LAN to LAN avec Cisco 881
Donald
-
Donald -
Donald -
Bonjour,
Voici 2 problèmes que je soumets à votre sagacité en ce début d'année.
Soient deux LAN (10.0.0.0/24 et 192.168.254.0/24) reliés par un routeur Cisco 881.
1. Je parviens à pinger les machines dans les deux sens. En revanche, je n'arrive pas à accéder aux partages avec la commande \\10.0.0.x par Démarrer > Exécuter : "Le chemin de réseau n'a pas été trouvé." Une idée ?
2. Ce routeur permet de filtrer les accès avec les adresses MAC mais la documentation est bien pauvre. Sauriez-vous quelles sont les commandes pour paramétrer le filtrage d'un vlan à l'autre en mode terminal ?
Merci pour vos lumières !
Ma config :
This is the running config of the router: 10.10.10.1
----------------------------------------------------------------------------
!version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco881
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
memory-size iomem 10
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-502649310
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-502649310
revocation-check none
!
!
crypto pki certificate chain TP-self-signed-502649310
certificate self-signed 01
30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 35303236 34393331 30301E17 0D313131 32333031 32343334
385A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3530 32363439
33313030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
EF7D9FEE 2E90FD61 A5C00DD8 9315D594 68CCEAB4 970BF6D4 F4F5CB11 2FD6FDF2
3F0D68A7 0FE07EA1 9FB3D2E6 C0E83B1E B3B7B4CD 95948844 81DFFD46 0175E041
BB5FFB9A 1D5ED3DC 9C5D7894 38D8DC8A F62AB481 81C961EC 4340C9EE AF7DBB2F
96FB386B 75E15D6A 896A445F EA1B5437 70CEEAFD D0C91C4B EC16860B 3B811AE3
02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D
23041830 16801413 58C21C9D 04414E31 03090E22 FECBA68C 50EA7D30 1D060355
1D0E0416 04141358 C21C9D04 414E3103 090E22FE CBA68C50 EA7D300D 06092A86
4886F70D 01010405 00038181 003224D6 1800957B C721745B 1A342008 EB8112A0
464D1AE1 198595D6 F4A5D938 6FEC35E1 2481DA06 CA78929A CBAD00EE 844717AC
74D2214E 3085852C 5177FD7E A1EB88B5 DA715BF4 684F91D0 96BC19FE F844EF35
909619B7 52FF398D F7B2B1C8 A4E66BD0 45ECA207 941C63D6 11F83E1F AD39972E
0C88C3B8 6B385793 BD8275EF 11
quit
ip source-route
!
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip cef
no ip domain lookup
ip domain name yourdomain.com
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FCZ1522C4D8
!
!
username admin privilege 15 secret 5 $1$evlE$GapyNmNodGq/rXNZXnFnd0
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 3
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip tcp adjust-mss 1452
!
interface Vlan2
description ding
ip address 192.168.254.1 255.255.255.0
!
interface Vlan3
description dong
ip address 10.0.0.239 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
logging esm config
access-list 23 permit 10.10.10.0 0.0.0.7
no cdp run
!
!
!
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you
want to use.
-----------------------------------------------------------------------
^C
banner login ^C
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device.
This feature requires the one-time use of the username "cisco" with the
password "cisco". These default credentials have a privilege level of 15.
YOU MUST USE CISCO CP or the CISCO IOS CLI TO CHANGE THESE
PUBLICLY-KNOWN CREDENTIALS
Here are the Cisco IOS commands.
username <myuser> privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want
to use.
IF YOU DO NOT CHANGE THE PUBLICLY-KNOWN CREDENTIALS, YOU WILL
NOT BE ABLE TO LOG INTO THE DEVICE AGAIN AFTER YOU HAVE LOGGED OFF.
For more information about Cisco CP please follow the instructions in the
QUICK START GUIDE for your router or go to http://www.cisco.com/go/ciscocp
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
end
Voici 2 problèmes que je soumets à votre sagacité en ce début d'année.
Soient deux LAN (10.0.0.0/24 et 192.168.254.0/24) reliés par un routeur Cisco 881.
1. Je parviens à pinger les machines dans les deux sens. En revanche, je n'arrive pas à accéder aux partages avec la commande \\10.0.0.x par Démarrer > Exécuter : "Le chemin de réseau n'a pas été trouvé." Une idée ?
2. Ce routeur permet de filtrer les accès avec les adresses MAC mais la documentation est bien pauvre. Sauriez-vous quelles sont les commandes pour paramétrer le filtrage d'un vlan à l'autre en mode terminal ?
Merci pour vos lumières !
