Routage intervlan ?
Résolu/Fermé
john30600
-
30 mai 2011 à 16:25
brupala Messages postés 110485 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 4 novembre 2024 - 3 juin 2011 à 00:32
brupala Messages postés 110485 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 4 novembre 2024 - 3 juin 2011 à 00:32
A voir également:
- Routage intervlan ?
- Les configurations ipv4 utilisateur peuvent ne pas fonctionner correctement en raison de l'architecture de routage ipv6 wan actuelle. - Forum Réseau
- Pivpn ipv6 sur raspberrie ✓ - Forum Réseau
- Routage audio usb - Forum Casque et écouteurs
- Routage ip non activé - Forum WiFi
- Table de routage box sfr - Forum Réseau
3 réponses
Az0t3
Messages postés
1211
Date d'inscription
mardi 8 mars 2011
Statut
Membre
Dernière intervention
31 décembre 2014
355
30 mai 2011 à 16:28
30 mai 2011 à 16:28
Salut !
Pour faire du routage inter-vlan, il te faudrait un switch de niveau 3.
Le problème c'est qu'il n'y en a pas de switchs comme ça sous Packet Tracer.
Pour faire du routage inter-vlan, il te faudrait un switch de niveau 3.
Le problème c'est qu'il n'y en a pas de switchs comme ça sous Packet Tracer.
brupala
Messages postés
110485
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
4 novembre 2024
13 836
30 mai 2011 à 17:28
30 mai 2011 à 17:28
Et pour que les 3 vlans communiquent avec le serveur mais pas entre eux, une petite access-list pour filtrer le traffic.
MHV-SEC
Messages postés
116
Date d'inscription
samedi 20 décembre 2008
Statut
Membre
Dernière intervention
22 janvier 2012
11
30 mai 2011 à 17:31
30 mai 2011 à 17:31
Tu peux m'eclaircir un peu sur le dernier point ?
brupala
Messages postés
110485
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
4 novembre 2024
13 836
30 mai 2011 à 17:45
30 mai 2011 à 17:45
MHV-SEC
Messages postés
116
Date d'inscription
samedi 20 décembre 2008
Statut
Membre
Dernière intervention
22 janvier 2012
11
Modifié par MHV-SEC le 30/05/2011 à 18:24
Modifié par MHV-SEC le 30/05/2011 à 18:24
je sait ce qu'est une access-list , mais en quoi ça peut eviter que les vlans communiquent entres eux ? tu voudrais en configurer sur chaque machine de chaque vlan ?
Az0t3
Messages postés
1211
Date d'inscription
mardi 8 mars 2011
Statut
Membre
Dernière intervention
31 décembre 2014
355
30 mai 2011 à 18:33
30 mai 2011 à 18:33
Sur le routeur. Tu interdis que tel vlan communique avec tel autre vlan.
MHV-SEC
Messages postés
116
Date d'inscription
samedi 20 décembre 2008
Statut
Membre
Dernière intervention
22 janvier 2012
11
30 mai 2011 à 18:36
30 mai 2011 à 18:36
ok ok ok , j'y vois plus clair ! , jte remercie
J'ai essayer en faisant en sorte avec une access list d'autoriser le trafic tcp pour se connecter a mon serveur http avec le port eq 80 (www)
Puis j'ai réalisé une autre access list qui elle interdisais tout autre trafic.
Mais cela ne marcher pas.
Pour faire le routage inter vlan c'est sur mon routeur que je l'ai fait.
Voici toute la config de mon pti :
vlan 2 : 172.16.20.0 /16
vlan 3 : 172.16.30.0 /16
vlan 4 : 172.16.40.0 /16
Adresse du serveur http : 172.16.50.50
Représentation graphique :
Routeur
Switch (transparent)
Switch (vtp serveur) Switch (Client)
Serveur http
Le switch serveur est connécté au transparent qui lieu est connecté au routeur et au switch client, ainsi qu'au serveur http.
Comment configurer le routage intervlan ?
J'ai fait :
int fa0/0.1
encapsulation dot1Q 2
ip address 172.16.20.1 (passerelle de mes pc) 255.255.255.0
La mac adresse je suis obliger de mettre 255.255.255.0 car sinon il m'indique un overlaps quand je configurer mes interfaces int fa0/0.2 et int fa0/0.4.
En mettant 3 * 255 au lieu de 2* 255 (classe B) cela fonctionne.
Tout le monde recommunique ensemble.
Merci de m'indiquer si je fais une erreur et quel pourrais etre cet acces list car cela n'a pas marcher ...
Cordialement,
John
Puis j'ai réalisé une autre access list qui elle interdisais tout autre trafic.
Mais cela ne marcher pas.
Pour faire le routage inter vlan c'est sur mon routeur que je l'ai fait.
Voici toute la config de mon pti :
vlan 2 : 172.16.20.0 /16
vlan 3 : 172.16.30.0 /16
vlan 4 : 172.16.40.0 /16
Adresse du serveur http : 172.16.50.50
Représentation graphique :
Routeur
Switch (transparent)
Switch (vtp serveur) Switch (Client)
Serveur http
Le switch serveur est connécté au transparent qui lieu est connecté au routeur et au switch client, ainsi qu'au serveur http.
Comment configurer le routage intervlan ?
J'ai fait :
int fa0/0.1
encapsulation dot1Q 2
ip address 172.16.20.1 (passerelle de mes pc) 255.255.255.0
La mac adresse je suis obliger de mettre 255.255.255.0 car sinon il m'indique un overlaps quand je configurer mes interfaces int fa0/0.2 et int fa0/0.4.
