acl dans un vlan

acl dans un vlan - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 23-10-2014 à 16:08:59    

Bonjour,
dans mon vlan 10 j'ai des PCs  
supposons qu'il y a des PCs fixes (g leur @mac) et des PCs visiteurs (je ne connais pas leur @mac)
 
je souhaiterais interdire l'accès à certaines machines dans un même vlan: PCs visiteurs seront interdits d'accéder à certaines machines de mon vlan 10
comment faire (g pensé à vlan par adresse mac mais g l'impression que ce n'est pas la bonne solution) ?
 
merci

Reply

Marsh Posté le 23-10-2014 à 16:08:59   

Reply

Marsh Posté le 23-10-2014 à 16:20:26    

802.1x pour autoriser que les PC dans le domaine

Reply

Marsh Posté le 23-10-2014 à 16:26:23    

dans mon VLAN supposons j'ai:
mes utilisateurs PC 1 , PC 2, PC 3
des visiteurs: PC 4, PC 5, PC 6
 
puis d'autres machines M1 et M2
je veux que PCs 1 à 3 accèdent à M1 et M2
mais que PCs 4 à 6 ne peuvent pas accéder à M1 et M2

Reply

Marsh Posté le 23-10-2014 à 17:06:20    

je ne peux pas,
déjà vais créer mes vlans comme ceci:
sur un switch cisco et je déclarer vlan 10 au niveau des tels
vlan 20 : data et vlan 10: voix (mes tels ne sont pas de la marque cisco)
Switch(config-if-range)#switchport mode trunk  
Switch(config-if-range)#switchport trunk native vlan 20
Switch(config-if-range)#switchport trunk allowed vlan 10,20
 
et donc les visiteurs se retrouveront forcément dans le même vlan que mes users, ce qui pose pb pour l'accès à M1 et M2


Message édité par dodo15 le 23-10-2014 à 17:09:11
Reply

Marsh Posté le 23-10-2014 à 17:20:12    

bah tu fais un vlan 30 et sur les ports où ils se connectent tu met le vlan natif à 30.
 
Tes visiteurs ne peuvent pas se retrouver sur le même vlan que tes postes

Reply

Marsh Posté le 23-10-2014 à 18:12:55    

le pb c'est que es utilisateurs et tels doivent se connecter sur n'importe kel port !  
bon je peux laisser qques ports en access que pour les visiteurs dans un vlan différent
mais voulais savoir si c'était possible à l'intérieur d'un même vlan que des machines ne puissent pas communiquer entre eux sachant que @ip est attribué dynamiquement et je ne connais pas les @ip à l'avance
 

Reply

Marsh Posté le 23-10-2014 à 18:14:03    

bien que ça m'aiderait si on le pouvait  :)

Reply

Marsh Posté le 23-10-2014 à 18:25:15    

Donc tu veux de la magie c'est ça en fait ?

Reply

Marsh Posté le 23-10-2014 à 18:27:31    

non pas de la magie !
je demandais si c'était possible c'est tout

Reply

Marsh Posté le 23-10-2014 à 18:30:55    

en tout cas merci pour vos propositions

Reply

Marsh Posté le 23-10-2014 à 18:30:55   

Reply

Marsh Posté le 24-10-2014 à 07:31:07    

:ange: "pas faisable", "faut faire un VLAN à part", "blablabla"... Et les ACL par IP ?
 
dodo15 si tu as un routeur gérant les VLAN et les ACL étendues, tu peux très bien poser des ACL par IP ou par tranche d'IP en adaptant le masque [:spamatounet]  


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 25-10-2014 à 20:31:30    

et qu'est-ce qui empêchera un visiteur de faire un snif et de prendre une ip dans le range des @ autorisées ? La "vraie" solution c'est 802.1x avec guest vlan/fail vlan.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 27-10-2014 à 09:33:36    

bardiel a écrit :

:ange: "pas faisable", "faut faire un VLAN à part", "blablabla"... Et les ACL par IP ?
 
dodo15 si tu as un routeur gérant les VLAN et les ACL étendues, tu peux très bien poser des ACL par IP ou par tranche d'IP en adaptant le masque [:spamatounet]  


 
 
 
 je comptais faire ceci:
reservation dhcp pour mes users (association ip/mac) puis pour les visiteurs dans un autre sous-réseau avec dhcp dynamique mais côté sécurité :/ j'aime pas bcp la réservation dhcp, si ya un pb au nivo dla carté reseau ou kun pti malin change son @mac c foutu
acl par ip faudrait que je connaisse mes @ip déjà alors que ça sera dynamik ds mon cas

Reply

Marsh Posté le 27-10-2014 à 09:37:00    

dreamer18 a écrit :

et qu'est-ce qui empêchera un visiteur de faire un snif et de prendre une ip dans le range des @ autorisées ? La "vraie" solution c'est 802.1x avec guest vlan/fail vlan.


 
 
il me faudra un serveur radius

Reply

Marsh Posté le 27-10-2014 à 09:53:22    

oui. il y en a des gratuits. si tu as un windows serveur c'est intégré. Vérifie si tu peux jouer avec les attributs en TLV


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 27-10-2014 à 17:25:34    

merci

Reply

Marsh Posté le 28-10-2014 à 07:29:33    

dodo15 a écrit :

je comptais faire ceci:
reservation dhcp pour mes users (association ip/mac) puis pour les visiteurs dans un autre sous-réseau avec dhcp dynamique mais côté sécurité :/ j'aime pas bcp la réservation dhcp, si ya un pb au nivo dla carté reseau ou kun pti malin change son @mac c foutu
acl par ip faudrait que je connaisse mes @ip déjà alors que ça sera dynamik ds mon cas


Sauf à partir sur de la pose de VLAN avec une bonne identification au niveau "prise" dans ce cas, chose que tu "ne peux pas" (même si on peut toujours, c'est un faux problème tes téléphones), alors prend le problème dans l'autre sens : sur le serveur ou tes machines à accès restreint fait des règles d'acceptation/rejet suivant l'IP dans leur pare-feu (ou le logiciel serveur suivant le cas) [:spamatounet]  
 
Après par rapport à l'idée d'ACL par IP, tu ne mets évidemment pas "par IP", mais par "tranche d'IP", suivant un masque à fournir, c'est ce que je voulais dire. Tu ne mélangeras pas dans ton même masque les IP visiteurs et ceux de chez toi j'espère ?
 
Pour le suivi des adresses MAC, tu peux voir du côté d'un IPAM spécialisé dans les @MAC.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 29-10-2014 à 17:53:18    

bardiel a écrit :


Sauf à partir sur de la pose de VLAN avec une bonne identification au niveau "prise" dans ce cas, chose que tu "ne peux pas" (même si on peut toujours, c'est un faux problème tes téléphones), alors prend le problème dans l'autre sens : sur le serveur ou tes machines à accès restreint fait des règles d'acceptation/rejet suivant l'IP dans leur pare-feu (ou le logiciel serveur suivant le cas) [:spamatounet]  
 
Après par rapport à l'idée d'ACL par IP, tu ne mets évidemment pas "par IP", mais par "tranche d'IP", suivant un masque à fournir, c'est ce que je voulais dire. Tu ne mélangeras pas dans ton même masque les IP visiteurs et ceux de chez toi j'espère ?
 
Pour le suivi des adresses MAC, tu peux voir du côté d'un IPAM spécialisé dans les @MAC.


 
 
je verrai, en tt k merci  :)


Message édité par dodo15 le 29-10-2014 à 17:53:49
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed