Salut,
pour les connaisseurs de switchs Cisco (en particuliers le 2950), j'arrive à configurer des VLAN sans pb, mais j'aimerais savoir un truc avant de me lancer dans la doc monstrueuse:
 
Sur un unique VLAN, est-il possible de bloquer l'accès de certains ports vers d'autres ports sans bloquer tout le monde ?
 
Ex:
2 postes clients et 1 serveur, tous sur un Cisco et un seul VLAN
Le client 1 ne peut accéder qu'au serveur
Le client 2 ne peut accéder qu'au serveur
Le serveur peut accéder aux 2 clients
 
Le tout sans routage ou moyen détourné ...
 
Merci

access-list. Ca doit bien s'appliquer sur des vlan.
en gros :  
access-list 101 permit ip host [ip_client_1] host [ip_serveur] <- tu autorises le flux depuis le client1 vers le serveur
access-list 101 deny ip host [ip_client_1] any <- tu interdis tous les autres flux en provenance du client 1
access-list 101 permit ip host [ip_client_2] host [ip_serveur] <- idem client 1
access-list 101 deny ip host [ip_client_2] any <- idem client 1
access-list 101 permit ip any any
 
 
Apres, tu l'apliques sur ton interface vlan :
int e0/0.1
access-group 101 in <- aplique l'access-list 101 en entrée sur l'interface

[Albator], la technique des ACL ne fonctionne que si les hosts/serveurs sont situés sur des réseaux différents, ce qui n'est pas le cas apparemment puisque tu parles "d'unique VLAN". Donc c'est pas la peine de filtrer par IP puisque tes paquets ne transiteront pas par une interface IP (eth0/0.1 par ex).
 
Mais j'ai pas de soluce car je suis pas tres bon en LAN...

 
Si, puisque c'est un switch catalyst et pas un routeur. Ceci dit j'ai jamais essayé.
J'ai un doute quand même, faudrais essayer pour voir...

2 postes clients et 1 serveur, tous sur un Cisco et un seul VLAN
Le client 1 ne peut accéder qu'au serveur
Le client 2 ne peut accéder qu'au serveur
Le serveur peut accéder aux 2 clients
 
>>>> Salut!
Ceci est totalement impossible sur le fonctionnement d'une 2950. Le seul moyen serait de mettre le serveurs sur un autre VLAN et donc par conséquent sur un autre plan d'adressage. Ce qui engendrerait du routage et donc Access-list.
De part le fonctionnement d'un switch, tu ne peux que fonctionner par adresse MAC et non pas par adresse IP (sauf pour l'adresse de managment).
J'espère avoir répondu à ta question!!
@+
Anthony

 
Comme tu veux mais si tes hosts/serveurs resident sur le meme subnet, il n'y a aucune raison qu'ils transitent par l'interface IP d'un routeur où le filtrage sera effectué...
 
Jette un oeil aux private vlan.
 
Edit: je suis d'accord avec totovi: "De part le fonctionnement d'un switch, tu ne peux que fonctionner par adresse MAC et non pas par adresse IP (sauf pour l'adresse de managment). "

 
Oui effectivement, ça ne doit pas marcher, je pensais qu'en 'forçant' à travailler au niveau 3 avec une access-list ca marcherait. Ceci dit je connais pas grand chose au vlan...
 
J'ai jeté un coup d'oeil aux private vlan, en mettant le port du serveur en Promiscuous et les ports des client en Isolated, ça doit le faire.

je suis de retour
 
a priori, ce serait possible en faisant des vACL :  
 
En gardant la même access-list que tout à l'heure.
 
router(config)#vlan access-map TEST
router(config-access-map)#match ip address 101
router(confg)#vlan filter TEST [id-vlan]
 
http://www.cisco.com/univercd/cc/t [...] .htm#34490

 
Bon en fait vu que ça marche comme des class-map, on peut pas utiliser l'access-list de tout à l'heure :  
 
router(config)#access-list 101 permit ip host [ip_client1] host [ip_client2]
router(config)#vlan access-map TEST
router(config-access-map)#match ip address 101
router(config-access-map)#action drop
router(confg)#vlan filter TEST [id-vlan]

 
Salut,
 
est-ce-que tu peux tester cela ?
Creating Named MAC Extended ACLs
You can filter Layer 2 traffic on a physical Layer 2 interface by using MAC addresses and named MAC
extended ACLs. The procedure is similar to that of configuring other extended named access lists.
Page 492 et 493 du manuel et dire si ca donne quelque chose?
 

Il est vrai que les VALCs existent. Cependant pas sur un catalyst 2950 mais sur un chassis comme de type 6000.
Si tu reste en IP, je te confirme que c'est impossible.

 
Pas de private vlan non plus ?

Je ne vois pas trop ce que tu appelles "Private Vlan". Une DMZ, un vlan privée .... par définition, un vlan est privé et isolé s'il n'y a pas de routeur ou de câble croisé entre deux vlans différents.
Sinon, je manipule de part mon travail des 2950 tous les jours, et je ne connais aucun moyen pour faire ce que tu veux.
Comme je t'ai dis précedemment, la seul facon sera de mettre ton serveur sur un autre vlan et mettre un niveau 3 (routeur).

 
http://www.cisco.com/en/US/tech/tk [...] _home.html
 
Sais pas si ça marche sur des 2950 par contre.