Routage intervlan
Fermé
Zarb94
-
29 janv. 2022 à 10:53
brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 avril 2024 - 30 janv. 2022 à 20:38
brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 avril 2024 - 30 janv. 2022 à 20:38
A voir également:
- 192.160.1.254
- Les configurations ipv4 utilisateur peuvent ne pas fonctionner correctement en raison de l'architecture de routage ipv6 wan actuelle. ✓ - Forum Réseau
- Routage ip activé non - Forum WiFi
- Configuration de ipv6 - Forum Réseau
- Routage entre deux lan - Forum Réseau
- Routage ipv6 - Forum Réseau
14 réponses
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
29 janv. 2022 à 13:30
29 janv. 2022 à 13:30
Salut,
tu t'attaques à gros pour un novice, tu ne t'es pas fait la main sur des configurations plus limitées ?
je n'ai pas encore tout regardé dans le détail, mais ça me semble remplis de pas mal d'incohérences au niveau plan de numérotation et routage, le DHCP, je n'ai pas regardé.
Je réponds déjà à ta dernière question:
on ne peut pas interdire des machines configurées manuellement si ces adresses sont utilisées par ailleurs.
Le seul moyen est de ne pas donner aux utilisateurs de compte administrateur ou root, auquel cas, ils ne peuvent pas modifier la configuration IP.
Je reviens vers toi plus tard, mais aussi, pourquoi 192.160.x.x pour les réseaux locaux et non 192.168.x.x, je te rappelle que 192.160.0.0/16 n'est pas un réseau privé rfc1918 mais un réseau public, contrairement à 192.168.0.0/16
aussi,
qui assure le routage local entre les vlan en fait ?
le switch ou le routeur, car tu as mis des adresses ip au switch sur chaque vlan, c'est donc lui qui va router en premier probablement (si il route, je vais vérifier pour le SF300), mais si il ne route pas, il ne doit avoir une adresse IP que dans le vlan 100 destinée à l'admin, d'ailleurs, pourquoi il n'est pas taggé entre switch et routeur ?
tu t'attaques à gros pour un novice, tu ne t'es pas fait la main sur des configurations plus limitées ?
je n'ai pas encore tout regardé dans le détail, mais ça me semble remplis de pas mal d'incohérences au niveau plan de numérotation et routage, le DHCP, je n'ai pas regardé.
Je réponds déjà à ta dernière question:
on ne peut pas interdire des machines configurées manuellement si ces adresses sont utilisées par ailleurs.
Le seul moyen est de ne pas donner aux utilisateurs de compte administrateur ou root, auquel cas, ils ne peuvent pas modifier la configuration IP.
Je reviens vers toi plus tard, mais aussi, pourquoi 192.160.x.x pour les réseaux locaux et non 192.168.x.x, je te rappelle que 192.160.0.0/16 n'est pas un réseau privé rfc1918 mais un réseau public, contrairement à 192.168.0.0/16
aussi,
qui assure le routage local entre les vlan en fait ?
le switch ou le routeur, car tu as mis des adresses ip au switch sur chaque vlan, c'est donc lui qui va router en premier probablement (si il route, je vais vérifier pour le SF300), mais si il ne route pas, il ne doit avoir une adresse IP que dans le vlan 100 destinée à l'admin, d'ailleurs, pourquoi il n'est pas taggé entre switch et routeur ?
Actuellement, effectivement, il est en l3 et il reste vrai que je mes suis posé la question sur l'intérêt d'être en l3
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
Modifié le 29 janv. 2022 à 14:18
Modifié le 29 janv. 2022 à 14:18
Après,
pour le vlan 12,
il est taggé partout sauf sur les gi 3 et 4 qui vont vers quoi ?
Si les machines connectées sur fast 13 à 18 ne gèrent pas les tags et les vlan (la plupart des PC) ils n'ont pas accès au vlan12, seulement au 22 .
au niveau dhcp, le default gateway 192.168.250, ça ne peut pas fonctionner sur le routeur.
il faut l'adresse de l'interface correspondante du routeur ou du switch si il a une route par défaut.
Si c'est le switch qui route, il n'a pas de route par défaut, du moins tu ne l'a pas mise.
pour le vlan 12,
il est taggé partout sauf sur les gi 3 et 4 qui vont vers quoi ?
Si les machines connectées sur fast 13 à 18 ne gèrent pas les tags et les vlan (la plupart des PC) ils n'ont pas accès au vlan12, seulement au 22 .
au niveau dhcp, le default gateway 192.168.250, ça ne peut pas fonctionner sur le routeur.
il faut l'adresse de l'interface correspondante du routeur ou du switch si il a une route par défaut.
Si c'est le switch qui route, il n'a pas de route par défaut, du moins tu ne l'a pas mise.
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
29 janv. 2022 à 16:58
29 janv. 2022 à 16:58
192.168.1.250, pardon.
"pour le vlan 12,
il est taggé partout sauf sur les gi 3 et 4 qui vont vers quoi ?
Si les machines connectées sur fast 13 à 18 ne gèrent pas les tags et les vlan (la plupart des PC) ils n'ont pas accès au vlan12, seulement au 22 . "
Rectifié
"au niveau dhcp, le default gateway 192.168.250, ça ne peut pas fonctionner sur le routeur. "
e ne comprend pas ce que tu veux dire?. une machine en vlan 11 doit avoir une passerelle 192.160.11.1? en fait, jai mis l'adresse du port wan
"Si c'est le switch qui route, il n'a pas de route par défaut, du moins tu ne l'a pas mise. "
ok
il est taggé partout sauf sur les gi 3 et 4 qui vont vers quoi ?
Si les machines connectées sur fast 13 à 18 ne gèrent pas les tags et les vlan (la plupart des PC) ils n'ont pas accès au vlan12, seulement au 22 . "
Rectifié
"au niveau dhcp, le default gateway 192.168.250, ça ne peut pas fonctionner sur le routeur. "
e ne comprend pas ce que tu veux dire?. une machine en vlan 11 doit avoir une passerelle 192.160.11.1? en fait, jai mis l'adresse du port wan
"Si c'est le switch qui route, il n'a pas de route par défaut, du moins tu ne l'a pas mise. "
ok
Quand je me connecte physiquement sur chaque port du switch, le dhcp me donne une adresse et j'ai accès à internet.
Le 192.168.1.250 est l'adresse paramètre sur le wan. Le wan lui est connecte à la box en 192.168.1.254
Le 192.168.1.250 est l'adresse paramètre sur le wan. Le wan lui est connecte à la box en 192.168.1.254
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
29 janv. 2022 à 19:04
29 janv. 2022 à 19:04
Oui,
mais ça ne fonctionne pas comme passerelle par défaut.
C'est une règle intangible que la passerelle par défaut doit être dans le même réseau IP que la machine, là ça n'est pas le cas.
Du moins sur un réseau partagé multipoints, ce qui est le cas.
Je ne sais pas comment tu fais pour sortir sur l'internet, mais vu qu'en fait tu as deux routeurs, tu as peut-etre pas mal de paquets icmp redirect qui remettent ça en place, mais ça pollue et ça n'est pas propre du tout.
ou alors,
le proxy arp est actif sur le routeur, ce qui n'est pas top non plus.
Pour rappel (ou pas) le proxy arp consiste sur un routeur à répondre à une requête ARP pour une adresse qui n'est pas sur le lan, mais qu'il sait joindre, alors qu'il ne devrait pas y avoir de réponse en cas normal.
Là comme c'est la sienne sur une autre interface, il sait la joindre.
C'est utilisé pendant la migration de numérotation de réseaux, mais pas en configuration normale.
mais ça ne fonctionne pas comme passerelle par défaut.
C'est une règle intangible que la passerelle par défaut doit être dans le même réseau IP que la machine, là ça n'est pas le cas.
Du moins sur un réseau partagé multipoints, ce qui est le cas.
Je ne sais pas comment tu fais pour sortir sur l'internet, mais vu qu'en fait tu as deux routeurs, tu as peut-etre pas mal de paquets icmp redirect qui remettent ça en place, mais ça pollue et ça n'est pas propre du tout.
ou alors,
le proxy arp est actif sur le routeur, ce qui n'est pas top non plus.
Pour rappel (ou pas) le proxy arp consiste sur un routeur à répondre à une requête ARP pour une adresse qui n'est pas sur le lan, mais qu'il sait joindre, alors qu'il ne devrait pas y avoir de réponse en cas normal.
Là comme c'est la sienne sur une autre interface, il sait la joindre.
C'est utilisé pendant la migration de numérotation de réseaux, mais pas en configuration normale.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok,
J'ai donc donné comme passerelle x.x.x.1 dans chaque pool. Ca fonctionne. J'ai toujours le problème en vlan12. Il ne parviens toujours pas à avoir d'ip donné par le dhcp.
