des ACL, toujours des ACL

[ludo40190]

Bonjour,
Voici mon probleme.
Sur un Cisco 3550, j'ai créé 4 vlans.
Le vlan 2 : 192.168.2.254
Le vlan 3 : 192.168.3.254
Le vlan 4 : 192.168.4.254
Le vlan 5 : 192.168.5.254
Par defaut, les vlans communiquent entre eux (ip routing activé).
Je veux mettre en place des ACLs afin que le vlan 2, 3, et 4 ne puisse pas communiquer avec le vlan 5 et inversement.
En revanche le vlan 2, 3, et 4 pourront toujours communiquer entre eux.
J'ai donc fais ceci:
ip access-list extended V2
deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255 log
deny ip 192.168.5.0 0.0.0.255 192.168.2.0 0.0.0.255 log
permit ip any any
ip access-list extended V3
deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 log
deny ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255 log
permit ip any any
ip access-list extended V4
deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 log
deny ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255 log
permit ip any any
ip access-list extended V5
deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255 log
deny ip 192.168.5.0 0.0.0.255 192.168.2.0 0.0.0.255 log
deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 log
deny ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255 log
deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 log
deny ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255 log
permit ip any any
L'ACL V2 mis en OUT du vlan 2
L'ACL V3 mis en OUT du vlan 3
L'ACL V4 mis en OUT du vlan 4
L'ACL V5 mis en OUT du vlan 5
Donc ok ceci fonctionne correctement et répond à mes attentes.
Le souci est que cela ne me parait pas "propre", et, ne connaissant que très brièvement le fonctionnement des ACLs,
je ne sais pas comment optimiser celles-ci.
Je me doute que bien moins de lignes mieux disposées devraient suffir...
Voila si vous pouvez jeter un oeil et j'espère m'aider;
N'hésitez pas à m'expliquer en détails votre démarche...
Merci par avance

[Malette]

Bonsoir,

Effectivement ta solution à l'air de bien fonctionner car tu as une même interdiction à plusieurs endroits.
Je pense que pour chaque vlan tu as déjà une ligne en trop, par exemple:

Citation:

ip access-list extended V3
deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 log
deny ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255 log
permit ip any any

Cette ligne en gras ne devrait pas exister, car tu as déjà une acl en place sur le vlan 5 qui interdit tout trafic vers ce réseau là.

Mais Ensuite je pense que tu as un soucis au niveau du placement du sens des acl, car tu as 2 acl avec les sources et dst inversé placé dans le même sens "out" mais pour moi tu devrais avoir pour chaque vlan:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
v2-in (traffic interne -> externe)
deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255 log
permit ip any any 

v2-out (traffic externe -> interne)
permit ip any any

pareil v3 et v4. Pour v5:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
v5-in
deny ip 192.168.5.0 0.0.0.255 192.168.2.0 0.0.1.255 #Concaténation des réseaux 192.168.2.0 et 192.168.3.0 si j'ai pas fait de conneries
deny ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255 
permit ip any any 

v5-out
permit ip any any

Je verrais plus un truc de ce genre au final, à tester

[ludo40190]

Merci je vais tester ça...