Reprise du message précédent :

Et donc sans cette access-list, pas de pb pour accèder au ftp ?
 
Tu as bien appliquée en "out" et pas en "in" ?

sinon dans les access list, faut pas les faire pour la onnexion ftp-data et ftp-control ?

héhé, tu as raison dreamer18, faut bien rajouter ftp-data.
Pour le ftp-control (port 20), je crois que c'est fait avec le eq ftp.
Donc
access-list 100 permit tcp host 192.168.2.254  host 192.168.1.254 eq ftp
access-list 100 permit tcp host 192.168.2.254  host 192.168.1.254 eq ftp-data

ok je vais essayer ca des que j'aurai le temps merci les gars je vous tiens au courant  

ca marche toujour pas bizarrez mais je me demande la on autorise dans un sens du client vers le serveur ftp mais faudrai pas autoriser aussi la reponse du serveur ftp ? c 'est à du serveur ftp vers le client ?

ça dépend, est-ce que tu as appliqué ton access list dans le "bon" sens sur l'interface ?

ben en gros je te dis ce que je ai fais en dernier :  
access-list 100 permit tcp host 192.168.2.1 host 192.168.1.1 eq ftp  
access-list 100 permit tcp host 192.168.2.1 host 192.168.1.1 eq ftp-data
et jai apllquée ca en out sur le vlan 192.168.2.254

toujour pas résolu mon histoire d access-list la je croyai que ca aurai éter plus simple en essayant d autoriser uniquemennt le ping et je fais ca :  
access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo-reply  
et je ping jusqua mon interface du deuxième vlan jusqu'au 192.168.2.254 en gros mais pas apres j arrive pas a pinguer le 192.168.2.1  
j'ai affecter l access-list à linterface 192.168.1.254 en out  
 
Help me please

access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 any echo

le 192.168.2.1 ne passe toujour pas tu veu un show quelquechose pour t'aider peut etre ?

up !!

oui
sh ver
sh ip access-list

le sh ver  :  
 
Cisco Internetwork Operating System Software
IOS (tm) C3750 Software (C3750-I5-M), Version 12.1(19)EA1, RELEASE SOFTWARE (fc2
)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Thu 23-Oct-03 22:52 by yenanh
Image text-base: 0x00003000, data-base: 0x009196DC
 
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.1(14r)EA1a, RELEASE SOFTWA
RE (fc1)
 
test uptime is 18 hours, 16 minutes
System returned to ROM by power-on
System image file is "flashc3750-i5-mz.121-19.EA1/c3750-i5-mz.121-19.EA1.bin"
 
cisco WS-C3750G-24TS (PowerPC405) processor (revision D0) with 118776K/12288K by
tes of memory.
Processor board ID CAT0808N235
Last reset from power-on
Bridging software.
3 Virtual Ethernet/IEEE 802.3  interface(s)
28 Gigabit Ethernet/IEEE 802.3 interface(s)
The password-recovery mechanism is enabled.
 
512K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address       : 00:0F:34:78:89:00
Motherboard assembly number     : 73-7058-10
Power supply part number        : 341-0045-01
Motherboard serial number       : CAT080801CK
Power supply serial number      : PHI080200GK
Model revision number           : D0
Motherboard revision number     : A0
Model number                    : WS-C3750G-24TS-E
System serial number            : CAT0808N235
 
 
Switch   Ports  Model              SW Version              SW Image
------   -----  -----              ----------              ----------
*    1   28     WS-C3750G-24TS     12.1(19)EA1             C3750-I5-M
 
 
Configuration register is 0xF
 
le sh ip access-list:  
 
test#sh ip access-list
Extended IP access list 100
    permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo
 
 

quel con je suis.
Le sh ver c'était pour moi (je change l'ios de mes routeurs )
pour toi je voulais un sh run

ok jme disais aussi    
 
voila tiens :  
 
cegelec#sh run
Building configuration...
 
