Vlan au point d'accès
Fermé
Dabily
Messages postés
4
Date d'inscription
mardi 8 janvier 2019
Statut
Membre
Dernière intervention
31 octobre 2019
-
8 janv. 2019 à 22:48
brupala Messages postés 109261 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 mars 2024 - 9 janv. 2019 à 17:51
brupala Messages postés 109261 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 mars 2024 - 9 janv. 2019 à 17:51
A voir également:
- Vlan au point d'accès
- Point de restauration - Guide
- Point de suite word - Guide
- Acces rapide - Guide
- Mcuicnt.exe point d'entrée introuvable ✓ - Forum Logiciels
- Point d'exclamation à l'envers ✓ - Forum Matériel & Système
2 réponses
brupala
Messages postés
109261
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 mars 2024
13 592
8 janv. 2019 à 23:17
8 janv. 2019 à 23:17
Salut,
il prend son mobile et va sur son réseau mobile préféré, ton chef.
sérieusement, quoique ça l'était,
comment veux tu qu'on te dise ça si on ne connaît pas plus que ça l'architecture, le plan de numérotation et les sécurités mises en jeu ?
globalement,
tu fournis un SSID (masqué) CHEF sur un vlan à part et qui est routé sur l'internet, c'est tout.
il prend son mobile et va sur son réseau mobile préféré, ton chef.
sérieusement, quoique ça l'était,
comment veux tu qu'on te dise ça si on ne connaît pas plus que ça l'architecture, le plan de numérotation et les sécurités mises en jeu ?
globalement,
tu fournis un SSID (masqué) CHEF sur un vlan à part et qui est routé sur l'internet, c'est tout.
Salut, c'est tout à fait faisable en créant une access-list sur ton routeur.
Avec une access-list tu pourras autoriser le trafic du port 80 (http) et 443 (https) pour une adresse MAC puis l'interdire pour tout le reste du réseau et tout ça sur le même VLAN.
Avec une access-list tu pourras autoriser le trafic du port 80 (http) et 443 (https) pour une adresse MAC puis l'interdire pour tout le reste du réseau et tout ça sur le même VLAN.
brupala
Messages postés
109261
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 mars 2024
13 592
9 janv. 2019 à 14:14
9 janv. 2019 à 14:14
non,
les ACL ne servent pas à ça.
surtout les ACL sur adresse mac,
on peut juste les activer d'une interface physique à l'autre, pas au niveau port, sinon ça ralentit énormément le traffic.
De plus, les ACL par adresse mac, c'est très difficile à gérer.
Surtout que si le chef en question veut juste mettre un mot de passe sur une machine banale et obtenir le droit, pas forcément sa propre machine.
les ACL ne servent pas à ça.
surtout les ACL sur adresse mac,
on peut juste les activer d'une interface physique à l'autre, pas au niveau port, sinon ça ralentit énormément le traffic.
De plus, les ACL par adresse mac, c'est très difficile à gérer.
Surtout que si le chef en question veut juste mettre un mot de passe sur une machine banale et obtenir le droit, pas forcément sa propre machine.
Alors si ça sert justement à ça !
Je bosse principalement sur du CISCO et c'est pas si compliqué que ça à gérer si c'est pour une ou deux machines.
Après si le "chef" en question viens tous les jours avec un PC différent c'est autre chose ..
Les ACL peuvent comporter des centaines de lignes donc c'est pas quatre pauvres lignes qui vont réduire significativement les performances, et on peut très bien filtrer des protocoles (qui utilisent des numéros de ports exemple telnet=23 SSH=22) avec une ACL.
Le tout c'est de savoir dans quel ordre les mettre pour ne pas tout bloquer.
Dans le cas présent (et en simplifié):
1: PC du chef ok pour port 80
2: PC du chef ok pour port 443
3: Tout le réseau pas ok pour port 80
4: Tout le réseau pas ok pour port 443
5: Tout OK
Étant donné que le routeur lit les listes dans l'ordre, toute machine n'étant pas le PC du chef ignorera les lignes qui ne le concernent pas.
La cinquième ligne ici qui autorise tout est lue en dernière ce qui fait que si les tablette veulent se connecter à un serveur FTP(port 20 et 21) elle pourront.
Si cette ligne n'est pas mise dans l'ACL tout bloque puisqu'il y un "deny any any" implicite mais non visible dans les ACLs (cisco en tout cas)
Je t'invite à consulter ces deux liens :
1°)
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_acl/configuration/xe-3s/asr903/sec-data-acl-xe-3s-asr903-book/mac-access-control-lists.pdf
2°)Section réseau
https://fr.wikipedia.org/wiki/Access_Control_List
Cordialement.
