ACL Cisco
Résolu/Fermé
infom
Messages postés
3
Date d'inscription
samedi 28 mai 2016
Statut
Membre
Dernière intervention
29 mai 2016
-
28 mai 2016 à 20:33
infom Messages postés 3 Date d'inscription samedi 28 mai 2016 Statut Membre Dernière intervention 29 mai 2016 - 29 mai 2016 à 22:12
infom Messages postés 3 Date d'inscription samedi 28 mai 2016 Statut Membre Dernière intervention 29 mai 2016 - 29 mai 2016 à 22:12
2 réponses
exemple 2 Vlans 192.168.1.0/24 et 192.168.2.0/24
int vlan 1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
int vlan 2
ip address 192.168.2.1 255.255.255.0
ip access-group 101 in
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
int vlan 1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
int vlan 2
ip address 192.168.2.1 255.255.255.0
ip access-group 101 in
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
infom
Messages postés
3
Date d'inscription
samedi 28 mai 2016
Statut
Membre
Dernière intervention
29 mai 2016
29 mai 2016 à 00:56
29 mai 2016 à 00:56
Merci pour ta réponse ciscowarrior, je comprend en effet l'idée, mais partons du principe qu'un nouveau Vlan vient s'ajouter à mon réseau, si la ligne n'est pas présente dans le deny elle ne sera pas prise en compte.
L'idée était plus de pouvoir faire l'inverse, mettre toutes les lignes permit au dessus et en fin de ligne mettre un deny any.
Pour faire en sorte de n'avoir à ajouter que les exceptions (plus simple à gérer).
Parce que si je part du principe que j'ai 100 Vlan, et que demain j'ajoute un Vlan supplémentaire (qui ne devrait pas être accessible aux autres) je serais obligé d'ajouter une ligne deny pour les 100 access list ? :-/
Peut-on faire l'inverse saisir seulement les exceptions (permit) et à la fin ajouter le deny all, tout en permettant d'une manière ou d'une autre que les différents sous-réseaux aient accès à internet (puisse accéder aux Ip routables d'internet).
Merci.
L'idée était plus de pouvoir faire l'inverse, mettre toutes les lignes permit au dessus et en fin de ligne mettre un deny any.
Pour faire en sorte de n'avoir à ajouter que les exceptions (plus simple à gérer).
Parce que si je part du principe que j'ai 100 Vlan, et que demain j'ajoute un Vlan supplémentaire (qui ne devrait pas être accessible aux autres) je serais obligé d'ajouter une ligne deny pour les 100 access list ? :-/
Peut-on faire l'inverse saisir seulement les exceptions (permit) et à la fin ajouter le deny all, tout en permettant d'une manière ou d'une autre que les différents sous-réseaux aient accès à internet (puisse accéder aux Ip routables d'internet).
Merci.
Etant donné que tu ne connais pas toutes les IP publiques tu ne peux pas faire ce que tu veux faire mais si tu sais que tu n'auras pas de tunnel IpSec vers un autre range privé ou que tu ne feras pas de tunnel MPLS alors tu peux décider de faire une ACL plus générale qui interdit le traffic vers tous les ranges privés et avec ton permit any any à la fin pour Internet.
int vlan 1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
int vlan 2
ip address 192.168.2.1 255.255.255.0
ip access-group 100 in
access-list 100 deny ip any 192.168.0.0 0.0.255.255
access-list 100 deny ip any 10.0.0.0 0.255.255.255
access-list 100 deny ip any 172.16.0.0 0.15.255.255
access-list 100 permit ip any any
int vlan 1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
int vlan 2
ip address 192.168.2.1 255.255.255.0
ip access-group 100 in
access-list 100 deny ip any 192.168.0.0 0.0.255.255
access-list 100 deny ip any 10.0.0.0 0.255.255.255
access-list 100 deny ip any 172.16.0.0 0.15.255.255
access-list 100 permit ip any any
infom
Messages postés
3
Date d'inscription
samedi 28 mai 2016
Statut
Membre
Dernière intervention
29 mai 2016
>
ciscowarrior
Modifié par infom le 29/05/2016 à 22:12
Modifié par infom le 29/05/2016 à 22:12
Merci ciscowarrior, c'est exactement le résultat que je souhaitais obtenir ;-)
Je n'y avait pas pensé :D tu es vraiment trop bon.
Je créerais cependant plusieurs access-group avec des exceptions vers les réseaux privés qui doivent être accessibles par Vlan si nécessaire (et aussi pour le réseau qui correspond au Vlan sur lequel la règle sera appliquée).
En appliquant les règles du haut vers le bas ça devrait le faire.
Merci encore et Bonne soirée ;-)
Je n'y avait pas pensé :D tu es vraiment trop bon.
Je créerais cependant plusieurs access-group avec des exceptions vers les réseaux privés qui doivent être accessibles par Vlan si nécessaire (et aussi pour le réseau qui correspond au Vlan sur lequel la règle sera appliquée).
En appliquant les règles du haut vers le bas ça devrait le faire.
Merci encore et Bonne soirée ;-)
