Routage intervlan ?
Résolu
john30600
-
brupala Messages postés 112039 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112039 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je voudrais des renseignements,pour un problème sur le routage intervlan.
Je vous explique ma situation.
J'effectue un pti pour mes examens et un probleme se pose à un moment donné.
J'effectue plusieurs vlan pour que les postes ne communiquent pas ensemble.
3 vlan + vlan 1 qui est celui par défaut.
Mais il faudrais que j'intègre à la fin un serveur http (qui sera sur le vlan 1) et de ce fait, tout les vlans doivent pouvoir s'y connecter sur ce dernier. Mais ne doivent pas communiquer ensemble (un peu compliqué mon explication j'avou).
J'utilise pour cela le logiciel packet tracer.
Auriez vous une idée de la configuration, car de ce fait tout le monde communique ensemble etvont sur le serveur http.
Cordialement,
John
Je voudrais des renseignements,pour un problème sur le routage intervlan.
Je vous explique ma situation.
J'effectue un pti pour mes examens et un probleme se pose à un moment donné.
J'effectue plusieurs vlan pour que les postes ne communiquent pas ensemble.
3 vlan + vlan 1 qui est celui par défaut.
Mais il faudrais que j'intègre à la fin un serveur http (qui sera sur le vlan 1) et de ce fait, tout les vlans doivent pouvoir s'y connecter sur ce dernier. Mais ne doivent pas communiquer ensemble (un peu compliqué mon explication j'avou).
J'utilise pour cela le logiciel packet tracer.
Auriez vous une idée de la configuration, car de ce fait tout le monde communique ensemble etvont sur le serveur http.
Cordialement,
John
A voir également:
- Routage fibre optique reims
- Just livebox fibre avis - Accueil - Box & Connexion Internet
- Carte arcep fibre - Accueil - Box & Connexion Internet
- Schéma installation rj45 maison fibre - Forum câblage
- Schéma installation fibre optique maison individuelle - Forum Fibre Optique
- Dns orange fibre - Accueil - Guide box et connexion Internet
3 réponses
Salut !
Pour faire du routage inter-vlan, il te faudrait un switch de niveau 3.
Le problème c'est qu'il n'y en a pas de switchs comme ça sous Packet Tracer.
Pour faire du routage inter-vlan, il te faudrait un switch de niveau 3.
Le problème c'est qu'il n'y en a pas de switchs comme ça sous Packet Tracer.
Et pour que les 3 vlans communiquent avec le serveur mais pas entre eux, une petite access-list pour filtrer le traffic.
J'ai essayer en faisant en sorte avec une access list d'autoriser le trafic tcp pour se connecter a mon serveur http avec le port eq 80 (www)
Puis j'ai réalisé une autre access list qui elle interdisais tout autre trafic.
Mais cela ne marcher pas.
Pour faire le routage inter vlan c'est sur mon routeur que je l'ai fait.
Voici toute la config de mon pti :
vlan 2 : 172.16.20.0 /16
vlan 3 : 172.16.30.0 /16
vlan 4 : 172.16.40.0 /16
Adresse du serveur http : 172.16.50.50
Représentation graphique :
Routeur
Switch (transparent)
Switch (vtp serveur) Switch (Client)
Serveur http
Le switch serveur est connécté au transparent qui lieu est connecté au routeur et au switch client, ainsi qu'au serveur http.
Comment configurer le routage intervlan ?
J'ai fait :
int fa0/0.1
encapsulation dot1Q 2
ip address 172.16.20.1 (passerelle de mes pc) 255.255.255.0
La mac adresse je suis obliger de mettre 255.255.255.0 car sinon il m'indique un overlaps quand je configurer mes interfaces int fa0/0.2 et int fa0/0.4.
En mettant 3 * 255 au lieu de 2* 255 (classe B) cela fonctionne.
Tout le monde recommunique ensemble.
Merci de m'indiquer si je fais une erreur et quel pourrais etre cet acces list car cela n'a pas marcher ...
Cordialement,
John
Puis j'ai réalisé une autre access list qui elle interdisais tout autre trafic.
Mais cela ne marcher pas.
Pour faire le routage inter vlan c'est sur mon routeur que je l'ai fait.
Voici toute la config de mon pti :
vlan 2 : 172.16.20.0 /16
vlan 3 : 172.16.30.0 /16
vlan 4 : 172.16.40.0 /16
Adresse du serveur http : 172.16.50.50
Représentation graphique :
Routeur
Switch (transparent)
Switch (vtp serveur) Switch (Client)
Serveur http
Le switch serveur est connécté au transparent qui lieu est connecté au routeur et au switch client, ainsi qu'au serveur http.
Comment configurer le routage intervlan ?