Je vais reettre mes conf aprés changements:
witch:
Routeur :
Autre question,
pour la prog dans Moba, je colle le fichier texte. le "!" indique bien les ligne de commentaires? car sur le switch, soit les lignes passent trop vite soit les commentaires gênent car des incohérence défilent sens incidences apparente sur le fonctionnement.
Merci pour ton aide précieuse!
J'ai donc donné comme passerelle x.x.x.1 dans chaque pool. Ca fonctionne. J'ai toujours le problème en vlan12. Il ne parviens toujours pas à avoir d'ip donné par le dhcp.
Je vais reettre mes conf aprés changements:
witch:
!
!##########################################################
!
!Table des VLAN
!
vlan database
vlan 11-12,21-22,31-32,41,51,100
!exit
!
!##########################################################
!
!Table des interfaces IP
!
interface vlan 11
name "Technique"
!
interface vlan 12
name "Stockage"
!
interface vlan 21
name "PCPublic"
!
interface vlan 22
name "PCMaison"
!
interface vlan 31
name "WifiPblic"
!
interface vlan 32
name "WifiMaison"
!
interface vlan 41
name "TVBox"
!
interface vlan 51
name "CCTV"
!
interface vlan 100
name "Admin"
ip address 192.160.100.2 255.255.255.0
!
!
!##########################################################
!
!
!
interface fastethernet1
switchport mode access
switchport access vlan 11
!
interface fastethernet2
switchport mode access
switchport access vlan 11
!
interface fastethernet3
switchport mode access
switchport access vlan 11
!
interface fastethernet4
switchport mode access
switchport access vlan 11
!
interface fastethernet5
switchport mode access
switchport access vlan 11
!
interface fastethernet6
switchport mode access
switchport access vlan 11
!
!---------------------------------------------------------
!
interface fastethernet7
switchport mode access
switchport access vlan 31
!
interface fastethernet8
switchport trunk allowed vlan add 32,12
switchport trunk native vlan 32
!
!---------------------------------------------------------
!
interface fastethernet9
switchport mode access
switchport access vlan 21
!
interface fastethernet10
switchport mode access
switchport access vlan 21
!
interface fastethernet11
switchport mode access
switchport access vlan 21
!
interface fastethernet12
switchport mode access
switchport access vlan 21
!
!---------------------------------------------------------
!
interface fastethernet13
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
interface fastethernet14
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
interface fastethernet15
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
interface fastethernet16
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
interface fastethernet17
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
interface fastethernet18
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
interface fastethernet19
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
interface fastethernet20
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
interface fastethernet21
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
interface fastethernet22
switchport trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
!---------------------------------------------------------
!
!---------------------------------------------------------
!
interface fastethernet47
switchport trunk native vlan 100
!
interface fastethernet48
switchport mode access
switchport access vlan 100
!
!---------------------------------------------------------
!---------------------------------------------------------
!
interface gigabitethernet2
description "Trunk vers routeur"
switchport trunk allowed vlan add 100,11,21-22,31-32
switchport trunk native vlan 100
!
!---------------------------------------------------------
!---------------------------------------------------------
!
interface gigabitethernet3
description "Trunk de Stockage"
switchport trunk allowed vlan add 12,22,32,100
switchport trunk native vlan 12
!
interface gigabitethernet4
description "Trunk de Stockage"
switchport trunk allowed vlan add 12,22,32,100
switchport trunk native vlan 12
!
exit
exit
Routeur :
!###################################################
!
!Exclusion d'ip
!
!ip dhcp limit lease !Bail
!
!
