Discussion :

[doumbe26]

Bonjour,


J'ai créé différents VLAN :

VLAN02 - 192.168.2.0/24

VLAN03 - 172.16.3.0/24

VLAN999 - 10.10.10.0/24

...

j'ai activé l'ip routing.

Ce que je souhaiterais réalisé grâce au ACL est la chose suivante :

1° Autoriser la communication du VLAN999 >> VLAN02 et interdire la communication du VLAN02 >> VLAN999

J'ai essayé d'appliquer au VLAN02 l'ACL du style :

deny ip 192.168.2.0 0.0.0.255 10.10.10.0 0.0.0.255

permit any any

Résultat du test :

ping OK 192.168.2.1 >> 192.168.2.254

ping impossible 192.168.2.1 >> 10.10.10.1

ping impossible 10.10.10.1 >> 192.168.2.1 (l'ACL bloquer donc le flux dans les 2 sens ? )



2° Autoriser uniquement la communication du VLAN 03 >> VLAN999

J'ai essayé d'appliquer au VLAN03 l'ACL :

permit ip 172.16.3.0 0.0.0.255 10.10.10.0 0.0.0.255

deny any any

Résultat du test :

ping OK 172.16.3.1 >> 10.10.10.1

ping OK 10.10.10.1 >>> 172.16.3.1

ping impossible 172.16.3.1 >> 172.16.3.254

Si je veux donc autoriser la communication à l’intérieur du vlan 03 il faut que je rajouter l'ACL

permit ip 172.16.3.0 0.0.0.255 172.16.3.0.0 0.0.0.255

Merci par avance pour votre aide.

Cordialement

[becket]

Salut,

J'ai essayé d'appliquer au VLAN02 l'ACL du style :

Du style ? ce n'est pas de l'art.
Chaque détail a son importance. La matériel, les commandes exactes.
A explication imprécise, tu ne pourras obtenir que des réponses imprécises ou floues.

Résultat du test :

ping OK 172.16.3.1 >> 10.10.10.1

ping OK 10.10.10.1 >>> 172.16.3.1

ping impossible 172.16.3.1 >> 172.16.3.254

Pour autant que ton masque sur >= /24 (ce qui est plus que probable vu l'acl ) , tu es dans le même réseau et ce trafic ne passe par ton firewall/routeur

[doumbe26]

Salut,



Du style ? ce n'est pas de l'art.
Chaque détail a son importance. La matériel, les commandes exactes.
A explication imprécise, tu ne pourras obtenir que des réponses imprécises ou floues.

voici ce que j'ai testé

ip access-list extended test1
deny icmp 192.168.2.0 0.0.0.255 10.10.10.0 0.0.0.255 any any ace-priority 10
exit


interface vlan 2
name User
ip address 192.168.2.254 255.255.255.0
service-acl input test1 default-action permit-any

interface vlan 999
name Management
ip address 10.10.10.254 255.255.255.0

Pour autant que ton masque sur >= /24 (ce qui est plus que probable vu l'acl ) , tu es dans le même réseau et ce trafic ne passe par ton firewall/routeur

oui c'est du /24, tous les appareils sont connectés sur un switch de niveau 3 que je souhaites utiliser pour gérer le flux inter vlan

[becket]

Les règles sont stateless. Donc oui, tu dois configurer l'autorisation dans les deux sens si tu veux que cela fonctionne

[doumbe26]

Bonjour,

du pour toi c'est possible avec les ACL d'autoriser la communication inter vlan dans un seul sens ? ( Autoriser la communication du VLAN999 vers VLAN02 et interdire la communication du VLAN02 vers VLAN999)

[becket]

Oui c'est possible en précisant les ports