Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3052 connectés 

  FORUM HardWare.fr
  Windows & Software

  switch cisco administration vlan

 
 


Dernière réponse
Sujet : switch cisco administration vlan
tom_LB

kill9 a écrit :

Et donc sans cette access-list, pas de pb pour accèder au ftp ?
 
Tu as bien appliquée en "out" et pas en "in" ?


 
Bonjour,
 
pour identifier les flux il est possible d'activer les log sur access-list.
 
il suffit de rajouter "log" a la fin de chaque ligne d'acces list.
 
par exemple :
access-list 100 permit tcp host 192.168.2.1 host 192.168.1.1 eq ftp  log
access-list 100 permit tcp host 192.168.1.1 host 192.168.2.1 eq ftp-data log
acess-list 100 deny ip any any log
 
apres avec un "#show logging" en mode enable il suffit de voir les sessions denied et permitted, avec pour info les ip sources, destination et les ports source et desitnation. C'est tres utile.
 
A noter egalement que dans le cas du ftp en mode "actif" (standard) le client etabli la liaison sur le serveur avec le port ftp (TCP21), mais pour les transfert data c'est le serveur qui etablis la connection ftp-data (TCP20) sur le client. C'est a prendre en compte dans l'access-list.
 
Tom


Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
tom_LB

kill9 a écrit :

Et donc sans cette access-list, pas de pb pour accèder au ftp ?
 
Tu as bien appliquée en "out" et pas en "in" ?


 
Bonjour,
 
pour identifier les flux il est possible d'activer les log sur access-list.
 
il suffit de rajouter "log" a la fin de chaque ligne d'acces list.
 
par exemple :
access-list 100 permit tcp host 192.168.2.1 host 192.168.1.1 eq ftp  log
access-list 100 permit tcp host 192.168.1.1 host 192.168.2.1 eq ftp-data log
acess-list 100 deny ip any any log
 
apres avec un "#show logging" en mode enable il suffit de voir les sessions denied et permitted, avec pour info les ip sources, destination et les ports source et desitnation. C'est tres utile.
 
A noter egalement que dans le cas du ftp en mode "actif" (standard) le client etabli la liaison sur le serveur avec le port ftp (TCP21), mais pour les transfert data c'est le serveur qui etablis la connection ftp-data (TCP20) sur le client. C'est a prendre en compte dans l'access-list.
 
Tom

trictrac et la conf deja faite, qui la fait ??
dreamer18 pour les 6500 avec pleins de cartes, on prend une conf déjà faite et on fait du copier/coller dans tera term ou l'hyperterminal :D
trictrac oui, mais au moins, avec catOS, tu aurais pu faire un sh run all qui aurait montré meme les parametres par defaut, ca qui aurait dissipé tout doute ...
D'autant plus que pour configurer un 6500 avec une densité de 300 porte, CatOS n'a pas sont pareil (en ce qui concerne la configuration de multiples portes) car meme avec la venue de l'option 'range', sous IOS c'est un peu moins rapide ...
dreamer18 CatOS CDLM :D
trictrac c'est une commande par defaut ...
ah, le sh run all du catOS, ilmanque dans ces cas la ;)
twins_ heuu tu es sûr de ne pas l'avoir oublié ??? parce que dans ton sh run je le vois pas :sarcastic:
 
normalement tu devrais avoir un truc dans ce genre :jap:
 
interface GigabitEthernet1/0/xx  
 switchport mode access
 switchport access vlan xx
 no ip address  
 no mdix auto
 