!Vlan100 Admin
ip dhcp excluded-address 192.160.1.1 192.160.11.2 !ici ip virtuel routeur et ip virtuel switch
ip dhcp excluded-address 192.160.1.4 192.160.1.254
!Vlan11 Technique
ip dhcp excluded-address 192.160.11.1 192.160.11.2 !ici ip virtuel routeur et ip virtuel switch
ip dhcp excluded-address 192.160.11.9 192.160.11.254 !fin de la plage
!Vlan12 Stockage
ip dhcp excluded-address 192.160.12.1 192.160.12.2 !ici ip virtuel routeur et ip virtuel switch
ip dhcp excluded-address 192.160.12.5 192.160.12.254 !fin de la plage
!Vlan21 Pc Publique
ip dhcp excluded-address 192.160.21.1 192.160.21.2 !ici ip virtuel routeur et ip virtuel switch
ip dhcp excluded-address 192.160.21.7 192.160.21.254 !fin de la plage
!Vlan22 PC Maison
ip dhcp excluded-address 192.160.22.1 192.160.22.2 !ici ip virtuel routeur et ip virtuel switch
ip dhcp excluded-address 192.160.22.12 192.160.22.254 !fin de la plage
!Vlan31 Wifi Publique
ip dhcp excluded-address 192.160.31.1 192.160.31.2 !ici ip virtuel routeur et ip virtuel switch
ip dhcp excluded-address 192.160.31.7 192.160.31.254 !fin de la plage
!Vlan32
ip dhcp excluded-address 192.160.32.1 192.160.32.2 !ici ip virtuel routeur et ip virtuel switch
ip dhcp excluded-address 192.160.32.9 192.160.32.254 !fin de la plage
!
!
!###################################################
!
!Pool dhcp
!
ip dhcp pool Lan100
network 192.160.1.0 255.255.255.0
default-router 192.168.1.250
dns-server 8.8.8.8 8.8.4.4
lease 1 0 0 !Limit de bai j h m
!
ip dhcp pool Lan11
network 192.160.11.0 255.255.255.0
default-router 192.168.1.250
dns-server 8.8.8.8 8.8.4.4
lease 2 0 0 !Limit de bai j h m
!
ip dhcp pool Lan12
network 192.160.12.0 255.255.255.0
default-router 192.168.1.250
dns-server 8.8.8.8 8.8.4.4
lease 2 0 0 !Limit de bai j h m
!
ip dhcp pool Lan21
network 192.160.21.0 255.255.255.0
default-router 192.168.1.250
dns-server 8.8.8.8 8.8.4.4
lease 0 12 0 !Limit de bai j h m
!
ip dhcp pool Lan22
network 192.160.22.0 255.255.255.0
default-router 192.168.1.250
dns-server 8.8.8.8 8.8.4.4
lease 10 0 0 !Limit de bai j h m
!
ip dhcp pool Lan31
network 192.160.31.0 255.255.255.0
default-router 192.168.1.250
dns-server 8.8.8.8 8.8.4.4
lease 0 12 0 !Limit de bai j h m
!
ip dhcp pool Lan32
network 192.160.32.0 255.255.255.0
default-router 192.168.1.250
dns-server 8.8.8.8 8.8.4.4
lease 10 0 0 !Limit de bai j h m
!
!###################################################
!Interfaces phisique
!
interface GigabitEthernet0/0 !Interface WAN (vers la box)
ip address 192.168.1.250 255.255.255.0
ip nat outside
no sh
!
interface GigabitEthernet0/1 !Interface Lan (vers switch)
ip address 192.160.1.1 255.255.255.0
ip nat inside
no sh
!
!###################################################
!Sous interface pour les Vlan
!
interface GigabitEthernet0/1.11 !Sous interface Vlan11
encapsulation dot1Q 11 !
ip address 192.160.11.1 255.255.255.0 !ip virtuel du router
ip nat inside
no sh
!
interface GigabitEthernet0/1.12 !Sous interface Vlan12
encapsulation dot1Q 12 !
ip address 192.160.12.1 255.255.255.0 !ip virtuel du router
!ip nat inside
no sh
!
interface GigabitEthernet0/1.21 !Sous interface Vlan21
encapsulation dot1Q 21
ip address 192.160.21.1 255.255.255.0 !ip virtuel du router
ip nat inside
no sh
!
interface GigabitEthernet0/1.22 !Sous interface Vlan22
encapsulation dot1Q 22
ip address 192.160.22.1 255.255.255.0 !ip virtuel du router
ip nat inside
no sh
!
interface GigabitEthernet0/1.31 !Sous interface Vlan31
encapsulation dot1Q 31
ip address 192.160.31.1 255.255.255.0 !ip virtuel du router
ip nat inside
no sh
!
interface GigabitEthernet0/1.32 !Sous interface Vlan32
encapsulation dot1Q 32
ip address 192.160.32.1 255.255.255.0 !ip virtuel du router
ip nat inside
no sh
!
!###################################################
!Nat
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.254
!
!###################################################
!Access list
!
