ACL Cisco [Résolu/Fermé]

Signaler
Messages postés
3
Date d'inscription
samedi 28 mai 2016
Statut
Membre
Dernière intervention
29 mai 2016
-
Messages postés
3
Date d'inscription
samedi 28 mai 2016
Statut
Membre
Dernière intervention
29 mai 2016
-
Bonjour,

Je souhaiterais savoir quelles sont les bonnes pratiques pour arriver au résultat suivant avec les ACL Cisco :

Interdire tous les Vlans de se voir mais autoriser tous les Vlans à accéder à Internet.

Je m'explique l'idée serait de pouvoir utiliser dans les ACL la ligne suivante à la fin de la configuration "access-list 122 deny ip any any " mais cela empêcherait les différents sous réseau d'accéder aux ip routables d'internet.

Comment puis-je arriver au résultat ?

Merci de votre aide.


2 réponses


exemple 2 Vlans 192.168.1.0/24 et 192.168.2.0/24

int vlan 1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
int vlan 2
ip address 192.168.2.1 255.255.255.0
ip access-group 101 in

access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
Messages postés
3
Date d'inscription
samedi 28 mai 2016
Statut
Membre
Dernière intervention
29 mai 2016

Merci pour ta réponse ciscowarrior, je comprend en effet l'idée, mais partons du principe qu'un nouveau Vlan vient s'ajouter à mon réseau, si la ligne n'est pas présente dans le deny elle ne sera pas prise en compte.

L'idée était plus de pouvoir faire l'inverse, mettre toutes les lignes permit au dessus et en fin de ligne mettre un deny any.
Pour faire en sorte de n'avoir à ajouter que les exceptions (plus simple à gérer).

Parce que si je part du principe que j'ai 100 Vlan, et que demain j'ajoute un Vlan supplémentaire (qui ne devrait pas être accessible aux autres) je serais obligé d'ajouter une ligne deny pour les 100 access list ? :-/

Peut-on faire l'inverse saisir seulement les exceptions (permit) et à la fin ajouter le deny all, tout en permettant d'une manière ou d'une autre que les différents sous-réseaux aient accès à internet (puisse accéder aux Ip routables d'internet).

Merci.

Etant donné que tu ne connais pas toutes les IP publiques tu ne peux pas faire ce que tu veux faire mais si tu sais que tu n'auras pas de tunnel IpSec vers un autre range privé ou que tu ne feras pas de tunnel MPLS alors tu peux décider de faire une ACL plus générale qui interdit le traffic vers tous les ranges privés et avec ton permit any any à la fin pour Internet.
int vlan 1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
int vlan 2
ip address 192.168.2.1 255.255.255.0
ip access-group 100 in

access-list 100 deny ip any 192.168.0.0 0.0.255.255
access-list 100 deny ip any 10.0.0.0 0.255.255.255
access-list 100 deny ip any 172.16.0.0 0.15.255.255
access-list 100 permit ip any any
Messages postés
3
Date d'inscription
samedi 28 mai 2016
Statut
Membre
Dernière intervention
29 mai 2016
> ciscowarrior
Merci ciscowarrior, c'est exactement le résultat que je souhaitais obtenir ;-)

Je n'y avait pas pensé :D tu es vraiment trop bon.

Je créerais cependant plusieurs access-group avec des exceptions vers les réseaux privés qui doivent être accessibles par Vlan si nécessaire (et aussi pour le réseau qui correspond au Vlan sur lequel la règle sera appliquée).

En appliquant les règles du haut vers le bas ça devrait le faire.

Merci encore et Bonne soirée ;-)