vla un peu de lecture sur la configuration des vlans sur un 3750 ;)
trictrac plusierus pistes pour toi.
Premierement, installe ethereal sur le PC que tu essaies de pinger, et regarde si tu vois bien le paquet arriver.
dans ton ACL, rajoute en dernier deny ip any any , pour pouvoir compter les paquets.
Ca c'est pour la methode de debug.
Ensuite, ton prob, c'est que ton ACL est dans le mauvais sens.
Sur ton interrface qui VA VERS le 192.168.1.x tu autorise les ping qui VIENNENT DE 192.168.1.x .
Ca pourra difficielement fonctionner comme ca ...
Bref, fait toi un schéma, dessine le flus que tu veux filter, et regarde bien ou tu mets ton ACL ...
Avec de la rigueur et de la methode, ca ira tout seul ...
zeff29 nan nan j'ai pas oublié ils sont bien affecté au bon vlan et pour ip routing c good aussi
kill9

twins_ a écrit :

hummm .... t as pas oublie le switchport mode access sur les ports ou tu mets un seul vlan ? :)
 
sinon normalement y a pas besoin de mettre du rip s'il n'y a qu'un équipement ... c'est le 3750 qui s'occupe du routage intervlan :jap:


héhé
twins_ hummm .... t as pas oublie le switchport mode access sur les ports ou tu mets un seul vlan ? :)
 
sinon normalement y a pas besoin de mettre du rip s'il n'y a qu'un équipement ... c'est le 3750 qui s'occupe du routage intervlan :jap:
zeff29 faut que je tape ca ? j ai deja deja taper ip routing ... et kan je met pas daccess-list ca ping tres bien des deux cotés ...
kill9 router rip
network 192.168.1.0
network 192.168.2.0
zeff29 pourquoi faire c'est une switch Cisco 3750 niveau 3 donc il implemente le routage ... je compren pas
kill9

kill9 a écrit :

pas de trunk ?


 

zeff29 a écrit :

c koi ?


 
Tu dois relier ton switch à un routeur.

Citation :


switchport mode trunk
switchport trunk encapsulation dot1q

dreamer18 les paquets ne passeront jamais d'un réseau à un autre car aucun équipement ne fait le routage inter vlan nécessaire.
zeff29 c koi ?
kill9 pas de trunk ?
zeff29 alors pas d'idée ?  :??:
zeff29 ok jme disais aussi   :(  
 
voila tiens :  
 
cegelec#sh run
Building configuration...
 
Current configuration : 3206 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname test
!
aaa new-model
aaa authentication dot1x default group radius
aaa authentication dot1x defautlt group radius
enable secret 5 $1$v794$4GpqQrvd6QG2VIRvRDRDY1
enable password test
!
ip subnet-zero
ip routing
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
dot1x system-auth-control
!
!
!
interface GigabitEthernet1/0/1
 switchport access vlan 2
 no ip address
 no mdix auto
 spanning-tree portfast
!
interface GigabitEthernet1/0/2
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/3
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/4
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/5
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/6
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/7
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/8
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/9
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/10
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/11
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/12
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/13
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/14
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/15
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/16
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/17
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/18
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/19
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/20
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/21
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/22
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/23
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/24
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/25
 no ip address
!
interface GigabitEthernet1/0/26
 no ip address
!
interface GigabitEthernet1/0/27
 no ip address
!
interface GigabitEthernet1/0/28
 no ip address
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan2
 ip address 192.168.1.254 255.255.255.0
 ip access-group 100 out
!
interface Vlan3
 ip address 192.168.2.254 255.255.255.0
!
ip classless
ip http server
!
access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo
!
line con 0
line vty 0 4
 password test
line vty 5 15
 password test
!
end
kill9 quel con je suis.
Le sh ver c'était pour moi (je change l'ios de mes routeurs :D)
pour toi je voulais un sh run ;)
zeff29 le sh ver  :  
 
Cisco Internetwork Operating System Software
IOS (tm) C3750 Software (C3750-I5-M), Version 12.1(19)EA1, RELEASE SOFTWARE (fc2
)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Thu 23-Oct-03 22:52 by yenanh
Image text-base: 0x00003000, data-base: 0x009196DC
 
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.1(14r)EA1a, RELEASE SOFTWA
RE (fc1)
 
test uptime is 18 hours, 16 minutes
System returned to ROM by power-on
System image file is "flash:/c3750-i5-mz.121-19.EA1/c3750-i5-mz.121-19.EA1.bin"
 
cisco WS-C3750G-24TS (PowerPC405) processor (revision D0) with 118776K/12288K by
tes of memory.
Processor board ID CAT0808N235
Last reset from power-on
Bridging software.
3 Virtual Ethernet/IEEE 802.3  interface(s)
28 Gigabit Ethernet/IEEE 802.3 interface(s)
The password-recovery mechanism is enabled.
 