Je bosse principalement sur du CISCO et c'est pas si compliqué que ça à gérer si c'est pour une ou deux machines.
Après si le "chef" en question viens tous les jours avec un PC différent c'est autre chose ..
Les ACL peuvent comporter des centaines de lignes donc c'est pas quatre pauvres lignes qui vont réduire significativement les performances, et on peut très bien filtrer des protocoles (qui utilisent des numéros de ports exemple telnet=23 SSH=22) avec une ACL.
Le tout c'est de savoir dans quel ordre les mettre pour ne pas tout bloquer.
Dans le cas présent (et en simplifié):
1: PC du chef ok pour port 80
2: PC du chef ok pour port 443
3: Tout le réseau pas ok pour port 80
4: Tout le réseau pas ok pour port 443
5: Tout OK
Étant donné que le routeur lit les listes dans l'ordre, toute machine n'étant pas le PC du chef ignorera les lignes qui ne le concernent pas.
La cinquième ligne ici qui autorise tout est lue en dernière ce qui fait que si les tablette veulent se connecter à un serveur FTP(port 20 et 21) elle pourront.
Si cette ligne n'est pas mise dans l'ACL tout bloque puisqu'il y un "deny any any" implicite mais non visible dans les ACLs (cisco en tout cas)
Je t'invite à consulter ces deux liens :
1°)
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_acl/configuration/xe-3s/asr903/sec-data-acl-xe-3s-asr903-book/mac-access-control-lists.pdf
2°)Section réseau
https://fr.wikipedia.org/wiki/Access_Control_List
Cordialement.
brupala
Messages postés
109261
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 mars 2024
13 592
9 janv. 2019 à 15:08
9 janv. 2019 à 15:08
Qui parle de routeur pour l'instant ?
Qui parle de matériel cisco ?
il est question de vlan.
aussi,
Révise bien ton lien sur les filtrages par mac:
1/ ça ne s'applique pas à une interface routée.
2/ ça ne gère pas les paquets IP.
Grosses limitations ....
Qui parle de matériel cisco ?
il est question de vlan.
aussi,
Révise bien ton lien sur les filtrages par mac:
1/ ça ne s'applique pas à une interface routée.
2/ ça ne gère pas les paquets IP.
Grosses limitations ....
Alors d'abord effectivement et après recherche, on ne peut pas faire d'ACL sur des adresses MAC, mais que sur de l'IPv4 et v6.
Toutes mes excuses.
Le problème se résout en réservant une ipv4 (avec l'adresse MAC) dans le DHCP.
Tout le reste de la manip reste identique.
Ensuite je parle de CISCO parce que c'est ce que je connais le mieux, mais les ACL ça existe sur HP, huawei et à peut près partout en fait.
De même je ne vois pas en quoi parler de routeur hors-sujet puisque dans le premier post (celui auquel je répondais) il n'est pas du tout question de VLANs.
C'est toi qui a introduit la possibilité de plusieurs VLAN, valable certes, mais il existe souvent plusieurs solutions à un problème.
Toutes mes excuses.
Le problème se résout en réservant une ipv4 (avec l'adresse MAC) dans le DHCP.
Tout le reste de la manip reste identique.
Ensuite je parle de CISCO parce que c'est ce que je connais le mieux, mais les ACL ça existe sur HP, huawei et à peut près partout en fait.
De même je ne vois pas en quoi parler de routeur hors-sujet puisque dans le premier post (celui auquel je répondais) il n'est pas du tout question de VLANs.
C'est toi qui a introduit la possibilité de plusieurs VLAN, valable certes, mais il existe souvent plusieurs solutions à un problème.
brupala
Messages postés
109261
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 mars 2024
13 592
>
alx64
9 janv. 2019 à 17:51
9 janv. 2019 à 17:51
Et le titre, tu l'as lu ? ;-)
8 janv. 2019 à 23:31
Mais pour être clair je demande si c'est faisable si on crée deux vlans, l'autre pour isoler les 30 tablettes pour non accès à l'Internet et l'autre pour les visiteurs qui sont accès à l'Internet.
Et ce que je ne comprends pas dans tout cela c'est au niveau du point d'accès et vlan? :-/
9 janv. 2019 à 00:03
un vlan == un SSID
Chaque SSID est lié à un vlan.
Et au niveau routeur, chaque vlan est lié à un réseau IP.