Access list Switch Cisco
Résolu
Fofolito
Messages postés
38
Date d'inscription
Statut
Membre
Dernière intervention
-
sultanbko -
sultanbko -
Salut,
J'ai quelques petits problèmes au niveau des access list du switch Cisco 3750. En fait j'ai 2 switch : 1 2970 et 1 3750. Les deux sont connectés ensemble par une fibre optique (port en mode trunk). J'ai 3 vlan :
vlan 1 (par défaut)--> adresse ip 172.16.15.1/24
vlan 200 --> adresse ip 10.1.1.1/24
vlan 203 --> adresse ip 10.1.2.1/24
j'ai crée un access list de la façon suivante:
access-list 101 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 deny ip any any
j'ai ensuite configuré mon vlan 200 de la façon suivante
interface vlan 200
ip access-group 101 in
Ce que je voulais faire en fait avec cet access-list c'est permettre seulement au réseau 10.1.2.0/24 de pinguer le réseau 10.1.1.0/24. Mais je voulais que le réseau 10.1.1.0/24 puisse accéder à tout le monde.
Le problème c'est que du réseau 10.1.1.0/24 (vlan 200) je ne peux pinguer nulle part. Lorsque j'effectue un ping d'un ordi appartenant au vlan 200 j'obtient la réponse :
Est-ce normal??
Sinon depuis un ordi du vlan 203 (10.1.2.1/24) je peux pinguer le vlan 200 (10.1.1.1) mais pas un ordi connecté sur le vlan 200.
Bon j'espère que mes explications seront suffisantes. Merci d'avance pour vos réponses... @+
J'ai quelques petits problèmes au niveau des access list du switch Cisco 3750. En fait j'ai 2 switch : 1 2970 et 1 3750. Les deux sont connectés ensemble par une fibre optique (port en mode trunk). J'ai 3 vlan :
vlan 1 (par défaut)--> adresse ip 172.16.15.1/24
vlan 200 --> adresse ip 10.1.1.1/24
vlan 203 --> adresse ip 10.1.2.1/24
j'ai crée un access list de la façon suivante:
access-list 101 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 deny ip any any
j'ai ensuite configuré mon vlan 200 de la façon suivante
interface vlan 200
ip access-group 101 in
Ce que je voulais faire en fait avec cet access-list c'est permettre seulement au réseau 10.1.2.0/24 de pinguer le réseau 10.1.1.0/24. Mais je voulais que le réseau 10.1.1.0/24 puisse accéder à tout le monde.
Le problème c'est que du réseau 10.1.1.0/24 (vlan 200) je ne peux pinguer nulle part. Lorsque j'effectue un ping d'un ordi appartenant au vlan 200 j'obtient la réponse :
Réponse de 10.1.1.1 : Impossible de joindre le réseau de destination
Est-ce normal??
Sinon depuis un ordi du vlan 203 (10.1.2.1/24) je peux pinguer le vlan 200 (10.1.1.1) mais pas un ordi connecté sur le vlan 200.
Bon j'espère que mes explications seront suffisantes. Merci d'avance pour vos réponses... @+
A voir également:
- Acl switch cisco
- List disk - Guide
- Directory list & print - Télécharger - Divers Utilitaires
- Android switch - Accueil - Android
- Smart switch pc - Télécharger - Divers Bureautique
- Switch off - Télécharger - Divers Utilitaires
3 réponses
vui, normal,
quand on applique une acl à une interface vlan, il n'est pas facile de déterminer le sens exact des paquets (in/out)
essaies:
access-list 101 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 101 deny ip any any
au fait,
tu en es où dans ton accès internet ?
-
quand on applique une acl à une interface vlan, il n'est pas facile de déterminer le sens exact des paquets (in/out)
essaies:
access-list 101 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 101 deny ip any any
au fait,
tu en es où dans ton accès internet ?
-
comme je te disais plus haut,
le sens in /out n'est pas facile à évaluer dans le cas d'un vlan.
sur une interface physique ça va , c'est évident, mais sur un routage
entre vlan, arrives tu bien à représenter à quel niveau va se poser le
filtre ?
moi personnellement, non.
De plus ,
sur ce genre de switch, les filtres peuvent se positionner à 3 niveaux
différents :
-au niveau 2 sur une interface physique switchée (en entrée seulement).
-au niveau 3 sur des interfaces routées ou virtuelles.
- à l'intérieur d'un vlan (vlan access-map)
tout un programme quoi.
voir:
http://www.cisco.com/application/pdf/en/us/guest/products/ps5023/c2001/ccmigratio...
chapitre 28.
bonne lecture ;-)
le sens in /out n'est pas facile à évaluer dans le cas d'un vlan.
sur une interface physique ça va , c'est évident, mais sur un routage
entre vlan, arrives tu bien à représenter à quel niveau va se poser le
filtre ?
moi personnellement, non.
