi tous les paquets qui sortent sont "Untagged".
 
Merci pour votre aide  

pour l'interco avec les FW il te faut un réseau d'interconnexion entre tes switches niveau 3 et tes FW en cluster.
 
Le stack de switches niveau 3 aura comme route par défaut l'adresse virtuelle du routeur.  
 
Pour l'interface vlan il est préférable de créer un vlan spécifique pour ton interco, dans laquelle tu mettras les 4 ports FW.
 
sur certains FW tu peux vérifier l'état du routeur pour conditionner la bascule du cluster, ce qui te permettrait de n'avoir que deux liens FW vers switches niveau 3 au lieu de 4 actuellement.
 
Remarque : si tes serveurs sont en bas à droite connectés sur un seul switch, en cas de perte de switch aucun serveur ne sera joignable.

Salut pkc
 
Merci pour ta réponse claire.
 

 
Okay, je dois donc créer un VLAN avec une plage IP spécifique entre mon FW et mon stack de niveau 3. J'aurai donc besoin de 2 adresses IP (une sur l'interface VLAN et une sur le cluster FW qui sera partagée).
 
Mais pourquoi ne pas utiliser le VLAN 1 (par défaut) pour l'interconnexion ?    
 

 
C'est une erreur sur mon schéma, mes serveurs sont répartis sur le stack.
Et je rajouterai des cartes réseaux sur certains d'entre eux et mettrai en place du teaming. Pour assurer une redondance complète.
 
Merci pour ton aide  

Tu peux avoir besoin de plus d'une IP sur les FW.  
Certaines implémentations nécessitent une IP par équipement + 1 IP virtuelle.
 
Pour le Vlan1 en général il est recommandé de ne pas l'utiliser car c'est le VLAN par défaut. Si une interface n'est pas configurée dans un VLAN elle va se retrouver dans celui-ci. Ce n'est donc pas interdit mais pas recommandé.

 
Merci
 
Le Firewall que nous utilisons (Fortinet Fortigate 100A) en 2 unités n'a besoin que d'une adresse IP qui est partagée sur ces interfaces en interne. De même pour notre DMZ.
 
 

Donc je crée un VLAN avec une plage IP pour 2 adresses IP.
 
J'assigne les 4 ports connectés aux FW dans ce VLAN.
 
Par contre, les trames ne devront pas être taggés à la sortie vers le FW ?

Pas besoin de tagger les trames dans ce cas là.
 
les trames ne sont taggées que lorsqu'il y a plusieurs vlans qui circulent sur un même lien physique (trunk 802.1q).

 
Merci pkc    
 
Création du VLAN :
 
J'ai crée un VLAN pour l'interconnexion :
 
SW-6224-STACK(config)#vlan database
SW-6224-STACK(config)#vlan 6
SW-6224-STACK(config)#interface vlan 6
SW-6224-STACK(config-if-vlan6)#ip address x.x.x.x /xx
 
Création d'un LAG/port-channel :
 
SW-6224-STACK(config)#interface port-channel 3
SW-6224-STACK(config)#switchport mode access
SW-6224-STACK(config)#switchport access vlan 6
 
Attribution des ports au LAG/port-channel :
 
J'ai donc mis les ports 23 et 24 de l'unité 1 et unité 2 dans le LAG/port-channel :
 
SW-6224-STACK(config)#interface range ethernet 1/g23-1/g24
SW-6224-STACK(config-if)#channel-group 3 mode on
 
SW-6224-STACK(config)#interface range ethernet 2/g23-2/g24
SW-6224-STACK(config-if)#channel-group 3 mode on
 
J'aurai donc bien 4 ports dans ce lien logique. Les trames seront "Untagged" entre le FW et mon coeur de réseau. Et par contre, pour transiter entre mes commutateurs, elles seront bien étiquetées.
Contredis moi si je me trompe
 
Merci à toi pour ton aide  

Par contre, est-ce que l'IP source d'une trame qui arrive au FW contiendra l'adresse IP du poste dans un VLAN ?
 
Ou alors l'IP source sera remplacée par la passerelle du VLAN pour l'interconnexion entre commutateurs et FW ?
 
Car nous gérons actuellement les ACL au niveau du FW avec les adresses IP.
 
Merci

Petit problème sur mon infrastructure.
 
Voic les 2 LAG/port-channel que j'ai crée :
 

 
Sauf que lorsque je connecte comme sur le schéma, mon LAG/port-channel 2 passe de "forwarding" à "discarding" dans le protocole STP
 
Et le commutateur SW-2848-2 se trouve isolé, pas moyen de pinger le SW-6224-STACK, ni le SW-2848-1.  
 
Par contre le SW-2848-1 peut pinger le SW-6224-STACK, mais pas le SW-2848-2.
 
Merci  

ok pour la config cisco.  
 
concernant les adresses, le routeur ne remplace pas l'adresse source sauf si tu le lui demandes.
 
par défaut il se contente de transmettre les paquets. (l'adresse MAC source change en sortie de routeur, mais pas l'adresse IP source).
 
pour le port channel yang tsé rien.  
 

Merci pkc.
 
J'ai réglé tous mes problèmes.
Et bien vérifié avec wireshark que l'adresse IP source était gardée malgré le routage.