!---------------------------------------------------
!Liste 1 pour le nat:
!
access-list 1 permit 192.160.1.0 0.0.0.255 ! l'adr 0.0.0.255 fait que seul les paquets ayant comme address 192.160.1.x
access-list 1 permit 192.160.11.0 0.0.0.255
access-list 1 deny 192.160.12.0 0.0.0.255
access-list 1 permit 192.160.21.0 0.0.0.255
access-list 1 permit 192.160.22.0 0.0.0.255
access-list 1 permit 192.160.31.0 0.0.0.255
access-list 1 permit 192.160.32.0 0.0.0.255
!
!---------------------------------------------------
!Liste 21 pour le:
!
!access-list 12 permit 192.160.12.0 0.0.0.255
end
Autre question,
pour la prog dans Moba, je colle le fichier texte. le "!" indique bien les ligne de commentaires? car sur le switch, soit les lignes passent trop vite soit les commentaires gênent car des incohérence défilent sens incidences apparente sur le fonctionnement.
interface fastethernet19
SWITCH(config-if)#SWITCH(config-if)#ort trunk allowed vlan add 22,12
switchport trunk native vlan 22
!
SWITCH(config-if)#SWITCH(config-if)#astethernet20
switchport trunk allowed vlan add 22,12
switcSWITCH(config-if)#hport trunk native vlan 22
!
interface fastethernet21
SWITCH(config-if)#SWITCH(config-if)#SWITCH(config-if)#hport trunk allowed vlan add 22,12
SWITCH(config-if)#lan 22
!
Merci pour ton aide précieuse!
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
Modifié le 29 janv. 2022 à 23:25
Modifié le 29 janv. 2022 à 23:25
Je ne connais pas ton Moba, c'est quoi ?
Sur quel port teste tu ton vlan 12 ?
je vois que tu n'as toujours pas corrigé les passerelles par défaut dans les plages dhcp, je vois toujours 192.168.1.250 pas bien.
Sur quel port teste tu ton vlan 12 ?
je vois que tu n'as toujours pas corrigé les passerelles par défaut dans les plages dhcp, je vois toujours 192.168.1.250 pas bien.
"Je ne connais pas ton Moba, c'est quoi ? "
"Mobaxterm", c'est comme "putty"
"Sur quel port teste tu ton vlan 12 ? "
Je me connecte sur le gi3 ou 4
"je vois que tu n'as toujours pas corrigé les passerelles par défaut dans les plages dhcp, je vois toujours 192.168.1.250 pas bien. "
il me semblai l'avoir fait. Je l'ai fait quer pour le vlan11. Rectifié!
"Mobaxterm", c'est comme "putty"
"Sur quel port teste tu ton vlan 12 ? "
Je me connecte sur le gi3 ou 4
"je vois que tu n'as toujours pas corrigé les passerelles par défaut dans les plages dhcp, je vois toujours 192.168.1.250 pas bien. "
il me semblai l'avoir fait. Je l'ai fait quer pour le vlan11. Rectifié!
En fait, ça ne fonctionne pas.
dans l'ip config, je retrouve 192.168.1.250 comme passerelle alors que j'ai demandé un renew
ip dhcp pool Lan22
network 192.160.22.0 255.250.255.0
default-router 192.160.22.1
dns-server 8.8.8.8 8.8.4.4
dans l'ip config, je retrouve 192.168.1.250 comme passerelle alors que j'ai demandé un renew
Bonjour,
Je pense avoir trouvé pourquoi le Vlan 12 ne parviens pas à recevoir son ip, surement pars-qu’il n'est pas tagué sur Gi2.
Autre question sur les ACL, si j'écrit :
il n'y à que 5 possibilité d'adresse 192.160.12.0 - 192.160.12.4, c'est bien ça?
De même, si je suis dans le vrai, je dois pouvoir faire une condition sur le switch afin qu'il ne soit pas possible de prendre une adresse manuellement.
Merci pour ton retour, en attendant, je vais faire des tests dans ce sens.
Nico
Je pense avoir trouvé pourquoi le Vlan 12 ne parviens pas à recevoir son ip, surement pars-qu’il n'est pas tagué sur Gi2.
Autre question sur les ACL, si j'écrit :
ip access-list extended "Vlan 12"
permit ip 192.160.22.0 0.0.0.11 192.160.12.0 0.0.0.5
permit ip 192.160.12.0 0.0.0.5 192.160.22.0 0.0.0.11
il n'y à que 5 possibilité d'adresse 192.160.12.0 - 192.160.12.4, c'est bien ça?
