acl dans un vlan - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 23-10-2014 à 16:26:23
dans mon VLAN supposons j'ai:
mes utilisateurs PC 1 , PC 2, PC 3
des visiteurs: PC 4, PC 5, PC 6
puis d'autres machines M1 et M2
je veux que PCs 1 à 3 accèdent à M1 et M2
mais que PCs 4 à 6 ne peuvent pas accéder à M1 et M2
Marsh Posté le 23-10-2014 à 17:06:20
je ne peux pas,
déjà vais créer mes vlans comme ceci:
sur un switch cisco et je déclarer vlan 10 au niveau des tels
vlan 20 : data et vlan 10: voix (mes tels ne sont pas de la marque cisco)
Switch(config-if-range)#switchport mode trunk
Switch(config-if-range)#switchport trunk native vlan 20
Switch(config-if-range)#switchport trunk allowed vlan 10,20
et donc les visiteurs se retrouveront forcément dans le même vlan que mes users, ce qui pose pb pour l'accès à M1 et M2
Marsh Posté le 23-10-2014 à 17:20:12
bah tu fais un vlan 30 et sur les ports où ils se connectent tu met le vlan natif à 30.
Tes visiteurs ne peuvent pas se retrouver sur le même vlan que tes postes
Marsh Posté le 23-10-2014 à 18:12:55
le pb c'est que es utilisateurs et tels doivent se connecter sur n'importe kel port !
bon je peux laisser qques ports en access que pour les visiteurs dans un vlan différent
mais voulais savoir si c'était possible à l'intérieur d'un même vlan que des machines ne puissent pas communiquer entre eux sachant que @ip est attribué dynamiquement et je ne connais pas les @ip à l'avance
Marsh Posté le 23-10-2014 à 18:27:31
non pas de la magie !
je demandais si c'était possible c'est tout
Marsh Posté le 24-10-2014 à 07:31:07
"pas faisable", "faut faire un VLAN à part", "blablabla"... Et les ACL par IP ?
dodo15 si tu as un routeur gérant les VLAN et les ACL étendues, tu peux très bien poser des ACL par IP ou par tranche d'IP en adaptant le masque
Marsh Posté le 25-10-2014 à 20:31:30
et qu'est-ce qui empêchera un visiteur de faire un snif et de prendre une ip dans le range des @ autorisées ? La "vraie" solution c'est 802.1x avec guest vlan/fail vlan.
Marsh Posté le 27-10-2014 à 09:33:36
bardiel a écrit : "pas faisable", "faut faire un VLAN à part", "blablabla"... Et les ACL par IP ? |
je comptais faire ceci:
reservation dhcp pour mes users (association ip/mac) puis pour les visiteurs dans un autre sous-réseau avec dhcp dynamique mais côté sécurité j'aime pas bcp la réservation dhcp, si ya un pb au nivo dla carté reseau ou kun pti malin change son @mac c foutu
acl par ip faudrait que je connaisse mes @ip déjà alors que ça sera dynamik ds mon cas
Marsh Posté le 27-10-2014 à 09:37:00
dreamer18 a écrit : et qu'est-ce qui empêchera un visiteur de faire un snif et de prendre une ip dans le range des @ autorisées ? La "vraie" solution c'est 802.1x avec guest vlan/fail vlan. |
il me faudra un serveur radius
Marsh Posté le 27-10-2014 à 09:53:22
oui. il y en a des gratuits. si tu as un windows serveur c'est intégré. Vérifie si tu peux jouer avec les attributs en TLV
Marsh Posté le 28-10-2014 à 07:29:33
dodo15 a écrit : je comptais faire ceci: |
Sauf à partir sur de la pose de VLAN avec une bonne identification au niveau "prise" dans ce cas, chose que tu "ne peux pas" (même si on peut toujours, c'est un faux problème tes téléphones), alors prend le problème dans l'autre sens : sur le serveur ou tes machines à accès restreint fait des règles d'acceptation/rejet suivant l'IP dans leur pare-feu (ou le logiciel serveur suivant le cas)
Après par rapport à l'idée d'ACL par IP, tu ne mets évidemment pas "par IP", mais par "tranche d'IP", suivant un masque à fournir, c'est ce que je voulais dire. Tu ne mélangeras pas dans ton même masque les IP visiteurs et ceux de chez toi j'espère ?
Pour le suivi des adresses MAC, tu peux voir du côté d'un IPAM spécialisé dans les @MAC.
Marsh Posté le 29-10-2014 à 17:53:18
bardiel a écrit : |
je verrai, en tt k merci
Marsh Posté le 23-10-2014 à 16:08:59
Bonjour,
dans mon vlan 10 j'ai des PCs
supposons qu'il y a des PCs fixes (g leur @mac) et des PCs visiteurs (je ne connais pas leur @mac)
je souhaiterais interdire l'accès à certaines machines dans un même vlan: PCs visiteurs seront interdits d'accéder à certaines machines de mon vlan 10
comment faire (g pensé à vlan par adresse mac mais g l'impression que ce n'est pas la bonne solution) ?
merci