Vlan Visiteur
h.mohamed
Messages postés
31
Statut
Membre
-
MAllus Messages postés 22 Statut Membre -
MAllus Messages postés 22 Statut Membre -
Bonjour
Y'a t'il un moyen de redirigé tous les postes n'appartenant pas un mon domaine vers un Vlan spécifique(ex : Vlan Visiteur).
Et limité l'accès a ce Vlan de tel façon a lui interdire l'accès au ressources interne de ma compagnie.
Votre aide me sera précieuse.
Merci
Y'a t'il un moyen de redirigé tous les postes n'appartenant pas un mon domaine vers un Vlan spécifique(ex : Vlan Visiteur).
Et limité l'accès a ce Vlan de tel façon a lui interdire l'accès au ressources interne de ma compagnie.
Votre aide me sera précieuse.
Merci
14 réponses
Bonjour,
Je ne pense pas qu'on puisse créer des Vlan en fonction du groupe de travail, mais on peut surement arrivé au même résultat avec des Vlan de niveau 2.
Pour moi le mieux serais de créer tout les autres Vlan au niveau deux donc en rentrant une table d'adresse mac, pour chaque Vlan, contenant les adresses des PC pouvant ce connecter. De cette façon les PC possédant une adresse mac enregistrer seront dirigé directement dans les Vlan internet et ceux qui n'ont pas une adresse mac correcte ne serons dans le seul Vlan ou ils pourront aller c'est a dire le Vlan visiteur.
Après il suffit d'interdire l'accès du vlan visiteur au autre vlan.
Je ne pense pas qu'on puisse créer des Vlan en fonction du groupe de travail, mais on peut surement arrivé au même résultat avec des Vlan de niveau 2.
Pour moi le mieux serais de créer tout les autres Vlan au niveau deux donc en rentrant une table d'adresse mac, pour chaque Vlan, contenant les adresses des PC pouvant ce connecter. De cette façon les PC possédant une adresse mac enregistrer seront dirigé directement dans les Vlan internet et ceux qui n'ont pas une adresse mac correcte ne serons dans le seul Vlan ou ils pourront aller c'est a dire le Vlan visiteur.
Après il suffit d'interdire l'accès du vlan visiteur au autre vlan.
Bonjour.
Déja pour un parc de 400 Pcs ça ne sera pas evident de saisir les adresse mac de tous les PCs.
Sinon comment pourrai le interdire l'accès du Vlan visiteur au autre Vlan
Déja pour un parc de 400 Pcs ça ne sera pas evident de saisir les adresse mac de tous les PCs.
Sinon comment pourrai le interdire l'accès du Vlan visiteur au autre Vlan
effectivement rentrer les adresses mac de 400 PC ce n'est pas évident. Peut être en utilisant des Vlan de niveau 3 dans ce cas chaque Vlan correspond a un sous réseaux. Si vous disposez d'un serveur DHCP il suffit de le configurer pour qu'il attribue une adresse dans une certaine plage(sur une plage qui correspondras au Vlan visiteur) aux PC qui veulent ce connecter et de configurer une adresse IP fixe sur les autre station ( ce qui poseras peut être problème pour 400 PC :/)
Par défaut un Vlan est une séparation virtuel du réseaux, étant donné qu'ils seront sur des réseaux différent il faudrait un routeur pour qu'ils communiquent, donc s'il ni a pas de routeur inter vlan, et pas commutateur de niveaux trois, les vlan différents ne pourront pas communiquer entre eux.
Par défaut un Vlan est une séparation virtuel du réseaux, étant donné qu'ils seront sur des réseaux différent il faudrait un routeur pour qu'ils communiquent, donc s'il ni a pas de routeur inter vlan, et pas commutateur de niveaux trois, les vlan différents ne pourront pas communiquer entre eux.
Je crois que c'est le cas de notre réseau.
Sauf Nous avons plusieurs Vlan qui sont configuré sur Un serveur DHCP, chaque Vlan correspond a un étage de notre bâtiment en plus d'un Vlan Visiteur (pour les postes hors domaine).
Aussi nous utilisant des routeurs et des Switchs qui permettent l'interconnexion des Vlans
ma problématique est comme suit :
1- A quel niveau (Routeur, Active Directory ou Switch...) pourrai-je faire un configue de tel façon que chaque poste qui n'appartient pas au domaine y soit affecté automatiquement au vlan visiteur.
