Cisco Catalyst 2950, droits d'accès

Recherche :

Dernière réponse

Sujet : Cisco Catalyst 2950, droits d'accès

djoul

totovi a écrit :

Je ne vois pas trop ce que tu appelles "Private Vlan". Une DMZ, un vlan privée .... par définition, un vlan est privé et isolé s'il n'y a pas de routeur ou de câble croisé entre deux vlans différents.
Sinon, je manipule de part mon travail des 2950 tous les jours, et je ne connais aucun moyen pour faire ce que tu veux.
Comme je t'ai dis précedemment, la seul facon sera de mettre ton serveur sur un autre vlan et mettre un niveau 3 (routeur).

http://www.cisco.com/en/US/tech/tk [...] _home.html

Sais pas si ça marche sur des 2950 par contre.

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

djoul

totovi a écrit :

http://www.cisco.com/en/US/tech/tk [...] _home.html

Sais pas si ça marche sur des 2950 par contre.

totovi

djoul

totovi a écrit :

Il est vrai que les VALCs existent. Cependant pas sur un catalyst 2950 mais sur un chassis comme de type 6000.
Si tu reste en IP, je te confirme que c'est impossible.

Pas de private vlan non plus ?

totovi

Il est vrai que les VALCs existent. Cependant pas sur un catalyst 2950 mais sur un chassis comme de type 6000.
Si tu reste en IP, je te confirme que c'est impossible.

denis1

djoul a écrit :

Oui effectivement, ça ne doit pas marcher, je pensais qu'en 'forçant' à travailler au niveau 3 avec une access-list ca marcherait. Ceci dit je connais pas grand chose au vlan...

J'ai jeté un coup d'oeil aux private vlan, en mettant le port du serveur en Promiscuous et les ports des client en Isolated, ça doit le faire.

Salut,

est-ce-que tu peux tester cela ?
Creating Named MAC Extended ACLs
You can filter Layer 2 traffic on a physical Layer 2 interface by using MAC addresses and named MAC
extended ACLs. The procedure is similar to that of configuring other extended named access lists.
Page 492 et 493 du manuel et dire si ca donne quelque chose?

:jap:

djoul

djoul a écrit :

je suis de retour :D

a priori, ce serait possible en faisant des vACL :

En gardant la même access-list que tout à l'heure.

router(config)#vlan access-map TEST
router(config-access-map)#match ip address 101
router(confg)#vlan filter TEST [id-vlan]

http://www.cisco.com/univercd/cc/t [...] .htm#34490

Bon en fait vu que ça marche comme des class-map, on peut pas utiliser l'access-list de tout à l'heure :

router(config)#access-list 101 permit ip host [ip_client1] host [ip_client2]
router(config)#vlan access-map TEST
router(config-access-map)#match ip address 101
router(config-access-map)#action drop
router(confg)#vlan filter TEST [id-vlan]

djoul

1040stf a écrit :

Comme tu veux mais si tes hosts/serveurs resident sur le meme subnet, il n'y a aucune raison qu'ils transitent par l'interface IP d'un routeur où le filtrage sera effectué...

Jette un oeil aux private vlan.

Edit: je suis d'accord avec totovi: "De part le fonctionnement d'un switch, tu ne peux que fonctionner par adresse MAC et non pas par adresse IP (sauf pour l'adresse de managment). "

1040stf

djoul a écrit :

Si, puisque c'est un switch catalyst et pas un routeur. Ceci dit j'ai jamais essayé.
J'ai un doute quand même, faudrais essayer pour voir...

totovi

2 postes clients et 1 serveur, tous sur un Cisco et un seul VLAN
Le client 1 ne peut accéder qu'au serveur
Le client 2 ne peut accéder qu'au serveur
Le serveur peut accéder aux 2 clients

>>>> Salut!
Ceci est totalement impossible sur le fonctionnement d'une 2950. Le seul moyen serait de mettre le serveurs sur un autre VLAN et donc par conséquent sur un autre plan d'adressage. Ce qui engendrerait du routage et donc Access-list.
De part le fonctionnement d'un switch, tu ne peux que fonctionner par adresse MAC et non pas par adresse IP (sauf pour l'adresse de managment).
J'espère avoir répondu à ta question!!
@+
Anthony

djoul

1040stf a écrit :

[Albator], la technique des ACL ne fonctionne que si les hosts/serveurs sont situés sur des réseaux différents, ce qui n'est pas le cas apparemment puisque tu parles "d'unique VLAN". Donc c'est pas la peine de filtrer par IP puisque tes paquets ne transiteront pas par une interface IP (eth0/0.1 par ex).

Mais j'ai pas de soluce car je suis pas tres bon en LAN...

Si, puisque c'est un switch catalyst et pas un routeur. Ceci dit j'ai jamais essayé.
J'ai un doute quand même, faudrais essayer pour voir...

1040stf

djoul

access-list. Ca doit bien s'appliquer sur des vlan.
en gros :
access-list 101 permit ip host [ip_client_1] host [ip_serveur] <- tu autorises le flux depuis le client1 vers le serveur
access-list 101 deny ip host [ip_client_1] any <- tu interdis tous les autres flux en provenance du client 1
access-list 101 permit ip host [ip_client_2] host [ip_serveur] <- idem client 1
access-list 101 deny ip host [ip_client_2] any <- idem client 1
access-list 101 permit ip any any

Apres, tu l'apliques sur ton interface vlan :
int e0/0.1
access-group 101 in <- aplique l'access-list 101 en entrée sur l'interface

[Albator]

Salut,
pour les connaisseurs de switchs Cisco (en particuliers le 2950), j'arrive à configurer des VLAN sans pb, mais j'aimerais savoir un truc avant de me lancer dans la doc monstrueuse:

Sur un unique VLAN, est-il possible de bloquer l'accès de certains ports vers d'autres ports sans bloquer tout le monde ?

Ex:
2 postes clients et 1 serveur, tous sur un Cisco et un seul VLAN
Le client 1 ne peut accéder qu'au serveur
Le client 2 ne peut accéder qu'au serveur
Le serveur peut accéder aux 2 clients

Le tout sans routage ou moyen détourné ...

Merci :)