ACL sur CISCO
wattman44
-
wattman44 -
wattman44 -
Bonjour,
Je souhaiterais que :
- le vlan DATA puisse voir tout les autres vlan.
- le vlan PRODUCTION puisse voir une seule adresse du vlan lan DATA (port telnet).
J'ai essayé pleins d'acl mais je n'arrive jamais a voir des ip autres que les interfaces du routeur sur le vlan PRODUCTION.
Voici des acl deja testés :
access-list 103 remark ACL_VLANPROD Category=1
access-list 103 permit ip host 10.44.54.6 any
access-list 103 deny ip any any
ou du type
access-list 11 permit 10.44.54.0 0.0.0.255
access-list 11 permit 192.168.2.0 0.0.0.255
que j'appliquai sur l'inteface VLAN40 avec "ip access-group 103 in"
J'ai l'impression que même en appliquant des acl la communications entre les vlan ne fonctionnent pas.
Cordialement
interface Loopback0 ip address 10.11.10.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface Integrated-Service-Engine0/0 ip unnumbered Loopback0 ip nat inside ip virtual-reassembly service-module ip address 10.11.10.2 255.255.255.0 service-module ip default-gateway 10.11.10.1 ! interface FastEthernet0/1/0 switchport trunk native vlan 20 switchport mode trunk macro description cisco-switch ! interface FastEthernet0/1/1 switchport access vlan 20 switchport voice vlan 10 macro description cisco-phone spanning-tree portfast ! interface FastEthernet0/1/2 switchport access vlan 20 switchport voice vlan 10 macro description cisco-phone spanning-tree portfast ! interface FastEthernet0/1/3 switchport access vlan 20 switchport voice vlan 10 macro description cisco-phone spanning-tree portfast ! interface FastEthernet0/1/4 switchport access vlan 20 switchport voice vlan 10 macro description cisco-phone spanning-tree portfast ! interface FastEthernet0/1/5 switchport access vlan 20 switchport voice vlan 10 macro description cisco-phone spanning-tree portfast ! interface FastEthernet0/1/6 switchport access vlan 20 switchport voice vlan 10 macro description cisco-phone spanning-tree portfast ! interface FastEthernet0/1/7 switchport access vlan 20 switchport voice vlan 10 macro description cisco-phone spanning-tree portfast ! interface FastEthernet0/1/8 switchport trunk native vlan 20 switchport mode trunk macro description cisco-switch ! interface BRI0/1/0 no ip address isdn switch-type basic-net3 isdn point-to-point-setup isdn incoming-voice voice isdn sending-complete isdn static-tei 0 ! interface BRI0/1/1 no ip address isdn switch-type basic-net3 isdn point-to-point-setup isdn incoming-voice voice isdn sending-complete isdn static-tei 0 ! interface BRI0/3/0 no ip address isdn switch-type basic-net3 isdn point-to-point-setup isdn incoming-voice voice isdn sending-complete isdn static-tei 0 ! interface BRI0/3/1 no ip address isdn switch-type basic-net3 isdn point-to-point-setup isdn incoming-voice voice isdn sending-complete isdn static-tei 0 ! interface Vlan1 no ip address ! interface Vlan10 description ** Voix ** ip address 10.10.10.1 255.255.255.0 ip pim dense-mode ip nat inside ip virtual-reassembly ! interface Vlan20 description ** Data ** ip address 10.44.54.200 255.255.255.0 ip pim dense-mode ip nat outside ip virtual-reassembly ! interface Vlan30 description ** Visiteur ** ip address 192.168.1.1 255.255.255.0 ip access-group 131 out ip nat inside ip virtual-reassembly ! interface Vlan40 description ** Production ** ip address 192.168.2.1 255.255.255.0 ip nat inside no ip virtual-reassembly ! ip route 0.0.0.0 0.0.0.0 10.44.54.254 ip route 10.11.10.2 255.255.255.255 Integrated-Service-Engine0/0 ! ip http server ip http authentication local no ip http secure-server ip nat pool poolNAT 10.44.54.201 10.44.54.201 prefix-length 30 ip nat inside source list 2 pool poolNAT overload ! access-list 2 remark PAT_VLAN_DATA access-list 2 permit 192.168.1.0
Je souhaiterais que :
- le vlan DATA puisse voir tout les autres vlan.
- le vlan PRODUCTION puisse voir une seule adresse du vlan lan DATA (port telnet).
J'ai essayé pleins d'acl mais je n'arrive jamais a voir des ip autres que les interfaces du routeur sur le vlan PRODUCTION.
Voici des acl deja testés :
access-list 103 remark ACL_VLANPROD Category=1
access-list 103 permit ip host 10.44.54.6 any
access-list 103 deny ip any any
ou du type
access-list 11 permit 10.44.54.0 0.0.0.255
access-list 11 permit 192.168.2.0 0.0.0.255
que j'appliquai sur l'inteface VLAN40 avec "ip access-group 103 in"
J'ai l'impression que même en appliquant des acl la communications entre les vlan ne fonctionnent pas.
Cordialement
3 réponses
Bonjour,
Sans ACL, est-ce que le routage inter vlan fonctionne ?
C'est quoi comme switch ? A tout hasard : le routage est bien activé ?
Sans ACL, est-ce que le routage inter vlan fonctionne ?
C'est quoi comme switch ? A tout hasard : le routage est bien activé ?
En fait si on est sur VLAN20 on peux voir tout les autres VLAN. Par contre si on est sur VLAN10, VLAN30 ou VLAN40 on ne voit pas VLAN20.