De même, si je suis dans le vrai, je dois pouvoir faire une condition sur le switch afin qu'il ne soit pas possible de prendre une adresse manuellement.
Merci pour ton retour, en attendant, je vais faire des tests dans ce sens.
Nico
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
Modifié le 30 janv. 2022 à 14:18
Modifié le 30 janv. 2022 à 14:18
Salut,
pars-qu’il n'est pas tagué sur Gi2.
au contraire, il ne faut pas qu'il soit taggé, c'est quoi qui est connecté derrière ?
je suppose que tu testes avec un PC qui ne gère pas les vlans ?
sur ton ACL, c'est quoi les 0.0.0.5 et 0.0.0.0.11 ?
qu'est ce que tu veux faire, je te rappelle que ces valeurs sont des wildcard mask, donc 11 c'est 1011 binaire et 5 c'est 101 binaire, ça doit donner des résultats étranges un masque à trous.
si tu veux seulement les 7 premières adresses, c'est 0.0.0.7 ,les 3 premières c'est 0.0.0.3, les 31 premières 0.0.0.0.31
Si tu mets 192.160.12.0 0.0.0.32 , tu n'autoriseras que 192.160.12.0 donc, rien du tout.
si tu veux de 1 à 4, il faut plusieurs règles:
192.160.0.0 0.0.0.3 pour 0 à 3 et 192.160.0.0 192.160.0.4 pour 0 et 4 ou 192.160.0.4 0.0.0.0 pour 4 seulement
pour une seule adresse (wildcard 0.0.0.0) tu peux mettre le mot clé host :192.160.0.4 0.0.0.0 est équivalent à host 192.160.0.4
pour ce qui est de prendre une adresse manuellement, je te rappelle que c'est impossible à filtrer si cette adresse est arribuée en dur à une autre machine (en principe les exclude dhcp, c'est pour ça): elle sera bloquée aussi, par exemple, si tu bloques l'adresse de ton routeur qui est en exclude dhcp, tu ne pourras plus accéder à ton routeur par cette adresse, c'est pas le but recherché.
pars-qu’il n'est pas tagué sur Gi2.
au contraire, il ne faut pas qu'il soit taggé, c'est quoi qui est connecté derrière ?
je suppose que tu testes avec un PC qui ne gère pas les vlans ?
sur ton ACL, c'est quoi les 0.0.0.5 et 0.0.0.0.11 ?
qu'est ce que tu veux faire, je te rappelle que ces valeurs sont des wildcard mask, donc 11 c'est 1011 binaire et 5 c'est 101 binaire, ça doit donner des résultats étranges un masque à trous.
si tu veux seulement les 7 premières adresses, c'est 0.0.0.7 ,les 3 premières c'est 0.0.0.3, les 31 premières 0.0.0.0.31
Si tu mets 192.160.12.0 0.0.0.32 , tu n'autoriseras que 192.160.12.0 donc, rien du tout.
si tu veux de 1 à 4, il faut plusieurs règles:
192.160.0.0 0.0.0.3 pour 0 à 3 et 192.160.0.0 192.160.0.4 pour 0 et 4 ou 192.160.0.4 0.0.0.0 pour 4 seulement
pour une seule adresse (wildcard 0.0.0.0) tu peux mettre le mot clé host :192.160.0.4 0.0.0.0 est équivalent à host 192.160.0.4
pour ce qui est de prendre une adresse manuellement, je te rappelle que c'est impossible à filtrer si cette adresse est arribuée en dur à une autre machine (en principe les exclude dhcp, c'est pour ça): elle sera bloquée aussi, par exemple, si tu bloques l'adresse de ton routeur qui est en exclude dhcp, tu ne pourras plus accéder à ton routeur par cette adresse, c'est pas le but recherché.
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
>
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
Modifié le 30 janv. 2022 à 15:59
Modifié le 30 janv. 2022 à 15:59
Au fait,
Je viens de voir pour le vlan 12, tu l'as carrément oublié sur la gi2 vers le routeur dans vlan add,
Ça n'aide pas, je pense :-)
Je viens de voir pour le vlan 12, tu l'as carrément oublié sur la gi2 vers le routeur dans vlan add,
switchport trunk allowed vlan add 100,11,21-22,31-32
switchport trunk native vlan 100
Ça n'aide pas, je pense :-)
c'est ce que je voulais dire en disant taggé.
