Bonjour,
dans mon vlan 10 j'ai des PCs  
supposons qu'il y a des PCs fixes (g leur @mac) et des PCs visiteurs (je ne connais pas leur @mac)
 
je souhaiterais interdire l'accès à certaines machines dans un même vlan: PCs visiteurs seront interdits d'accéder à certaines machines de mon vlan 10
comment faire (g pensé à vlan par adresse mac mais g l'impression que ce n'est pas la bonne solution) ?
 
merci

802.1x pour autoriser que les PC dans le domaine

dans mon VLAN supposons j'ai:
mes utilisateurs PC 1 , PC 2, PC 3
des visiteurs: PC 4, PC 5, PC 6
 
puis d'autres machines M1 et M2
je veux que PCs 1 à 3 accèdent à M1 et M2
mais que PCs 4 à 6 ne peuvent pas accéder à M1 et M2

je ne peux pas,
déjà vais créer mes vlans comme ceci:
sur un switch cisco et je déclarer vlan 10 au niveau des tels
vlan 20 : data et vlan 10: voix (mes tels ne sont pas de la marque cisco)
Switch(config-if-range)#switchport mode trunk  
Switch(config-if-range)#switchport trunk native vlan 20
Switch(config-if-range)#switchport trunk allowed vlan 10,20
 
et donc les visiteurs se retrouveront forcément dans le même vlan que mes users, ce qui pose pb pour l'accès à M1 et M2

bah tu fais un vlan 30 et sur les ports où ils se connectent tu met le vlan natif à 30.
 
Tes visiteurs ne peuvent pas se retrouver sur le même vlan que tes postes

le pb c'est que es utilisateurs et tels doivent se connecter sur n'importe kel port !  
bon je peux laisser qques ports en access que pour les visiteurs dans un vlan différent
mais voulais savoir si c'était possible à l'intérieur d'un même vlan que des machines ne puissent pas communiquer entre eux sachant que @ip est attribué dynamiquement et je ne connais pas les @ip à l'avance
 

bien que ça m'aiderait si on le pouvait  

Donc tu veux de la magie c'est ça en fait ?

non pas de la magie !
je demandais si c'était possible c'est tout

en tout cas merci pour vos propositions

"pas faisable", "faut faire un VLAN à part", "blablabla"... Et les ACL par IP ?
 
dodo15 si tu as un routeur gérant les VLAN et les ACL étendues, tu peux très bien poser des ACL par IP ou par tranche d'IP en adaptant le masque  

et qu'est-ce qui empêchera un visiteur de faire un snif et de prendre une ip dans le range des @ autorisées ? La "vraie" solution c'est 802.1x avec guest vlan/fail vlan.

 
 
 
 je comptais faire ceci:
reservation dhcp pour mes users (association ip/mac) puis pour les visiteurs dans un autre sous-réseau avec dhcp dynamique mais côté sécurité j'aime pas bcp la réservation dhcp, si ya un pb au nivo dla carté reseau ou kun pti malin change son @mac c foutu
acl par ip faudrait que je connaisse mes @ip déjà alors que ça sera dynamik ds mon cas

 
 
il me faudra un serveur radius

oui. il y en a des gratuits. si tu as un windows serveur c'est intégré. Vérifie si tu peux jouer avec les attributs en TLV

merci

Sauf à partir sur de la pose de VLAN avec une bonne identification au niveau "prise" dans ce cas, chose que tu "ne peux pas" (même si on peut toujours, c'est un faux problème tes téléphones), alors prend le problème dans l'autre sens : sur le serveur ou tes machines à accès restreint fait des règles d'acceptation/rejet suivant l'IP dans leur pare-feu (ou le logiciel serveur suivant le cas)  
 
Après par rapport à l'idée d'ACL par IP, tu ne mets évidemment pas "par IP", mais par "tranche d'IP", suivant un masque à fournir, c'est ce que je voulais dire. Tu ne mélangeras pas dans ton même masque les IP visiteurs et ceux de chez toi j'espère ?
 
Pour le suivi des adresses MAC, tu peux voir du côté d'un IPAM spécialisé dans les @MAC.

 
 
je verrai, en tt k merci