En mettant 3 * 255 au lieu de 2* 255 (classe B) cela fonctionne.
Tout le monde recommunique ensemble.
Merci de m'indiquer si je fais une erreur et quel pourrais etre cet acces list car cela n'a pas marcher ...
Cordialement,
John
brupala
Messages postés
110485
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
4 novembre 2024
13 836
30 mai 2011 à 19:18
30 mai 2011 à 19:18
tu as une seule ligne access-list à faire:
access-list 101 permit ip any host 172.16.50.50
(le deny all est implicite derrière)
et tu mets sur les 3 sous interfaces mais pas sur celle dans le vlan du serveur (fast0/0.4 je suppose)
ip access-group 101 in
PS,
La mac adresse je suis obliger de mettre 255.255.255.0 car sinon il m'indique un overlaps quand je configurer mes interfaces int fa0/0.2 et int fa0/0.4.
255.255.255.0 n'est pas la mac adresse, c'est le masque du réseau
bien entendu les réseaux doivent être différents sur les 4 sous interfaces
access-list 101 permit ip any host 172.16.50.50
(le deny all est implicite derrière)
et tu mets sur les 3 sous interfaces mais pas sur celle dans le vlan du serveur (fast0/0.4 je suppose)
ip access-group 101 in
PS,
La mac adresse je suis obliger de mettre 255.255.255.0 car sinon il m'indique un overlaps quand je configurer mes interfaces int fa0/0.2 et int fa0/0.4.
255.255.255.0 n'est pas la mac adresse, c'est le masque du réseau
bien entendu les réseaux doivent être différents sur les 4 sous interfaces
Oups pardon, je me suis trompé je parler d'adresse mac et non de mac adresse je fais toujours sur quiproquo oO!
J'ai donc essayer cela ne marche pas avec cet access list.
Sur le routeur j'ai fait comme configuration :
Config t
int fa0/0.1
encapsulation dot1Q 2
ip address 172.16.20.1 255.255.255.0
no shut
Pareil pour le vlan 3 et 4
De ce fait il communique tout ensemble
Il n'arrive pas a communiquer au serveur vu qu'il est sur le vlan 1
J'ai effectué ton access list 101 permit ip any host 172.16.50.50
Cela est bien rentré dans la configuration
Par contre le ip access-group 101 in, n'existe pas Oo.
Je n'ai pas pu le mettre de ce fait.
Par contre, je ne crois pas que le deny all est implicite car il ne se voye pas quand je fais un show access-list.
Les postes ne communique pas avec le serveur toujours. J'ai donc effectué une nouvelle sous interface sur le routeur, int fa0/0.1
encapsulation dot1q 1
ip address 172.16.50.1 255.255.255.0
Et la les postes communiquent avec le serveur. Mais communique toujours entre tout les vlans aussi.
Si tu peux m'aider sur les access-list je ne vois pas quoi mettre du coup.
J'ai donc essayer cela ne marche pas avec cet access list.
Sur le routeur j'ai fait comme configuration :
Config t
int fa0/0.1
encapsulation dot1Q 2
ip address 172.16.20.1 255.255.255.0
no shut
Pareil pour le vlan 3 et 4
De ce fait il communique tout ensemble
Il n'arrive pas a communiquer au serveur vu qu'il est sur le vlan 1
J'ai effectué ton access list 101 permit ip any host 172.16.50.50
Cela est bien rentré dans la configuration
Par contre le ip access-group 101 in, n'existe pas Oo.
Je n'ai pas pu le mettre de ce fait.
Par contre, je ne crois pas que le deny all est implicite car il ne se voye pas quand je fais un show access-list.
Les postes ne communique pas avec le serveur toujours. J'ai donc effectué une nouvelle sous interface sur le routeur, int fa0/0.1
encapsulation dot1q 1
ip address 172.16.50.1 255.255.255.0
Et la les postes communiquent avec le serveur. Mais communique toujours entre tout les vlans aussi.
Si tu peux m'aider sur les access-list je ne vois pas quoi mettre du coup.
brupala
Messages postés
110485
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
4 novembre 2024
13 836
Modifié par brupala le 30/05/2011 à 23:12
Modifié par brupala le 30/05/2011 à 23:12
c'est sûr, si tu n'avais pas fait de sous interface vers le vlan 1 du serveur dans le routeur ...
Le ip access-group c'est au niveau de chaque sous interface, sauf celle vers le vlan du serveur (la 0.1 donc):
https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html
le deny all ne se voit pas, mais c'est la dernière règle de la liste.
Le ip access-group c'est au niveau de chaque sous interface, sauf celle vers le vlan du serveur (la 0.1 donc):
https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html
le deny all ne se voit pas, mais c'est la dernière règle de la liste.
brupala
Messages postés
110485
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
4 novembre 2024
13 836
31 mai 2011 à 14:39
31 mai 2011 à 14:39
:-))
30 mai 2011 à 16:38
un routeur ça sert à ça aussi.
30 mai 2011 à 16:38
30 mai 2011 à 16:40
C'est juste que je suis sur ça en ce moment à mon stage : les switchs niveau 3 pour faire du joli routage inter-vlan.
Complètement à la masse, vais aller me coucher moi ! ^^
30 mai 2011 à 16:44
30 mai 2011 à 16:47