Maintenant, il e reste à router 22et 32 vers le 12
Maintenant, il e reste à router 22et 32 vers le 12
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
30 janv. 2022 à 16:26
30 janv. 2022 à 16:26
Ils ont routés dans le routeur normalement en tant que réseaux directement rattachés.
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
30 janv. 2022 à 16:30
30 janv. 2022 à 16:30
Ok,
J'avais confondu aussi ta gi2 avec la gi3 sur ton post.
J'avais confondu aussi ta gi2 avec la gi3 sur ton post.
j'ai fais une ACL sur le switch:
J'arrive à faire un ping depuis le lan 22 vers le 12, mais pas l'inverse
ip access-list extended "Vlan 12"
permit ip 192.160.22.1 0.0.0.0 192.160.12.1 0.0.0.0
permit ip 192.160.12.1 0.0.0.0 192.160.22.1 0.0.0.0
J'arrive à faire un ping depuis le lan 22 vers le 12, mais pas l'inverse
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
30 janv. 2022 à 17:46
30 janv. 2022 à 17:46
Quand un ping passe dans un sens et pas dans l'autre, c'est un problème de parefeu pas d'ACL
là ce sont 2 interfaces du routeur, donc je ne pense pas qu'il y ait de parefeu, je n'ai pas de réponse pour l'instant.
Le switch a quelle passerelle par défaut ?
là ce sont 2 interfaces du routeur, donc je ne pense pas qu'il y ait de parefeu, je n'ai pas de réponse pour l'instant.
Le switch a quelle passerelle par défaut ?
Le switch a quelle passerelle par défaut ?
Je dirais la box via le vlan 1 que je n'utilise pas à savoir 192.168.1.254
Je dirais la box via le vlan 1 que je n'utilise pas à savoir 192.168.1.254
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
30 janv. 2022 à 19:07
30 janv. 2022 à 19:07
Tu le vois dans la config et show ip route ?
je voulais dire ça passe par quel vlan en fait ?
tu n'as pas d'adresse ip sur vlan 1, donc pas de routage IP.
je voulais dire ça passe par quel vlan en fait ?
tu n'as pas d'adresse ip sur vlan 1, donc pas de routage IP.
mon ACL sort du switch et vas sur le routeur? Si oui, sur le routeur rien indique quoi faire de ces paquets
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
30 janv. 2022 à 19:08
30 janv. 2022 à 19:08
ça dépend de quelle façon tu appliques ton ACL ...
ip access-list extended "Vlan 12"
permit ip 192.160.22.1 0.0.0.0 192.160.12.1 0.0.0.0
permit ip 192.160.12.1 0.0.0.0 192.160.22.1 0.0.0.0
interface gigabitethernet3
description "Trunk de Stockage"
service-acl input "Vlan 12" default-action permit-any
switchport trunk allowed vlan add 12,22,32,100
switchport trunk native vlan 12
je ne compred rien, le trunk vers le routeur fonctionne bien, mais le trunck vers le vlan12 (qui n'à pas accés à internet lui ne fonctionne pas.
brupala
Messages postés
109448
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
25 avril 2024
13 620
30 janv. 2022 à 20:38
30 janv. 2022 à 20:38
service-acl input "Vlan 12" default-action permit-any
ah,
je ne connaissais pas ça, mais mes connaissances Cisco sont de plus en plus ancestrales
Donc, c'est en input sur gi3
et du coup,
ça permit tout le monde, puisqu'il n'y a aucun deny ?
ah,
je ne connaissais pas ça, mais mes connaissances Cisco sont de plus en plus ancestrales
Donc, c'est en input sur gi3
et du coup,
ça permit tout le monde, puisqu'il n'y a aucun deny ?
29 janv. 2022 à 22:40
Compris, dés que j'ai une conf ok, je m'occupe de remplacer ces adresses par des 172.x.x.x
"qui assure le routage local entre les vlan en fait ?
le switch ou le routeur, car tu as mis des adresses ip au switch sur chaque vlan, c'est donc lui qui va router en premier probablement (si il route, je vais vérifier pour le SF300), mais si il ne route pas, il ne doit avoir une adresse IP que dans le vlan 100 destinée à l'admin, d'ailleurs, pourquoi il n'est pas taggé entre switch et routeur ? "
Sur le switch, j'ai donc enlevé les ip que j'avais donné aux vlan. L'ip est maintenant donnée par le routeur. Pour le tag, c'est un oubli