Current configuration : 3206 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname test
!
aaa new-model
aaa authentication dot1x default group radius
aaa authentication dot1x defautlt group radius
enable secret 5 $1$v794$4GpqQrvd6QG2VIRvRDRDY1
enable password test
!
ip subnet-zero
ip routing
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
dot1x system-auth-control
!
!
!
interface GigabitEthernet1/0/1
 switchport access vlan 2
 no ip address
 no mdix auto
 spanning-tree portfast
!
interface GigabitEthernet1/0/2
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/3
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/4
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/5
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/6
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/7
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/8
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/9
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/10
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/11
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/12
 switchport access vlan 2
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/13
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/14
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/15
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/16
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/17
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/18
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/19
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/20
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/21
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/22
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/23
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/24
 switchport access vlan 3
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/25
 no ip address
!
interface GigabitEthernet1/0/26
 no ip address
!
interface GigabitEthernet1/0/27
 no ip address
!
interface GigabitEthernet1/0/28
 no ip address
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan2
 ip address 192.168.1.254 255.255.255.0
 ip access-group 100 out
!
interface Vlan3
 ip address 192.168.2.254 255.255.255.0
!
ip classless
ip http server
!
access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo
!
line con 0
line vty 0 4
 password test
line vty 5 15
 password test
!
end

alors pas d'idée ?  

pas de trunk ?

c koi ?

les paquets ne passeront jamais d'un réseau à un autre car aucun équipement ne fait le routage inter vlan nécessaire.

 
Tu dois relier ton switch à un routeur.

pourquoi faire c'est une switch Cisco 3750 niveau 3 donc il implemente le routage ... je compren pas

router rip
network 192.168.1.0
network 192.168.2.0

faut que je tape ca ? j ai deja deja taper ip routing ... et kan je met pas daccess-list ca ping tres bien des deux cotés ...

hummm .... t as pas oublie le switchport mode access sur les ports ou tu mets un seul vlan ?
 
sinon normalement y a pas besoin de mettre du rip s'il n'y a qu'un équipement ... c'est le 3750 qui s'occupe du routage intervlan

héhé

nan nan j'ai pas oublié ils sont bien affecté au bon vlan et pour ip routing c good aussi

plusierus pistes pour toi.
Premierement, installe ethereal sur le PC que tu essaies de pinger, et regarde si tu vois bien le paquet arriver.
dans ton ACL, rajoute en dernier deny ip any any , pour pouvoir compter les paquets.
Ca c'est pour la methode de debug.
Ensuite, ton prob, c'est que ton ACL est dans le mauvais sens.
Sur ton interrface qui VA VERS le 192.168.1.x tu autorise les ping qui VIENNENT DE 192.168.1.x .
Ca pourra difficielement fonctionner comme ca ...
Bref, fait toi un schéma, dessine le flus que tu veux filter, et regarde bien ou tu mets ton ACL ...
Avec de la rigueur et de la methode, ca ira tout seul ...

heuu tu es sûr de ne pas l'avoir oublié ??? parce que dans ton sh run je le vois pas
 
normalement tu devrais avoir un truc dans ce genre
 
interface GigabitEthernet1/0/xx  
 switchport mode access
 switchport access vlan xx
 no ip address  
 no mdix auto
 
vla un peu de lecture sur la configuration des vlans sur un 3750

c'est une commande par defaut ...
ah, le sh run all du catOS, ilmanque dans ces cas la

CatOS CDLM

oui, mais au moins, avec catOS, tu aurais pu faire un sh run all qui aurait montré meme les parametres par defaut, ca qui aurait dissipé tout doute ...
D'autant plus que pour configurer un 6500 avec une densité de 300 porte, CatOS n'a pas sont pareil (en ce qui concerne la configuration de multiples portes) car meme avec la venue de l'option 'range', sous IOS c'est un peu moins rapide ...

pour les 6500 avec pleins de cartes, on prend une conf déjà faite et on fait du copier/coller dans tera term ou l'hyperterminal

et la conf deja faite, qui la fait ??

 
Bonjour,
 
pour identifier les flux il est possible d'activer les log sur access-list.
 
il suffit de rajouter "log" a la fin de chaque ligne d'acces list.
 
par exemple :
access-list 100 permit tcp host 192.168.2.1 host 192.168.1.1 eq ftp  log
access-list 100 permit tcp host 192.168.1.1 host 192.168.2.1 eq ftp-data log
acess-list 100 deny ip any any log
 
apres avec un "#show logging" en mode enable il suffit de voir les sessions denied et permitted, avec pour info les ip sources, destination et les ports source et desitnation. C'est tres utile.
 
A noter egalement que dans le cas du ftp en mode "actif" (standard) le client etabli la liaison sur le serveur avec le port ftp (TCP21), mais pour les transfert data c'est le serveur qui etablis la connection ftp-data (TCP20) sur le client. C'est a prendre en compte dans l'access-list.
 
Tom