Menu

Vlan au point d'accès

Messages postés
2
Date d'inscription
mardi 8 janvier 2019
Dernière intervention
8 janvier 2019
- - Dernière réponse : brupala
Messages postés
81158
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
24 janvier 2019
- 9 janv. 2019 à 17:51
Bonjour tout le monde!
J'ai un problème sur mon TP
On a un chantier où on implante 3 points d'accès wifi dont lesquels 30 tablettes sont connectés. Et ces derniers ne peuvent pas surfer à l'internet mais c'est juste pour utiliser une application pour enregistrer des données et qui sont directement stockées au serveur.
Alors j'ai utilisé un serveur DHCP pour leurs attribuer des adresse IP
Alors, s'il y a un chef qui pointe au chantier et qui veut surfer à l'Internet , comment lui donner adresse IP et comment lui autoriser à surfer à l'internet?
Merci pour votre gentillesse
Afficher la suite 

Votre réponse

2 réponses

Messages postés
81158
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
24 janvier 2019
12001
0
Merci
Salut,
il prend son mobile et va sur son réseau mobile préféré, ton chef.
sérieusement, quoique ça l'était,
comment veux tu qu'on te dise ça si on ne connaît pas plus que ça l'architecture, le plan de numérotation et les sécurités mises en jeu ?
globalement,
tu fournis un SSID (masqué) CHEF sur un vlan à part et qui est routé sur l'internet, c'est tout.
Dabily
Messages postés
2
Date d'inscription
mardi 8 janvier 2019
Dernière intervention
8 janvier 2019
-
Merci!
Mais pour être clair je demande si c'est faisable si on crée deux vlans, l'autre pour isoler les 30 tablettes pour non accès à l'Internet et l'autre pour les visiteurs qui sont accès à l'Internet.
Et ce que je ne comprends pas dans tout cela c'est au niveau du point d'accès et vlan? :-/
brupala
Messages postés
81158
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
24 janvier 2019
12001 > Dabily
Messages postés
2
Date d'inscription
mardi 8 janvier 2019
Dernière intervention
8 janvier 2019
-
Sur un point d'accès,
un vlan == un SSID
Chaque SSID est lié à un vlan.
Et au niveau routeur, chaque vlan est lié à un réseau IP.
Commenter la réponse de brupala
-1
Merci
Salut, c'est tout à fait faisable en créant une access-list sur ton routeur.
Avec une access-list tu pourras autoriser le trafic du port 80 (http) et 443 (https) pour une adresse MAC puis l'interdire pour tout le reste du réseau et tout ça sur le même VLAN.
brupala
Messages postés
81158
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
24 janvier 2019
12001 -
non,
les ACL ne servent pas à ça.
surtout les ACL sur adresse mac,
on peut juste les activer d'une interface physique à l'autre, pas au niveau port, sinon ça ralentit énormément le traffic.
De plus, les ACL par adresse mac, c'est très difficile à gérer.
Surtout que si le chef en question veut juste mettre un mot de passe sur une machine banale et obtenir le droit, pas forcément sa propre machine.
Alors si ça sert justement à ça !

Je bosse principalement sur du CISCO et c'est pas si compliqué que ça à gérer si c'est pour une ou deux machines.
Après si le "chef" en question viens tous les jours avec un PC différent c'est autre chose ..

Les ACL peuvent comporter des centaines de lignes donc c'est pas quatre pauvres lignes qui vont réduire significativement les performances, et on peut très bien filtrer des protocoles (qui utilisent des numéros de ports exemple telnet=23 SSH=22) avec une ACL.

Le tout c'est de savoir dans quel ordre les mettre pour ne pas tout bloquer.

Dans le cas présent (et en simplifié):
1: PC du chef ok pour port 80
2: PC du chef ok pour port 443
3: Tout le réseau pas ok pour port 80
4: Tout le réseau pas ok pour port 443
5: Tout OK

Étant donné que le routeur lit les listes dans l'ordre, toute machine n'étant pas le PC du chef ignorera les lignes qui ne le concernent pas.
La cinquième ligne ici qui autorise tout est lue en dernière ce qui fait que si les tablette veulent se connecter à un serveur FTP(port 20 et 21) elle pourront.
Si cette ligne n'est pas mise dans l'ACL tout bloque puisqu'il y un "deny any any" implicite mais non visible dans les ACLs (cisco en tout cas)

Je t'invite à consulter ces deux liens :
1°)
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_acl/configuration/xe-3s/asr903/sec-data-acl-xe-3s-asr903-book/mac-access-control-lists.pdf

2°)Section réseau

https://fr.wikipedia.org/wiki/Access_Control_List

Cordialement.
brupala
Messages postés
81158
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
24 janvier 2019
12001 -
Qui parle de routeur pour l'instant ?
Qui parle de matériel cisco ?
il est question de vlan.
aussi,
Révise bien ton lien sur les filtrages par mac:
1/ ça ne s'applique pas à une interface routée.
2/ ça ne gère pas les paquets IP.
Grosses limitations ....
Alors d'abord effectivement et après recherche, on ne peut pas faire d'ACL sur des adresses MAC, mais que sur de l'IPv4 et v6.

Toutes mes excuses.

Le problème se résout en réservant une ipv4 (avec l'adresse MAC) dans le DHCP.

Tout le reste de la manip reste identique.

Ensuite je parle de CISCO parce que c'est ce que je connais le mieux, mais les ACL ça existe sur HP, huawei et à peut près partout en fait.

De même je ne vois pas en quoi parler de routeur hors-sujet puisque dans le premier post (celui auquel je répondais) il n'est pas du tout question de VLANs.

C'est toi qui a introduit la possibilité de plusieurs VLAN, valable certes, mais il existe souvent plusieurs solutions à un problème.
brupala
Messages postés
81158
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
24 janvier 2019
12001 > alx64 -
Et le titre, tu l'as lu ? ;-)
Commenter la réponse de alx64