J'ai essayé la commande ip routing mais lorsque je fais un show run elle n'est jamais visible. J'ai deja :
Un truc que je remarque :
Les pc configuré sur VLAN20 on l'adressage ip suivant
ip 10.44.54.0
mask 255.255.255.0
passerelle : 10.44.54.254 (qui est la passerelle du routeur SDSL Orange)
et donc pas celle du routeur 10.44.54.200 que je configure (routeur VOIP CISCO).
Je ne peux créer mes VLAN que sur le routeur VOIP et non celui de la SDSL Orange.
Pourtant si je configure les pc du VLAN20 avec la passerelle 10.44.54.200, les pcs sont visibles du VLAN10, VLAN 20, VLAN 30.
Cordialement
J'ai essayé la commande ip routing mais lorsque je fais un show run elle n'est jamais visible. J'ai deja :
ip cef ip multicast-routing
Un truc que je remarque :
Les pc configuré sur VLAN20 on l'adressage ip suivant
ip 10.44.54.0
mask 255.255.255.0
passerelle : 10.44.54.254 (qui est la passerelle du routeur SDSL Orange)
et donc pas celle du routeur 10.44.54.200 que je configure (routeur VOIP CISCO).
Je ne peux créer mes VLAN que sur le routeur VOIP et non celui de la SDSL Orange.
Pourtant si je configure les pc du VLAN20 avec la passerelle 10.44.54.200, les pcs sont visibles du VLAN10, VLAN 20, VLAN 30.
Cordialement
Bonjour,
Pas certain qu'ip routing soit visible dans la conf : un sh ip route doit te permettre de constater que tes routes static sont bien prisent en compte. A priori, si tu ne te fais pas insulter lors de la commande, ce doit être ok ;)
Sinon, pour ton histoire de gw, tu me dis "si j'affecte la gw .200 aux pc du vlan 20, ils sont visibles depuis les autres vlan ?" : pour moi c'est logique et c'est ce qui doit être fait. Quand un de tes pc vlan 20 doit repondre à une srce venant des autres vlan , il faut qu'il sache où envoyer ses paquets : gw qui est celle du switch
Pas certain qu'ip routing soit visible dans la conf : un sh ip route doit te permettre de constater que tes routes static sont bien prisent en compte. A priori, si tu ne te fais pas insulter lors de la commande, ce doit être ok ;)
Sinon, pour ton histoire de gw, tu me dis "si j'affecte la gw .200 aux pc du vlan 20, ils sont visibles depuis les autres vlan ?" : pour moi c'est logique et c'est ce qui doit être fait. Quand un de tes pc vlan 20 doit repondre à une srce venant des autres vlan , il faut qu'il sache où envoyer ses paquets : gw qui est celle du switch
Voici mon schema actuel :
[img]http://wattman44.dnsalias.net/telechargement/reseau_stvo.jpg[/img]
Le routeur UC520 n'a été rajouté que après le routeur Oleane Orange.
Donc les machines du VLAN data on l'adresse de gateway 10.44.54.254(routeur Oleane) et non 10.44.54.200 (routeur UC520).
Est ce que je peux demander l'ajout d'une route sur le routeur Oleane à orange pour atteindre les vlan visiteur, production, voix ?
Ou la logique des choses serait que je paramètre les ordinateurs du VLAN data pour changer la gateway en 10.44.54.200 ?
[img]http://wattman44.dnsalias.net/telechargement/reseau_stvo.jpg[/img]
Le routeur UC520 n'a été rajouté que après le routeur Oleane Orange.
Donc les machines du VLAN data on l'adresse de gateway 10.44.54.254(routeur Oleane) et non 10.44.54.200 (routeur UC520).
Est ce que je peux demander l'ajout d'une route sur le routeur Oleane à orange pour atteindre les vlan visiteur, production, voix ?
Ou la logique des choses serait que je paramètre les ordinateurs du VLAN data pour changer la gateway en 10.44.54.200 ?
Euh reprenons !
Ton 1er post posait un pb de communication entre tes vlan sur ton UC520.
Maintenant, tu poses un pb vis à vis du routeur Olenane.
--> Le vlan data est bien le lan où l'on voit le PC ?
Si la GW du PC est le routeur Oléane, comment peut il connaître le chemin pour joindre les autres VLAN ?
Un solution à tester serait :
- changer la GW des machines du vlan DATA : mettre l'@ de l'UC en 54.200.
- Que l'UC ait pour GW le routeur ONELAN
- Que les autres vlan aient comme GW l'UC (@ ds les vlan respectifs évidemment)
Là, pour moi, ton routage retour vlan20 vers les autres sera ok et ta gw en 254 sera "appelée" par ton cisco
A tester .... ;)
Ton 1er post posait un pb de communication entre tes vlan sur ton UC520.
Maintenant, tu poses un pb vis à vis du routeur Olenane.
--> Le vlan data est bien le lan où l'on voit le PC ?
Si la GW du PC est le routeur Oléane, comment peut il connaître le chemin pour joindre les autres VLAN ?
Un solution à tester serait :
- changer la GW des machines du vlan DATA : mettre l'@ de l'UC en 54.200.
- Que l'UC ait pour GW le routeur ONELAN
- Que les autres vlan aient comme GW l'UC (@ ds les vlan respectifs évidemment)
Là, pour moi, ton routage retour vlan20 vers les autres sera ok et ta gw en 254 sera "appelée" par ton cisco
A tester .... ;)
Pour le routage, la commande ip routing ne fonctionne pas. Je fait :
conf t
ip routing
wr
et rien se passe.
Pour le modèle : CISCO Unified 520 (routeur pour la partie téléphonie)
Mais pas inversement