ACL et VLAN
Fermé
Billybus
Messages postés
3
Date d'inscription
dimanche 21 août 2016
Statut
Membre
Dernière intervention
22 août 2016
-
21 août 2016 à 15:30
brupala Messages postés 110582 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 1 décembre 2024 - 22 août 2016 à 22:10
brupala Messages postés 110582 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 1 décembre 2024 - 22 août 2016 à 22:10
3 réponses
brupala
Messages postés
110582
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
1 décembre 2024
13 840
22 août 2016 à 10:35
22 août 2016 à 10:35
Salut,
dans une ACL en général,
il vaut mieux tout interdire et n'autoriser que ce dont tu as besoin.
C'est pour ça que toutes les ACL comportent un deny all implicite à la fin.
Donc un permit de ce que tu veux faire passer sera suffisant.
dans une ACL en général,
il vaut mieux tout interdire et n'autoriser que ce dont tu as besoin.
C'est pour ça que toutes les ACL comportent un deny all implicite à la fin.
Donc un permit de ce que tu veux faire passer sera suffisant.
Billybus
Messages postés
3
Date d'inscription
dimanche 21 août 2016
Statut
Membre
Dernière intervention
22 août 2016
22 août 2016 à 19:56
22 août 2016 à 19:56
Bonjour Burpala,
Merci de ton aide.
Je viens de tester sur packet tracer en suivant ton exemple une règle qui marche.
Sur l'interface de mon vlan 10 pour tout bloquer sauf le vlan 30, je devrais donc faire ceci:
int fa0/0.10
ip access-group 1 out (routeur vers vlan 10)
R1(config)#access-list 1 remark accès vlan 30 only
R1(config)#access-list 1 permit 10.30.0.0 0.0.255.255 (mon vlan 30)
Par contre la réponse au ping et bloqué quand je je ping une machine du vlan 10 :/.
Il me reste encore un gros problème.
J’accède a mon routeur NAT qui est dans le vlan 30 ok, mais quand une machine veut accéder a internet, la réponse sera bloque par le "deny all" du coup.
J'ai vu cette règle qui semble corriger ce problème:
R1(config)#access-list 1 permit tcp any 10.10.0.0 0.0.255.255 established
Cette règle te parait elle bonne ?
Et si oui est ce que je peut la mettre a la suite de celles plus hautes, car on dirait des ACL standard et étendue.
Et je suppose qu'on ne les mélange pas.
Merci d'avance :)
Merci de ton aide.
Je viens de tester sur packet tracer en suivant ton exemple une règle qui marche.
Sur l'interface de mon vlan 10 pour tout bloquer sauf le vlan 30, je devrais donc faire ceci:
int fa0/0.10
ip access-group 1 out (routeur vers vlan 10)
R1(config)#access-list 1 remark accès vlan 30 only
R1(config)#access-list 1 permit 10.30.0.0 0.0.255.255 (mon vlan 30)
Par contre la réponse au ping et bloqué quand je je ping une machine du vlan 10 :/.
Il me reste encore un gros problème.
J’accède a mon routeur NAT qui est dans le vlan 30 ok, mais quand une machine veut accéder a internet, la réponse sera bloque par le "deny all" du coup.
J'ai vu cette règle qui semble corriger ce problème:
R1(config)#access-list 1 permit tcp any 10.10.0.0 0.0.255.255 established
Cette règle te parait elle bonne ?
Et si oui est ce que je peut la mettre a la suite de celles plus hautes, car on dirait des ACL standard et étendue.
Et je suppose qu'on ne les mélange pas.
Merci d'avance :)
brupala
Messages postés
110582
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
1 décembre 2024
13 840
22 août 2016 à 20:10
22 août 2016 à 20:10
Essaie de mettre ta première règle en in plutôt car l'adresse source 10.30... ne doit pas exister dans le réseau 10
Ta seconde règle est fausse:
1/elle ne permet pas le ping (TCP uniquement)
2/il faut une ACL étendue (numéro supérieur à 100 ou bien nommée) pour TCP et les deux adresses.
Ta seconde règle est fausse:
1/elle ne permet pas le ping (TCP uniquement)
2/il faut une ACL étendue (numéro supérieur à 100 ou bien nommée) pour TCP et les deux adresses.
Billybus
Messages postés
3
Date d'inscription
dimanche 21 août 2016
Statut
Membre
Dernière intervention
22 août 2016
22 août 2016 à 21:44
22 août 2016 à 21:44
Yop
Bon j'ai refait un test avec 3 vlan:
R1(config)#int fa 0/0.1 (passerelle vlan 1)
R1(config-subif)#ip access-group 1 out
R1(config-subif)#ip access-group 2 in
R1(config)#access-list 1 remark acces vlan 3 only
R1(config)#access-list 1 permit 10.150.0.0 0.0.255.255
R1(config)#access-list 2 remark reponse vlan 1
R1(config)#access-list 2 permit 10.21.0.0 0.0.255.255
A priori c'est bon.
Mes vlan 1 et 3 communique bien, ça ping dans les deux sens c'est ok.
Mon vlan 2 na plus accès au vlan 1, ce que je voulais, c'est ok.
________________________________________________________________
Reste cette histoire d’accès a internet.
J'avais lu que "established" faisait une exception si c'est une machine du réseau de l'acces-list concerné établissait le contact.
Je pensais pas non plus en passant par un routeur NATavoir besoin de quelque chose comme ca :
permit tcp (@ip_reseau_local) any eq 80
permit tcp (@ip_reseau_local) any eq 443
Je me demandais aussi si je peux mettre plusieur acl in ou out sur une interface ?
Bref j'en ai assez pour ce soir, je verrais demain.
Merci pour ton aide Brupala.
Bon j'ai refait un test avec 3 vlan:
R1(config)#int fa 0/0.1 (passerelle vlan 1)
R1(config-subif)#ip access-group 1 out
R1(config-subif)#ip access-group 2 in
R1(config)#access-list 1 remark acces vlan 3 only
R1(config)#access-list 1 permit 10.150.0.0 0.0.255.255
R1(config)#access-list 2 remark reponse vlan 1
R1(config)#access-list 2 permit 10.21.0.0 0.0.255.255
A priori c'est bon.
Mes vlan 1 et 3 communique bien, ça ping dans les deux sens c'est ok.
Mon vlan 2 na plus accès au vlan 1, ce que je voulais, c'est ok.
________________________________________________________________
Reste cette histoire d’accès a internet.
J'avais lu que "established" faisait une exception si c'est une machine du réseau de l'acces-list concerné établissait le contact.
Je pensais pas non plus en passant par un routeur NATavoir besoin de quelque chose comme ca :
permit tcp (@ip_reseau_local) any eq 80
permit tcp (@ip_reseau_local) any eq 443
Je me demandais aussi si je peux mettre plusieur acl in ou out sur une interface ?
Bref j'en ai assez pour ce soir, je verrais demain.
Merci pour ton aide Brupala.
brupala
Messages postés
110582
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
1 décembre 2024
13 840
22 août 2016 à 22:10
22 août 2016 à 22:10
J'avais lu que "established" faisait une exception si c'est une machine du réseau de l'acces-list concerné établissait le contact.
c'est vrai.