[ACL]
cowpowing
Messages postés
27
Statut
Membre
-
mad skillz Messages postés 201 Statut Membre -
mad skillz Messages postés 201 Statut Membre -
Bonjour,
Je traville sur un swtch 3Com possédant 3 vlans et j'aurais aimer filtrer les échanges de ces vlans par des ACLs mais je ne connais pas très bien le principe, quelqu'un pourrait il m'expliquer clairement le fonctionnement?
Merci d'avance.
Je traville sur un swtch 3Com possédant 3 vlans et j'aurais aimer filtrer les échanges de ces vlans par des ACLs mais je ne connais pas très bien le principe, quelqu'un pourrait il m'expliquer clairement le fonctionnement?
Merci d'avance.
3 réponses
Bonjour,
Moi je travaille sur du Cisco mais le fonctionnement sur des 3Com doit etre sensiblement identique.
Les ACL de permette de definir des regles afin de vehicule des paquets par telle ou telle interface en fonction du contenu de la trame.
Par exemple tu souhaite laisser passer les paquets IP et ICMP d'un VLAN a un autre voici sur du cisco les commandes (a voir pour du 3Com)
Routeur(config)#access-list [Numero d'ACL etendue ou pas] [permit ou deny] ip [adresse du reseau ou de la machine source] [adresse du reseau ou de la machine destination]
Routeur(config)#access-list [Numero d'ACL etendue ou pas] [permit ou deny] icmp [adresse du reseau ou de la machine source] [adresse du reseau ou de la machine destination]
concretement:
Routeur(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
Routeur(config)#access-list 100 permit icmp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
ensuite tu vas sur l'interface vlan du reseau source pour l appliquer :
Routeur(config-if)#ip access-group 100 [in ou out en fonction des besoins]
et de même sur l'interface vlan du reseau de destination mais il faudra inverser les adresse sources et destination
concretement:
Routeur(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255
Routeur(config)#access-list 100 permit icmp 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255
et de même a appliquer a l'interface vlan du reseau 172.16.0.0
Ceci marche pour Cisco apres a adapter pour 3Com
Cordialement ...
Moi je travaille sur du Cisco mais le fonctionnement sur des 3Com doit etre sensiblement identique.
Les ACL de permette de definir des regles afin de vehicule des paquets par telle ou telle interface en fonction du contenu de la trame.
Par exemple tu souhaite laisser passer les paquets IP et ICMP d'un VLAN a un autre voici sur du cisco les commandes (a voir pour du 3Com)
Routeur(config)#access-list [Numero d'ACL etendue ou pas] [permit ou deny] ip [adresse du reseau ou de la machine source] [adresse du reseau ou de la machine destination]
Routeur(config)#access-list [Numero d'ACL etendue ou pas] [permit ou deny] icmp [adresse du reseau ou de la machine source] [adresse du reseau ou de la machine destination]
concretement:
Routeur(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
Routeur(config)#access-list 100 permit icmp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
ensuite tu vas sur l'interface vlan du reseau source pour l appliquer :
Routeur(config-if)#ip access-group 100 [in ou out en fonction des besoins]
et de même sur l'interface vlan du reseau de destination mais il faudra inverser les adresse sources et destination
concretement:
Routeur(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255
Routeur(config)#access-list 100 permit icmp 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255
et de même a appliquer a l'interface vlan du reseau 172.16.0.0
Ceci marche pour Cisco apres a adapter pour 3Com
Cordialement ...
Salut
Au niveau des commandes sa va, je créer une acl, puis des règles puis j' applique les règles sur un port mais le résultat n'est pas celui que j'attend donc je ne comprend pas trop si je n'entre pas les bonnes règles ou si j'oublie quelquechose...
si quelqu'un a deja utilisé les acl sur un switch 3Com?
Merci
Au niveau des commandes sa va, je créer une acl, puis des règles puis j' applique les règles sur un port mais le résultat n'est pas celui que j'attend donc je ne comprend pas trop si je n'entre pas les bonnes règles ou si j'oublie quelquechose...
si quelqu'un a deja utilisé les acl sur un switch 3Com?
Merci
je te remerci beaucoup de ta réponse,
quand tu dis:
" par exemple tu souhaite laisser passer les paquets IP et ICMP d'un VLAN a un autre"
est ce que sa veut dire que tu peut autoriser ou empecher des machines (par leur @ip) à accéder à un vlan?
Et si j'ai bien compris il faut appliquer les ACLs dans les deux sens!
Ce que tu marque ce sont les règles d'une ACL?
Cordialement meilleures salutations distinguées!
Ben en fait avec les ACL tu peux si tu le souhaite autoriser la communication seulement entre deux machines des 2 VLAN (mais auparavant il faut que ton 3Com possede une fonction de routage pour router les 2 VLAN différents sinon tu ne pourras pas communiquer entre tes VLAN) Apres je ne connait pas les fonctionnalités de ton 3Com mais si il gere le 802.1X tu peux le mettre en oeuvre mais c est beaucoup plus compliqué!! Car tu dois t'authentifier via une base de comptes (Radius par exemple) et en fonction de ton login mot de passe tu lui attribue le port a tel ou tel VLAN mais je ne sais pas si ton 3Com le gère.
Ensuite ce que j ai marquer c'est la règle pour 1 ACL apres tu peux lui autoriser des millions de choses juste laisser passer des protocole de routage (RIP,OSPF,EIGRP etc...) ou des trames UDP etc ... Tes ACL permettent en simplifié d'autoriser ou pas la transmission a une destination en fonction de leur contenu.
Donc conretement si tu veux que la machine A du VLAN 2 puisse "voir" la machine B du VLAN 3 en Cisco cela se presenterait comme ca:
Switch3750(config)#access-list 100 permit ip host [@ IP machine A] host [@ IP machine B]
Switch3750(config)#access-list 100 permit icmp host [@ IP machine A] host [@ IP machine B]
sur l'interface VLAN 2 :
Switch3750(config-if)#ip access-group 100 in
Switch3750(config)#access-list 101 permit ip host [@ IP machine B] host [@ IP machine A]
Switch3750(config)#access-list 101 permit icmp host [@ IP machine B] host [@ IP machine A]
sur l'interface VLAN 3 :
Switch3750(config-if)#ip access-group 101 in
Mais il faut que tes VLAN soient routés sinon il ne dialogueront pas entre eux de toute façon. Et ceci vaut pour les Cisco. Désolé niveau 3Com je suis pour le moment un inculte mais ca doit être sensiblement la même chose je pense .
Cordialement...
Mon switch intègre un routeur virtuel donc pour la communication inter-vlan sa le fait.
Et concernant les ACL je te remercie beaucoup de m'avoir éclairer énormément, je vais aller tester tout sa!
Merci encore!