512K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address       : 00:0F:34:78:89:00
Motherboard assembly number     : 73-7058-10
Power supply part number        : 341-0045-01
Motherboard serial number       : CAT080801CK
Power supply serial number      : PHI080200GK
Model revision number           : D0
Motherboard revision number     : A0
Model number                    : WS-C3750G-24TS-E
System serial number            : CAT0808N235
 
 
Switch   Ports  Model              SW Version              SW Image
------   -----  -----              ----------              ----------
*    1   28     WS-C3750G-24TS     12.1(19)EA1             C3750-I5-M
 
 
Configuration register is 0xF
 
le sh ip access-list:  
 
test#sh ip access-list
Extended IP access list 100
    permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo
 
 
kill9

zeff29 a écrit :

le 192.168.2.1 ne passe toujour pas tu veu un show quelquechose pour t'aider peut etre ?


oui
sh ver
sh ip access-list
zeff29 up !!
zeff29 le 192.168.2.1 ne passe toujour pas tu veu un show quelquechose pour t'aider peut etre ?
kill9

zeff29 a écrit :

toujour pas résolu mon histoire d access-list la je croyai que ca aurai éter plus simple en essayant d autoriser uniquemennt le ping et je fais ca :  
access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo-reply  
et je ping jusqua mon interface du deuxième vlan jusqu'au 192.168.2.254 en gros mais pas apres j arrive pas a pinguer le 192.168.2.1  
j'ai affecter l access-list à linterface 192.168.1.254 en out  
 
Help me please


access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 any echo
zeff29 toujour pas résolu mon histoire d access-list la je croyai que ca aurai éter plus simple en essayant d autoriser uniquemennt le ping et je fais ca :  
access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo-reply  
et je ping jusqua mon interface du deuxième vlan jusqu'au 192.168.2.254 en gros mais pas apres j arrive pas a pinguer le 192.168.2.1  
j'ai affecter l access-list à linterface 192.168.1.254 en out  
 
Help me please
zeff29 ben en gros je te dis ce que je ai fais en dernier :  
access-list 100 permit tcp host 192.168.2.1 host 192.168.1.1 eq ftp  
access-list 100 permit tcp host 192.168.2.1 host 192.168.1.1 eq ftp-data
et jai apllquée ca en out sur le vlan 192.168.2.254
dreamer18 ça dépend, est-ce que tu as appliqué ton access list dans le "bon" sens sur l'interface ?
zeff29 ca marche toujour pas bizarrez mais je me demande la on autorise dans un sens du client vers le serveur ftp mais faudrai pas autoriser aussi la reponse du serveur ftp ? c 'est à du serveur ftp vers le client ?
zeff29 ok je vais essayer ca des que j'aurai le temps merci les gars je vous tiens au courant  
kill9 héhé, tu as raison dreamer18, faut bien rajouter ftp-data.
Pour le ftp-control (port 20), je crois que c'est fait avec le eq ftp.
Donc
access-list 100 permit tcp host 192.168.2.254  host 192.168.1.254 eq ftp
access-list 100 permit tcp host 192.168.2.254  host 192.168.1.254 eq ftp-data
dreamer18 sinon dans les access list, faut pas les faire pour la onnexion ftp-data et ftp-control ?
kill9

zeff29 a écrit :

ok mais moi je te dis juste que en faisant ca meme le ftp marche pas.


Et donc sans cette access-list, pas de pb pour accèder au ftp ?
 
Tu as bien appliquée en "out" et pas en "in" ?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)