Ma config :
This is the running config of the router: 10.10.10.1
----------------------------------------------------------------------------
!version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco881
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
memory-size iomem 10
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-502649310
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-502649310
revocation-check none
!
!
crypto pki certificate chain TP-self-signed-502649310
certificate self-signed 01
30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 35303236 34393331 30301E17 0D313131 32333031 32343334
385A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3530 32363439
33313030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
EF7D9FEE 2E90FD61 A5C00DD8 9315D594 68CCEAB4 970BF6D4 F4F5CB11 2FD6FDF2
3F0D68A7 0FE07EA1 9FB3D2E6 C0E83B1E B3B7B4CD 95948844 81DFFD46 0175E041
BB5FFB9A 1D5ED3DC 9C5D7894 38D8DC8A F62AB481 81C961EC 4340C9EE AF7DBB2F
96FB386B 75E15D6A 896A445F EA1B5437 70CEEAFD D0C91C4B EC16860B 3B811AE3
02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D
23041830 16801413 58C21C9D 04414E31 03090E22 FECBA68C 50EA7D30 1D060355
1D0E0416 04141358 C21C9D04 414E3103 090E22FE CBA68C50 EA7D300D 06092A86
4886F70D 01010405 00038181 003224D6 1800957B C721745B 1A342008 EB8112A0
464D1AE1 198595D6 F4A5D938 6FEC35E1 2481DA06 CA78929A CBAD00EE 844717AC
74D2214E 3085852C 5177FD7E A1EB88B5 DA715BF4 684F91D0 96BC19FE F844EF35
909619B7 52FF398D F7B2B1C8 A4E66BD0 45ECA207 941C63D6 11F83E1F AD39972E
0C88C3B8 6B385793 BD8275EF 11
quit
ip source-route
!
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip cef
no ip domain lookup
ip domain name yourdomain.com
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FCZ1522C4D8
!
!
username admin privilege 15 secret 5 $1$evlE$GapyNmNodGq/rXNZXnFnd0
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 3
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip tcp adjust-mss 1452
!
interface Vlan2
description ding
ip address 192.168.254.1 255.255.255.0
!
interface Vlan3
description dong
ip address 10.0.0.239 255.255.255.0
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
logging esm config
access-list 23 permit 10.10.10.0 0.0.0.7
no cdp run
!
!
!
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you
want to use.
-----------------------------------------------------------------------
^C
banner login ^C
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device.
This feature requires the one-time use of the username "cisco" with the
password "cisco". These default credentials have a privilege level of 15.
YOU MUST USE CISCO CP or the CISCO IOS CLI TO CHANGE THESE
PUBLICLY-KNOWN CREDENTIALS
Here are the Cisco IOS commands.
username <myuser> privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want
to use.
IF YOU DO NOT CHANGE THE PUBLICLY-KNOWN CREDENTIALS, YOU WILL
NOT BE ABLE TO LOG INTO THE DEVICE AGAIN AFTER YOU HAVE LOGGED OFF.
For more information about Cisco CP please follow the instructions in the
QUICK START GUIDE for your router or go to http://www.cisco.com/go/ciscocp
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
end
A voir également:
- LAN to LAN avec Cisco 881
- Look@lan - Télécharger - Divers Réseau & Wi-Fi
- Realtek 8821ce wireless lan 802.11ac pci-e nic ✓ - Forum PC portable
- Cable lan ps4 - Forum PS4
- Qwerty to azerty - Guide
- Realtek 8723du wireless lan 802.11n usb nic ✓ - Forum Pilotes (drivers)
3 réponses
Alors voilà,
J'ai avancé sur la question 2 et je m'apprête à appliquer ça :
vlan 3 (10.0.0.0/24)
cisco881(config)#access-list 703 remark autorise tous les paquets
cisco881(config)#access-list 703 permit any
cisco881(config)#interface Fa3
cisco881(config-if)#ip address 10.0.0.239 255.255.255.0
cisco881(config-if)#mac access-group 703 in
vlan 2 (192.168.254.0/24)
cisco881(config)#access-list 702 remark autorise les paquets de certaines machines
cisco881(config)#access-list 702 permit 0040.96a5.b5d4 0000.0000.0000
cisco881(config)#access-list 702 permit 0012.67c8.a4f3 0000.0000.0000
cisco881(config)#interface Fa2
cisco881(config-if)#switchport access vlan 2
cisco881(config-if)#mac access-group 702 in
C'est moche ou bien ? Dernière question, outre l'autorisation de certaines machines à accéder au vlan 2, je souhaite également rendre possible la prise en main à distance via Internet des postes du vlan 2. Que faut-il (quel protocole) autoriser ?
