Routage source/destination [Question hyper pointu] - Windows & Software
Marsh Posté le 24-04-2002 à 16:57:49
madsurfer> Les Cata de la famille 4000 chez Cisco sont layer 3 ... si on leur ajoute une carte layer3 ... ce qui n'est pas le cas par défaut .
Je dois dire que j'ai du mal a comprendre ce que tu racontes, donc je cerne pas trop ta question ...
Keske tu entends par "routage à la destination" et "routage a la source" ?
[jfdsdjhfuetppo]--Message édité par Blakkness le 24-04-2002 à 16:58:47--[/jfdsdjhfuetppo]
Marsh Posté le 24-04-2002 à 17:03:24
Déjà pour que tes vlans puissent causer entre eux, tu as forcément un appareil qui fait office de routeur sur ton réseau: que ce soit une carte rsm (routing switch module) ou MSFC (multi layer switched feature card) pour cata, ou bien un bon vieux routeur classique.
Dis en un peu plus
Marsh Posté le 24-04-2002 à 17:05:57
Que veux-tu faire en envoyant le flux sur un FW a part le saturer ??
Si tu veux interdire certains vlans de communiquer entre eux, le mieux est je pense de faire des vlans non routés dans lesquels tu pourrait isoler les stations dites sensibles
Marsh Posté le 24-04-2002 à 18:52:32
Pour moi, routage par rapport à la destination :
Un routeur dispose d'une table de routage :
Lorsqu'un routeur reçoit un paquet, il regarde le champ adresse destination, détermine l'adresse de sous réseau, afin de transmettre le paquet sur la bonne interface du routeur
A la source : c pareil, sauf que le routeur route le paquet en fonction de l'adresse IP source.
OK, C vrai, je pars du début:
Je vais créer 3 VLANs réparties sur plusieurs sites. Le backbone c de l'ATM.
Dans les VLANs il y aura des sous réseaux.
En attendant le déploiement des VLANs on est obligé de garder l'ATM (pb de cablage, prise)... -> pour ensuite passer en Gigabit.
En attendant que tt soit en place, je vais acheter des commutateurs de couche 3 Catalyst 4003 (commutateur central), afin de gérer les ACLs et de prendre les décisions de reroutage. Il y a un Catalyst 4003 par site.
Derrière ces commutateurs seront connectés des commutateurs de couche 3 Catalyst 3500 (sur des baies d'étage), qui disposeront d'une route par défaut vers le commutateur central de leur site afin de faire du reroutage et de gérer les ACLs.
Le routage entre les commutateurs centraux sa sera de l'OSPF.
Le problème est que la sécurité intra et inter VLAN sera gérer par les commutateurs centraux avec les ACLs.
Sa pose pas de prob, pour la communication intra VLAN.
Par contre, j'aimerais une meilleure sécu pour passer d'un VLAN à l'autre, donc un firewall (un firewall monte plus haut ds les couche qu'un routeur -> meilleur protection contre les attaques qu'avec un routeur) !
Le prob s'est qu'avec OSPF les routeurs apprenderont les routes, ce qui permettra aux sous réseaux intra VLAN de communiquer (filtrage avec ACLs -> jusqu'ici pas de prob), par contre la communication inter VLAN se fera de la même façon !
J'aimerais que la communication inter VLAN soit sécurisé donc qui passe à travers un firewall !
Ce que voulais faire s'est un routage à la source et à la destination. De ce type
j'autorise la communication entre les machines du [sous réseau 172.22.2.0/23 jusqu'au sous réseau 172.22.8.0/23] et les machines du [sous réseau 172.22.16.0/23 jusqu'au sous réseau 172.22.32.0/23]
Afin de tout balancé au firewall.
Les échanges interVLAN ne seront pas énorme (au pire on pourra faire un cluster pour répartir la charge).
Si y a pas d'autre solution, je ferais passerais également par des ACLs pour passer d'un VLAN à l'autre !
Apparemment les catalyst 4003 supportent le routage à la base !
http://www.cisco.com/global/FR/pro [...] odul.shtml
[jfdsdjhfuetppo]--Message édité par madsurfer le 24-04-2002 à 18:53:26--[/jfdsdjhfuetppo]
Marsh Posté le 24-04-2002 à 22:59:06
Marsh Posté le 25-04-2002 à 14:14:22
Pas compris l'histoire du routage à la source. Comment le routeur peut choisir la route avec l'addresse source ?
"j'autorise la communication entre les machines du [sous réseau 172.22.2.0/23 jusqu'au sous réseau 172.22.8.0/23] et les machines du [sous réseau 172.22.16.0/23 jusqu'au sous réseau 172.22.32.0/23] "
ca, c'est justement le boulot du firewall.
Marsh Posté le 25-04-2002 à 16:40:48
djoul a écrit a écrit : Pas compris l'histoire du routage à la source. Comment le routeur peut choisir la route avec l'addresse source ? "j'autorise la communication entre les machines du [sous réseau 172.22.2.0/23 jusqu'au sous réseau 172.22.8.0/23] et les machines du [sous réseau 172.22.16.0/23 jusqu'au sous réseau 172.22.32.0/23] " ca, c'est justement le boulot du firewall. |
Le routage à la source C possible ! Le routeur balance les paquets suivant l'adresse IP source et non l'adresse destination
Marsh Posté le 24-04-2002 à 12:23:02
1)
Je sais qu'il est possible de faire:
-du routage à la destination (C le plus utilisé)
-du routage à la source
Le routage en tenant compte de la source et de la destination C possible sur des commutateurs de couche 3 de marque Cisco (Catalyst 4000) ??
Parce qu'en faite le routage est fait ds ma boite avec OSPF, et il y a du trafic que je veux balancé absolument sur un FireWall(trafic inter VLAN)
Le problème (le seul) est qu'avec OSPF tte les routes st connu de tout les commutateurs du backbone (ATM -> bouclé). Ceux-ci routerons le trafic directement vers le commutateur de destination sans passer par le FireWall !
Hors C du traffic inter-VLAN et j'aimerais avoir une bonne sécu !
2)
L'autre moyen est de foutre sur tt les commutateurs du backbone, des ACLs autorisant certaine communication (entre VLAN), le prob est que ceux ci gère déjà les politiques de sécurités intra VLAN.
Y a moyen ds les ACLs d'englober plusieurs sous réseau ?
Ex: j'autorise la communication entre les machines du [sous réseau 172.22.2.0/23 jusqu'au sous réseau 172.22.8.0/23] et les machines du [sous réseau 172.22.16.0/23 jusqu'au sous réseau 172.22.32.0/23] ?
Merci A++
[jfdsdjhfuetppo]--Message édité par madsurfer le 24-04-2002 à 16:42:52--[/jfdsdjhfuetppo]