2- Interdire la communication entre le Vlan Visiteur et les autres Vlans
Merci pour votre aide
Cordialement
Sauf Nous avons plusieurs Vlan qui sont configuré sur Un serveur DHCP, chaque Vlan correspond a un étage de notre bâtiment en plus d'un Vlan Visiteur (pour les postes hors domaine).
Aussi nous utilisant des routeurs et des Switchs qui permettent l'interconnexion des Vlans
ma problématique est comme suit :
1- A quel niveau (Routeur, Active Directory ou Switch...) pourrai-je faire un configue de tel façon que chaque poste qui n'appartient pas au domaine y soit affecté automatiquement au vlan visiteur.
2- Interdire la communication entre le Vlan Visiteur et les autres Vlans
Merci pour votre aide
Cordialement
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Si tes visiteur ce trouve toujours sur les même prise réseau fait un VLAN par port auquel tu attribue tout les ports ou des visiteur ce connect. si c'est du wifi créer un SSID Invité (ou ce que tu veut) et tu brasse le routeur sur un le bon VLAN!
Par définition si c'est un VLAN il est isolé. a moi que tu configure un port de communication avec le reste il sera isolé du réseau.
La je me perd un peu.
Ex : j'ai mes serveurs qui sont sur un Vlan dédié, et tous les autres Vlan y accèdent mème le Vlan Visiteur (ce qui posent probleme)
Ex : j'ai mes serveurs qui sont sur un Vlan dédié, et tous les autres Vlan y accèdent mème le Vlan Visiteur (ce qui posent probleme)
Oui j'avais pas fait gaffe tes serveur sont un VLAN "partagé" je serait pas te dire comment l'isolé par vlan. Mais si tu a un domaine tes partage etc sont bien protéger par l'AD donc si il n'y a pas d'authentification il n'ont pas d'accès a tes serveur. Donc a moins que tu ai mis "0000" comme mot de passe au utilisateur tu devrai étre plutot tranquille!
C'est plus l'accès a notre Intranet que je veut leurs interdire. cette page n'est pas protégé par une authentification.
Etant donné que tu utilise des routeur pour la communication inter vlan et que les vlan sont configurer en fonction des adresses Ip tu peut utilisé des access-list
il suffit juste de dire au routeur de filtrer toute les adresses IP du vlan visiteur vers les autres vlan
exemple pour un routeur cisco
access-list 100 deny ip [adresse vlan visiteur] [masque inversé] any
Avec cette ligne vous bloquerez tout le trafic venant du vlan visiteur, même vers le net. Mais je suppose que vous avez déjà une politique de sécurité donc ce n'est peut être pas évident de rajouter des access-list.
Pour bloquer uniquement vers le réseaux interne il suffit de mettre a la place de "any" les adresse réseaux de différent vlan qu'il faut protégé, il faut donc une ligne pour chaque Vlan
il suffit juste de dire au routeur de filtrer toute les adresses IP du vlan visiteur vers les autres vlan
exemple pour un routeur cisco
access-list 100 deny ip [adresse vlan visiteur] [masque inversé] any
Avec cette ligne vous bloquerez tout le trafic venant du vlan visiteur, même vers le net. Mais je suppose que vous avez déjà une politique de sécurité donc ce n'est peut être pas évident de rajouter des access-list.
Pour bloquer uniquement vers le réseaux interne il suffit de mettre a la place de "any" les adresse réseaux de différent vlan qu'il faut protégé, il faut donc une ligne pour chaque Vlan
Réserve une plage d'adresse pour les visiteur via un DHCP tu interdit l'accès a l'intranet pour cette plage avec ton serveur web via le module de routage intégrer a 2K3 srv. c'est un peut tordu mais ça devrai fonctionner... ^^
A vrai dire c'est un intégrateur qui a mis en place notre réseau. je vous cache pas que la politique de sécurité est limité inexistante.
Tous nos switch sont relié a 02 catalyst Cisco 4507R(01 sur Chaque Blocs).
Si je me trompe pas l'acces list devra etre faite sur ces Routeurs
Tous nos switch sont relié a 02 catalyst Cisco 4507R(01 sur Chaque Blocs).
Si je me trompe pas l'acces list devra etre faite sur ces Routeurs
Une politique bonne politique de sécurité est importante dans une entreprise surtout lorsqu'il y a un accès a internet et des serveur accessible depuis internet sur le réseaux internet.
D'après se que vous dite ces bien sur les deux routeur catalyst Cisco 4507R, qu'il faut configurer les access-list.
D'après se que vous dite ces bien sur les deux routeur catalyst Cisco 4507R, qu'il faut configurer les access-list.