Merci.
Soliloquing Donald
J'ai avancé sur la question 2 et je m'apprête à appliquer ça :
vlan 3 (10.0.0.0/24)
cisco881(config)#access-list 703 remark autorise tous les paquets
cisco881(config)#access-list 703 permit any
cisco881(config)#interface Fa3
cisco881(config-if)#ip address 10.0.0.239 255.255.255.0
cisco881(config-if)#mac access-group 703 in
vlan 2 (192.168.254.0/24)
cisco881(config)#access-list 702 remark autorise les paquets de certaines machines
cisco881(config)#access-list 702 permit 0040.96a5.b5d4 0000.0000.0000
cisco881(config)#access-list 702 permit 0012.67c8.a4f3 0000.0000.0000
cisco881(config)#interface Fa2
cisco881(config-if)#switchport access vlan 2
cisco881(config-if)#mac access-group 702 in
C'est moche ou bien ? Dernière question, outre l'autorisation de certaines machines à accéder au vlan 2, je souhaite également rendre possible la prise en main à distance via Internet des postes du vlan 2. Que faut-il (quel protocole) autoriser ?
Merci.
Soliloquing Donald
Salut,
un routeur ça ne laisse pas passer les broadcast et pour accéder à ton share tu tois utiliser NetBios qui va envoyer du broadcast.
Peux-tu essayer avec la commande suivante:
interface vlan 2
ip helper-address 10.10.10.7
int vlan 1
ip directed-broadcast si il n'est pas déjà par défault( voir avec sh ip int vlan 1)
Concernant ton second problème, je pense que les MAC ACL ne fonctionnent que pour du traffic non IP et donc dans ton cas cela ne marchera pas.
Tu pourrais faire du port-security sur les ports L2 pour n'autoriser que certaines MAC à se connecter ou tu pourrais ajouter une entrée MAC statique qui pointe vers une interface non connectée pour les deux MAC que tu ne veux pas autoriser ou encore tu pourrais utiliser MQC pour dropper le traffic de ces deux MAC ou si c'est supporté sur cette plateforme utiliser une VACL.
Pour la 3éme question , pour des machines Windows tu peux utiliser le Remote Desktop( RDP) qui est TCP 3389.
Tu devras alors faire du static PAT pour chaque machine et aussi configurer une ACL en inbound sur l'interface WAN qui permets le traffic RDP vers ces machines ainsi que tout traffic autorisé du WAN vers le LAN
Pour le traffic retour des communications du LAN vers WAN tu dois faire des stateful ACL:
-soit reflexive ACL
-soit CBAC
-soit ZBFW
un routeur ça ne laisse pas passer les broadcast et pour accéder à ton share tu tois utiliser NetBios qui va envoyer du broadcast.
Peux-tu essayer avec la commande suivante:
interface vlan 2
ip helper-address 10.10.10.7
int vlan 1
ip directed-broadcast si il n'est pas déjà par défault( voir avec sh ip int vlan 1)
Concernant ton second problème, je pense que les MAC ACL ne fonctionnent que pour du traffic non IP et donc dans ton cas cela ne marchera pas.
Tu pourrais faire du port-security sur les ports L2 pour n'autoriser que certaines MAC à se connecter ou tu pourrais ajouter une entrée MAC statique qui pointe vers une interface non connectée pour les deux MAC que tu ne veux pas autoriser ou encore tu pourrais utiliser MQC pour dropper le traffic de ces deux MAC ou si c'est supporté sur cette plateforme utiliser une VACL.
Pour la 3éme question , pour des machines Windows tu peux utiliser le Remote Desktop( RDP) qui est TCP 3389.
Tu devras alors faire du static PAT pour chaque machine et aussi configurer une ACL en inbound sur l'interface WAN qui permets le traffic RDP vers ces machines ainsi que tout traffic autorisé du WAN vers le LAN
Pour le traffic retour des communications du LAN vers WAN tu dois faire des stateful ACL:
-soit reflexive ACL
-soit CBAC
-soit ZBFW
Salut guerrier et meilleurs voeux :-)
tu as écrit:
un routeur ça ne laisse pas passer les broadcast et pour accéder à ton share tu tois utiliser NetBios qui va envoyer du broadcast.
je ne crois pas:
netbios n'est pas indispensable heureusement pour accéder aux partages windows depuis windows 2000 et de même il n'est pas nécéssaire d'être sur le même réseau IP pour se connecter à un pârtage CIFS.
hors netbios, ça se fait via le port tcp 445 et en environnement netbios via le tcp 139, ensuite sur un environnement domaine AD, la recherche concordance nom/ip se fait via dns et l'annuaire ldap.