De plus ,
sur ce genre de switch, les filtres peuvent se positionner à 3 niveaux
différents :
-au niveau 2 sur une interface physique switchée (en entrée seulement).
-au niveau 3 sur des interfaces routées ou virtuelles.
- à l'intérieur d'un vlan (vlan access-map)
tout un programme quoi.
voir:
http://www.cisco.com/application/pdf/en/us/guest/products/ps5023/c2001/ccmigratio...
chapitre 28.
bonne lecture ;-)
Salut
ça fait longtemps que vous avez rédigé cette conversation.
j'ai trouvé qu'il s'agit du meme probleme que je rencontre mnt
je voudrais juste la documentation pdf que vous avez mi dans votre derniere conversation pour ce sujet
car le lien ne marche plus.
je voudrais savoir la signification de l'expression
access-list 100 deny any any
j'espere que je sois bien expliqué,et votre réponse sera la bienvenue
ça fait longtemps que vous avez rédigé cette conversation.
j'ai trouvé qu'il s'agit du meme probleme que je rencontre mnt
je voudrais juste la documentation pdf que vous avez mi dans votre derniere conversation pour ce sujet
car le lien ne marche plus.
je voudrais savoir la signification de l'expression
access-list 100 deny any any
j'espere que je sois bien expliqué,et votre réponse sera la bienvenue
deny ip any any indique n'importe quelle adresse source vers n'importe quelle destination , donc tout le traffic en fait .
c'est ce qu'il y a à la fin de chaque access-list implicitement :
par défaut une access-list bloque tout ce qui n'est pas autorisé .
any est équivalent à l' écriture 0.0.0.0 255.255.255.255
c'est ce qu'il y a à la fin de chaque access-list implicitement :
par défaut une access-list bloque tout ce qui n'est pas autorisé .
any est équivalent à l' écriture 0.0.0.0 255.255.255.255
Bon j'ai du me trompé dans la configuration, parce que maintenant, après avoir tout recommencé, ça marche. A mon avis c'est parce que je modifiais les access-lists après les avoir attribuer aux vlans.
Cependant j'ai encore une toute petite question :
Lorsqu'on tape les commandes :
On précise bien que les régles d'accès s'appliquent en entrée?
Pourtant il faut préciser dans la configuration de l'access-list les deux sens de transfert, exemple :
Pour moi la première ou la deuxième ligne est en trop, mais je suis forcée de contater que ce n'est pas le cas.
Bon si vous avez une petite idée sur la question, laissez un message.
Merci beaucoup... @+
Cependant j'ai encore une toute petite question :
Lorsqu'on tape les commandes :
interface vlan X ip access-group 101 in
On précise bien que les régles d'accès s'appliquent en entrée?
Pourtant il faut préciser dans la configuration de l'access-list les deux sens de transfert, exemple :
access-list 101 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 access-list 101 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 101 deny ip any any
Pour moi la première ou la deuxième ligne est en trop, mais je suis forcée de contater que ce n'est pas le cas.
Bon si vous avez une petite idée sur la question, laissez un message.
Merci beaucoup... @+
Ben pour l'accès à internet, j'ai pas trouvé et mon maitre de stage ne sait pas non plus, alors on est bloqué. Mais apparement il veut que je laisse tomber.
Sinon je viens d'essayer ce que tu m'as dit, et je n'y comprends plus rien.
Alors du vlan 200 (10.1.1.1) avec un ordi en 10.1.1.15 j'arrive à pinguer le vlan 203 (10.1.2.1) mais pas l'ordi qui est sur le vlan 203 (10.1.2.175)--> Il me dit Délai d'attente de la demande dépassé
Sinon je n'arrive pas non plus à pinguer le réseau en 172.16.15.0/24 (c'est à dire les 2 vlans et l'ordi) --> Il me dit Réponse de 10.1.1.1 : Impossible de joindre le réseau de destination
A partir du vlan 203 (10.1.2.1) je n'arrive ni à pinguer le vlan 200 (10.1.1.1) ni l'ordi sur le vlan 200 (10.1.1.15) --> Impossible de joindre l'hote de destination
Enfin du vlan 1 (172.16.15.221/24) j'arrive à pinguer le vlan 200 (10.1.1.1) mais pas l'ordi du vlan 200 (10.1.1.15)--> Délai d'attente de la demande dépassé.
Enfin franchement ça fait rien de ce que je voulais faire au départ. Je ne comprends pas...