Problème access-lit

Fermé
S@liF92 Messages postés 6 Date d'inscription jeudi 31 janvier 2008 Statut Membre Dernière intervention 1 février 2008 - 31 janv. 2008 à 16:05
brupala Messages postés 110706 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 décembre 2024 - 1 févr. 2008 à 23:31
Bonjour,



Voilà j'aurais besoin de vos lumières svp


J'ai deux ateliers distants avec donc 2 réseaux. Dans chaque atelier j'ai un routeur CISCO 3560. Les deux ateliers sont reliés par les CISCO via une fibre optique.

Mais dans chaque atelier j'ai différent domaines qui aujourd'hui communique ensemble dans le même LAN. J'ai donc décider de séparer chaque domaine avec des VLANS.En l'occurrence il y a donc 3 VLANs :

VLAN 1 : 10.1.2.1 0.0.0.255 (exemples)
VLAN 2 : 10.1.3.1 0.0.0.255 (exemples)


J'ai donc réservé des ports pour chaque vlans sur les deux CISCO.Jusque là tout va bien.

Maintenant je voudrais que le VLAN 2 soit totalement hermétique c'est-à-dire que personne ne peut entrer ou sortir de ce VLAN mais ce VLAN doit malgres tout passé d'un atelier à l'autre. J'ai donc mis en place sur les CISCO des routes ainsi que des ACCESS-LIST et des ACCES-GROUP :

CISCO atelier 1 : ip access-list extended 102
permit ip IP1 MASK1 IP2 MASK2
deny any any

CISCO atelier 2 : ip access-list extended 102
permit ip IP2 MASK2 IP1 MASK1
deny any any



J'ai ensuite configuré mon vlan 2 de la façon suivante :

interface vlan 2
ip access-group 102 in

Mais voilà sa marche pas car quand je suis dans le VLAN1 j'arrive à pingé la Gateway du VLAN 1 et du VLAN 2
ET quand je suis dans le VLAN2 je n'arrive à rien pingé :s

Si quelqu'un peut m'aider svp

2 réponses

Personne pour m'aider :( ?
0
brupala Messages postés 110706 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 25 décembre 2024 13 874
1 févr. 2008 à 23:31
Salut,
tu as des switchs 3560 , ce sont des switchs L3, donc d'abord des switchs , si tu fais des vlans, tu n'es pas obligé de les faire communiquer ensemble (les vlans , pas les switchs) .
je ne comprends pas très bien ce que tu cherches à faire exactement mais , si tu veux isoler les vlans il te suffit que les routeurs ne routent pas entre les vlans, donc qu'ils n'aient pas une adresse ip sur chaque vlan .
pour les access-list :
déjà pour ce que tu fais , pas besoin d'access-list étendues des access-list simples suffisent .
et en même temps, tu cherches à autoriser uniquement les communications entre les seuls deux réseaux connectés (et tu t'y prends mal), je ne vois pas l'intérêt: le fonctionnement naturel fait cela également .
il faudrait vraiment que tu nous expliques exactement ce que tu veux faire et dans quel but .
parce que là il n'y a aucune logique dans ton réseau .
0