Filtrage trafic entre vlan - solution firewall ou switch de niveau 3

Filtrage trafic entre vlan - solution firewall ou switch de niveau 3 - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 21-02-2017 à 21:42:23    

Bonjour à tous,
 
Pourriez-vous me dire qu'elle méthode vous me conseillez pour faire du filtrage entre vlan. Par exemple, sur notre domaine Windows 2012r2 je souhaite mettre en place les 2 controleurs de domaine sur un vlan et les postes de travail win7 sur un autre vlan. Je souhaite ouvrir les ports utiles pour autoriser seulement le trafic utile entre les pc et les serveurs (port ntp,dns,rpc,logon...etc).
 
J'ai un switch de niveau 3 qui prend en compte les acl pour faire du filtrage mais j'ai aussi un routeur/firewall Watchguard XTM515 qui permet de filtrer les communications inter vlan.
 
Vous me conseillez de filtrer le trafic entre les vlans avec des acl ou avec les regles sur le firewall ?
 
Ca me semble plus pratique avec le firewall mais peut etre qu'il y des points qui penchent peut etre plus pour les acl.
 
Merci pour vos précieux conseils !
 
 
 

Reply

Marsh Posté le 21-02-2017 à 21:42:23   

Reply

Marsh Posté le 21-02-2017 à 22:25:56    

Salut,
 
perso je préfère gérer un max les règles de filtrage au niveau du routeur/firewall, c'est quand même son rôle, et tu auras sûrement beaucoup plus de souplesse de configuration.

Reply

Marsh Posté le 21-02-2017 à 22:42:51    

oui d'accord avec toi concernant la souplesse de conf. C'est vrai qu'avec le routeur ont peut utiliser les alias, la planification horaire des regles.  
Avec les acl on ne peut pas choisir d'appliquer une regle de filtrage selon un calendrier ?
De plus, les switchs ne permettent pas d'utiliser les alias ?
 
Merci !!!

Reply

Marsh Posté le 22-02-2017 à 11:26:13    

Surtout un switch n'est pas statefull. Tu vas devoir te fader de sacrés ACL pour assurer le sens aller sans oublier le retour...


---------------
Jujudu44
Reply

Marsh Posté le 22-02-2017 à 12:11:24    

C'est clair que c'est plus pratique avec un routeur/firewall plutôt que de faire des acls sur le switchs.
 
En revanche, est ce que dans une configuration routeur as a stick le routeur va tenir la charge ?

Reply

Marsh Posté le 20-02-2017 à 10:40:12    

Bonjour à tous,
 
J'envisage de segmenter notre réseau informatique. Actuellement, les serveurs virtuels et les postes de travail sont sur le même vlan (192.168.148.0). Sur ce réseau, le nombre d'ip disponible commence à être très juste. Il faudrait donc que je modifie les ip des serveurs virtuels pour les mettre sur un autre vlan.
 
Nos équipements sont des switchs HP niveau 2 (hp procurve 2350) et niveau 3 (hp 5406).
 
Concernant nos serveurs Active Directory, quels sont les ports à ouvrir sur le vlan des serveurs pour que les machines connectées au domaines demeurent fonctionnelle. Je souhaiterai faire ce filtrage au niveau du routeur et non pas au niveau du switch layer (acl).
A ce sujet, vous utilisez plutôt le routage sur le routeur (router as a stick) ou la méthode des ACL sur switch Layer3 ?
 
Merci pour votre retour et très bonne journée !!

Reply

Marsh Posté le 20-02-2017 à 10:46:13    

Tu as toutes les infos sur Technet...

Reply

Marsh Posté le 20-02-2017 à 13:23:27    

moi j'ai aussi des HP procurve
pour info le 2350 fait bien du niv 3.
regarde si c'est un 2350al, ils font du access list ( mais que par port = galére).
Mais c'est pas génial a gerer avec les commutateurs.
si tu as les competences, j'achéterai plutôt un firewall ou advanced firewall (voir cisco, sotrmshield, fortigate etc...). Cela te permettrai d'avoir plus de possibilité de filtrage, routage, sécurité, gestion multi wan etc...


Message édité par skoizer le 21-02-2017 à 09:09:26

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 21-02-2017 à 09:10:49    

oui je cherche à gérer les règle de routage par l'intermédiaire d'un routeur/firewall Watchguard.
C'est plus pratique de gérer le routage inter-vlan par le routeur plutôt que par les switchs de niveau 3 ?

Reply

Marsh Posté le 22-02-2017 à 13:07:38    

Les sujets suivant ont été fusionnés à ce sujet par Je@nb

  • Ports a ouvrir entre vlan serveur AD2012R2 et vlan pc Windows7/10

Reply

Marsh Posté le 22-02-2017 à 13:07:38   

Reply

Marsh Posté le 24-02-2017 à 11:58:24    


Je bloque sur la mise en place d'ACL sur notre switch hp procurve 5406zl.
Sur le switch l'ip routing est activé et tous les vlans ont une adresse donc tout les vlans communiquent entre eux. Je souhaiterai donc mettre en place des restrictions de communication entre vlan sur le switch.
J'ai 2 vlan (vlan 4 et vlan 10) ; sur le vlan 4 j'ai une machine en 192.168.4.157 et sur le vlan 10 j'ai une machine en 192.168.10.1. Je souhaite que ces machines ne communiquent plus en ping icmp.
donc j'ai écrit la règle acl suivante
 
ip access-list extended drop_icmp_vlan10
deny icmp host 192.168.4.157 host 192.168.10.1
vlan 10 ip access-group drop_icmp_vlan10 in
 
pâr contre cette règle interdit également le ping à partir des autres machines du vlan4.
 
Est ce que vous avez déjà rencontré ce problème ?
 
Merci

Reply

Marsh Posté le 24-02-2017 à 21:12:51    

Les sujets suivant ont été fusionnés à ce sujet par Je@nb

  • ACL sur switch hp procurve 5406zl

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed