Permettre accès VLAN dans un sens seulement

ThePropaganda -  
 ThePropaganda -
Bonjour,

Je viens de débarquer sur un réseau et je ne connais pas grand choses aux Cisco 3750 et Cisco 2960 mais bon, je me débrouille quand même pas si mal.

Voici mon problème. J'ai un VLAN1 privé qui a besoin de partager des documents avec un VLAN2 public. Le VLAN1 est mon réseau principale sur lequel il y a plusieurs serveurs et tout le monde peut aller sur Internet. Mon VLAN2 n'a seulement qu'un accès Internet et ne peut pas accéder aux différents serveurs du VLAN1, aux postes,...

Ma première idée est de mettre les fichiers ayants besoin d'êtres partagés sur un partage de un des postes du VLAN2 et donner accès à tout le VLAN1 d'y aller et de modifier les fichiers en question. Cependant, le VLAN2 ne doit jamais accéder au VLAN1 et conserver uniquement son accès Internet. Comment je peux y arriver? Quelqu'un as-t-il une meilleurs idée.

Merci et pour la réponse, un exemple concret serait apprécié.
Configuration: Windows XP
Internet Explorer 7.0

2 réponses

  1. miroir
     
    Deja pour commencer il n est pas prudent de mettre dans ton VLAN 1 les serveurs et la partie privée car en générale c'est le réseau par defaut et c'est la que les gens malveillant frappent en premiers donc met ta parti caché dans un VLAN 3 plutot.

    Ensuite pour la communication interVLAN il me semble que cela ce passe au niveau du routeur ou du coeur de réseau mais je ne connais pas précisement les configurations .
    0
    1. ThePropaganda
       
      Bien merci mais le réseau est déjà comme cela pour le moment et il faut que je puisse donner accès rapidement au VLAN2 aux documents sur le VLAN1. D'autres idées? Comment on fait?

      Merci!
      0
      1. brupala Messages postés 111122 Date d'inscription   Statut Membre Dernière intervention   14 437 > ThePropaganda
         
        Salut,
        si tu veux vraiment filtrer il faut un firewall entre les deux .
        sinon, une access-list étendue (numéro supérieur à 100 ou nommée) autorisant seulement une adresse ip (celle du partage ) et sur un seul port ça limiterait déjà pas mal .

        ip access-list extended passage-vers-reseau-1
        permit tcp adresse reseau 2 host serveur sur reseau 1 eq 445 log

        et interface vlan1
        ip access-list passage-vers-reseau-1 out

        https://www2.deloitte.com/fr/fr/pages/risque-compliance-et-controle-interne/articles/cyber-academy.html/ressources/breves/cisco-acl.html.fr
        https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html
        0
  2. ThePropaganda
     
    Merci beaucoup,

    je vais regarder de ce côté

    Bonne soirée
    0