ACL avec un Routage Inter-VLANFermé

Question

Bonjour, 
je compte présenter un projet sur du Cisco pour mon BTS SIO,
j'ai donc mis en place cette architecture :
http://imageshack.com/f/nmppevlanp

VLAN 10 : 192.168.10.0
VLAN 20 : 192.168.20.0

avec un router (agent relais) qui permet les communications Inter-VLAN
tous ça fonctionne.
Seulement j'aimerais mettre en place des ACL, 
qui va me permettre par exemple : 

- VLAN 10 ne communique que avec son VLAN
- VLAN 20 communique avec tout les VLAN

après multiple recherche via internet je ne trouve pas comment configurer la partie ACL :/

pouvez vous m'aider ?


Merci 
Configuration: Windows 7 / Firefox 19.0

sciencinfo · Answer

Bonjour,

ATTENTION avec les IP.
Sur ton schéma, tu as :
VLAN 10 : 192.168.1.0
VLAN 20 : 192.168.2.0 

Et sur ton explication, tu as :
VLAN 10 : 192.168.10.0
VLAN 20 : 192.168.20.0

Je vais partir sur les adresses du schéma.

Si tu veux mettre une ACL qui empêchent n'importe qui d'accéder au VLAN 10 :
access-list 100 deny ip any 192.168.1.0 0.0.0.255
Et tu la places sur l'interface vers les LAN du routeur (en IN ou en OUT, à toi de tester, je ne vais pas tout te donner non plus^^).

Pour que le VLAN 20 communique avec tous les VLANs :
access-list 100 permit ip 192.168.2.0 ... (à toi de trouver la suite, si tu as compris la première, la deuxième fonctionne pareil dans l'autre sens)

On peut le faire avec des ACLs standards aussi si on veut mais j'aime les étendues :).

Après si tu voulais faire un truc un peu plus précis du style empêcher au VLAN 10 d'accéder à un serveur web par exemple qui serait avec le serveur DHCP de ton schéma :
access-list 100 deny tcp 192.168.1.0 0.0.0.255 [IP_ET_WILDCARD_MASK_SERVEUR_DHCP] eq 80

Si c'était un serveur DNS ATTENTION :
access-list 100 deny udp 192.168.1.0 0.0.0.255 [IP_ET_WILDCARD_MASK_SERVEUR_DNS] eq 53

Pour placer l'ACL sur une interface c'est simple :
enable
configure terminal
interface [n° de l'interface]
ip access-group [n° de l'ACL, ici 100] [in OU out]

Bon courage

mister-chikite · Answer

merci déjà pour ta réponse, 
j'ai bien compris ce que tu as mis .
je ne comprend pas la notion IN/OUT a rajouté après chaque règle.

je vais tous de même testé ce que tu me propose.

mister-chikite · Answer

je pense avoir compris j'ai donc exécuter ces commande :

Router#sh access-lists 
Extended IP access list VLAN10
    deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
    permit ip any any
Extended IP access list VLAN20
    permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
    permit ip any any

Router(config)#interface fastEthernet0/0.1
Router(config-subif)#ip access-group VLAN10 in
Router(config-subif)#exit
Router(config)#interface fastEthernet0/0.2
Router(config-subif)#ip access-group VLAN20 in
Router(config-subif)#exit

Ce qui parait logique, j'interdis juste l'accès en entrée a mon VLAN10 au réseau 192.168.20.0 ?

apres mon test de ping (qui ne devrais pas repondre) et ben ca ping des 2 cotés.

je comprend pas ce que j'ai raté ?

mister-chikite · Answer

Merci je vais essayé avec les méthodes que vous me conseiller.

sinon il y aurait pas une autre méthodes (omis firewall et ACL) pour bloquer mon VLAN 20 et sans bloquer le VLAN 10 ?

VIVE les ACL oui enfin quand ca marche :p

mister-chikite · Answer

Je viens de testé ce que tu ma proposé sciencinfo,
et quand je ping, mon routeur bloque les entrées et les sorties de n' importe quel ping sur n'importe quel poste :/ , 
je désespère ...

j'ai pensé a remplacé mon routeur cisco par une machine debian qui fera office de routeur et de firewall (Iptable).

est ce que cela pourrais combler ma demande au niveau des 2 VLAN ?

ACL avec un Routage Inter-VLAN

5 réponses

Newsletters