Sinon, je pense aussi que les ACL mac ne doivent fonctionner qu'en pont ou sur des ports de switch, par sur des interfaces routées.
Donadl,
cisco881(config)#interface Fa3
cisco881(config-if)#ip address 10.0.0.239 255.255.255.0
Tu l'as fait ça ?
A priori sur ce genre de produits, on ne peut pas mettre d'adresse ip sur les ports de switch, uniquement sur les interfaces vlan.
c'est possible sur la Fa 4 qui ne fait pas partie du switch mais pas sur la Fa 3, normalement.
tu as écrit:
un routeur ça ne laisse pas passer les broadcast et pour accéder à ton share tu tois utiliser NetBios qui va envoyer du broadcast.
je ne crois pas:
netbios n'est pas indispensable heureusement pour accéder aux partages windows depuis windows 2000 et de même il n'est pas nécéssaire d'être sur le même réseau IP pour se connecter à un pârtage CIFS.
hors netbios, ça se fait via le port tcp 445 et en environnement netbios via le tcp 139, ensuite sur un environnement domaine AD, la recherche concordance nom/ip se fait via dns et l'annuaire ldap.
Sinon, je pense aussi que les ACL mac ne doivent fonctionner qu'en pont ou sur des ports de switch, par sur des interfaces routées.
Donadl,
cisco881(config)#interface Fa3
cisco881(config-if)#ip address 10.0.0.239 255.255.255.0
Tu l'as fait ça ?
A priori sur ce genre de produits, on ne peut pas mettre d'adresse ip sur les ports de switch, uniquement sur les interfaces vlan.
c'est possible sur la Fa 4 qui ne fait pas partie du switch mais pas sur la Fa 3, normalement.
salut Brupala,
Meilleurs voeux à toi aussi. :)
Bien vu pour le port L2 avec une IP :)
En ce qui concerne le share je te crois bien volontiers vu que je n'y connais que dalle en AD et autres Windozeries mais si c'est bien NetBios qu'il utilise alors je pense que le ip helper devrait résoudre son problème.Il pourrait aussi utiliser le fichier lmhosts ou bien un serveur WINS.
Pour cela je te laisse bien volontiers résoudre le problème car hormis le networking pur et dur cela dépasse mes connaissances.
Meilleurs voeux à toi aussi. :)
Bien vu pour le port L2 avec une IP :)
En ce qui concerne le share je te crois bien volontiers vu que je n'y connais que dalle en AD et autres Windozeries mais si c'est bien NetBios qu'il utilise alors je pense que le ip helper devrait résoudre son problème.Il pourrait aussi utiliser le fichier lmhosts ou bien un serveur WINS.
Pour cela je te laisse bien volontiers résoudre le problème car hormis le networking pur et dur cela dépasse mes connaissances.
ciscowarrior, brupala, merci pour vos réponses !
L'affectation d'une adresse ip aux interfaces L2 du switch intégré au routeur n'étant effectivement pas possible sur ce matériel, j'ai créé 2 vlan :
cisco881(config)#interface vlan2
cisco881(config-if)#ip address 192.168.254.1 255.255.255.0
cisco881(config-if)#no shutdown
cisco881(config)#interface Fa2
cisco881(config-if)#switchport access vlan 2
cisco881(config)#interface vlan 3
cisco881(config-if)#ip address 10.0.0.239 255.255.255.0
cisco881(config-if)#no shutdown
cisco881(config)#interface Fa3
cisco881(config-if)#switchport access vlan 3
Ping ok dans les deux sens mais c'est tout. J'ai testé la commande de ciscowarrior sans succès : erreur de chemin réseau lors de l'accès aux partages.
L'affectation d'une adresse ip aux interfaces L2 du switch intégré au routeur n'étant effectivement pas possible sur ce matériel, j'ai créé 2 vlan :
cisco881(config)#interface vlan2
cisco881(config-if)#ip address 192.168.254.1 255.255.255.0
cisco881(config-if)#no shutdown
cisco881(config)#interface Fa2
cisco881(config-if)#switchport access vlan 2
cisco881(config)#interface vlan 3
cisco881(config-if)#ip address 10.0.0.239 255.255.255.0
cisco881(config-if)#no shutdown
cisco881(config)#interface Fa3
cisco881(config-if)#switchport access vlan 3
Ping ok dans les deux sens mais c'est tout. J'ai testé la commande de ciscowarrior sans succès : erreur de chemin réseau lors de l'accès aux partages.