J'ai fait :
int fa0/0.1
encapsulation dot1Q 2
ip address 172.16.20.1 (passerelle de mes pc) 255.255.255.0
La mac adresse je suis obliger de mettre 255.255.255.0 car sinon il m'indique un overlaps quand je configurer mes interfaces int fa0/0.2 et int fa0/0.4.
En mettant 3 * 255 au lieu de 2* 255 (classe B) cela fonctionne.
Tout le monde recommunique ensemble.
Merci de m'indiquer si je fais une erreur et quel pourrais etre cet acces list car cela n'a pas marcher ...
Cordialement,
John
tu as une seule ligne access-list à faire:
access-list 101 permit ip any host 172.16.50.50
(le deny all est implicite derrière)
et tu mets sur les 3 sous interfaces mais pas sur celle dans le vlan du serveur (fast0/0.4 je suppose)
ip access-group 101 in
PS,
La mac adresse je suis obliger de mettre 255.255.255.0 car sinon il m'indique un overlaps quand je configurer mes interfaces int fa0/0.2 et int fa0/0.4.
255.255.255.0 n'est pas la mac adresse, c'est le masque du réseau
bien entendu les réseaux doivent être différents sur les 4 sous interfaces
access-list 101 permit ip any host 172.16.50.50
(le deny all est implicite derrière)
et tu mets sur les 3 sous interfaces mais pas sur celle dans le vlan du serveur (fast0/0.4 je suppose)
ip access-group 101 in
PS,
La mac adresse je suis obliger de mettre 255.255.255.0 car sinon il m'indique un overlaps quand je configurer mes interfaces int fa0/0.2 et int fa0/0.4.
255.255.255.0 n'est pas la mac adresse, c'est le masque du réseau
bien entendu les réseaux doivent être différents sur les 4 sous interfaces
Oups pardon, je me suis trompé je parler d'adresse mac et non de mac adresse je fais toujours sur quiproquo oO!
J'ai donc essayer cela ne marche pas avec cet access list.
Sur le routeur j'ai fait comme configuration :
Config t
int fa0/0.1
encapsulation dot1Q 2
ip address 172.16.20.1 255.255.255.0
no shut
Pareil pour le vlan 3 et 4
De ce fait il communique tout ensemble
Il n'arrive pas a communiquer au serveur vu qu'il est sur le vlan 1
J'ai effectué ton access list 101 permit ip any host 172.16.50.50
Cela est bien rentré dans la configuration
Par contre le ip access-group 101 in, n'existe pas Oo.
Je n'ai pas pu le mettre de ce fait.
Par contre, je ne crois pas que le deny all est implicite car il ne se voye pas quand je fais un show access-list.
Les postes ne communique pas avec le serveur toujours. J'ai donc effectué une nouvelle sous interface sur le routeur, int fa0/0.1
encapsulation dot1q 1
ip address 172.16.50.1 255.255.255.0
Et la les postes communiquent avec le serveur. Mais communique toujours entre tout les vlans aussi.
Si tu peux m'aider sur les access-list je ne vois pas quoi mettre du coup.
J'ai donc essayer cela ne marche pas avec cet access list.
Sur le routeur j'ai fait comme configuration :
Config t
int fa0/0.1
encapsulation dot1Q 2
ip address 172.16.20.1 255.255.255.0
no shut
Pareil pour le vlan 3 et 4
De ce fait il communique tout ensemble
Il n'arrive pas a communiquer au serveur vu qu'il est sur le vlan 1
J'ai effectué ton access list 101 permit ip any host 172.16.50.50
Cela est bien rentré dans la configuration
Par contre le ip access-group 101 in, n'existe pas Oo.
Je n'ai pas pu le mettre de ce fait.
Par contre, je ne crois pas que le deny all est implicite car il ne se voye pas quand je fais un show access-list.
Les postes ne communique pas avec le serveur toujours. J'ai donc effectué une nouvelle sous interface sur le routeur, int fa0/0.1
encapsulation dot1q 1
ip address 172.16.50.1 255.255.255.0
Et la les postes communiquent avec le serveur. Mais communique toujours entre tout les vlans aussi.
Si tu peux m'aider sur les access-list je ne vois pas quoi mettre du coup.
c'est sûr, si tu n'avais pas fait de sous interface vers le vlan 1 du serveur dans le routeur ...
Le ip access-group c'est au niveau de chaque sous interface, sauf celle vers le vlan du serveur (la 0.1 donc):
https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html
le deny all ne se voit pas, mais c'est la dernière règle de la liste.
Le ip access-group c'est au niveau de chaque sous interface, sauf celle vers le vlan du serveur (la 0.1 donc):
https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html
le deny all ne se voit pas, mais c'est la dernière règle de la liste.
un routeur ça sert à ça aussi.
C'est juste que je suis sur ça en ce moment à mon stage : les switchs niveau 3 pour faire du joli routage inter-vlan.
Complètement à la masse, vais aller me coucher moi ! ^^