Bonjour,
 
Voila je voudrais mettre en place un VLAN pour le wifi qui ne donne un accès que à internet mais pas au LAN. Le problème c'est que je ne sais pas comment procéder.
D'après ce que j'ai pu voir sur la toile, il faudrait jouer avec les access-list mais je ne voie pas trop comment.  
 
Pour info il y a un serveur RADIUS qui fait le contrôle d'accès pour le wifi.
 
Merci.

Il manque des infos dans ta demande.  
 
Peux-tu détailler ton archi réseau ?
 
Le radius sert à faire de l'authentification (des postes wifi, des pcs connectés aux switches, des admins, etc), mais la restriction se fait sur l'équipement qui fait le routage.  

Bonjour,
 
Schéma d'architecture : http://data.imagup.com/member/1119 [...] 121527.png
 
VLAN 10 serveurs
VLAN 20 salle A*
VLAN 30 salle B*
VLAN 40 salle C*
 
VLAN 10 accède à 20, 30, 40
VLAN 20 accède à 10, 30
VLAN 30 accède à 10, 20
VLAN 40 accède à 10
 
je n'ai pas rajouté les emplacements wifi car ils ne sont pas encore installés, mais bon il y aura surement des bornes wifi branché sur plusieurs switch pour pouvoir couvrir l'intégralité du domaine.
 
Voici la conf du routeur si sa peut aider (faite sous packet tracer) :
 

 
Et celle du switch coeur de réseau :
 

 
Je compte donner une IP a tous les switch sur l'interface VLAN 1 pour l'administration.

La passerelle de chacun de tes sous réseaux sera normalement ton switch de niveau 3, j'ai du mal à comprendre pourquoi tu mets en place les ACL sur ton routeur.  
 
Tu appliques des règles de sécurité locales sur un routeur, c'est pas le but de l'équipement. Ton routeur fait office de passerelle entre ton LAN et Internet. Ton switch de niveau 3 fait office de passerelle entre les sous réseaux qui compose ton LAN.
 
Pour l'utilisation du wifi pour Internet il y a deux solutions:
 - la mauvaise: interdire le trafic entre ton vlan wifi et le reste des vlans et autoriser le reste du trafic vers n'importe quelle destination; c'est pas très secure.
 - la bonne: tu mets en place un VLAN qui sera composé d'une patte de ton coeur de réseau et la patte d'entrée de ton firewall; de cette façon tu interdis tout le traffic via une ACL du vlan wifi vers tous les autres vlans excepté le vlan que tu viens de créer.

Merci pour la réponse, je vais regarder les solutions que tu ma proposé.
 
Pour se qui est des ACL sur le routeur c'est pour le routage inter vlan, d'après se que j'avais pu voir sur d'autre forum on passe généralement par des ACL.

Le routage inter vlan se fait soit sur un routeur sois sur un switch de niveau 3 (le coeur de réseau).
 
Au lieu de router le trafic entre tes vlans sur le routeur, faisle sur le switch de niv 3.
 
Les ACL ne sont pas impératives au routage inter vlan, c'est seulement un outil pour gérer la sécurité d'accès à tes vlans.

Débutant CISCO inside. Même débutant réseau L3 tout court

Ce que je pense :

Tu as raison, tu pourrais t'en sortir avec un ACL pour limiter la communication de tes clients wifi à sortir sur internet, voire même les limiter à faire du HTTP et FTP. Par contre j'appliquerais ceci sur les switchs si toutefois ils sont bien Layer 3

Tu créé un nouveau VLAN, que tu routes, et tu lui interdis l'accès à tous les VLAN après lui avoir autorisé à joindre le routeur :

access-list 100 permit ip (class_ip_wifi) (masque_inverse_wifi) 192.168.1.1 0.0.0.0 eq www
access-list 100 permit ip (class_ip_wifi) (masque_inverse_wifi) 192.168.1.1 0.0.0.0 eq ftp
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 permit ip any any

Je vois pas trop l'intérêt des lignes :
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255

quand tu as access-list 100 permit ip any any à la fin ... Mois je mettrais plus à la fin : access-list 100 deny ip any any et je supprimerais les autres ... Car là en fait celà veux dire que toutes les autres ip sont autorisés ...

en gros je mettrais ça :

Ces deux lignes de conf te permettront d'autoriser le traffic provenant de ton wifi vers ton routeur dans ton VLAN 10 en ftp et www. Seul chose, celà dépend du type de wifi que tu installes ... Si ce sont de bêtes bornes, alors ca va, si c'est du wifi type ACCESS POINT CISCO avec un contrôleur centralisé, là je me prononce pas

Ok je vais passer mon routage sur le L3 coeur de réseau.
 
@ lapin_vert : je pense que je vais opter pour ta solution utilisant un VLAN entre le firewall et le routeur.
 
@ chatton2 : Effectivement ce serra des bornes wifi toutes simple ^^.
Pour ton ACL j'adopte, c'est mieux que se que j'avais mit.  
 
Je vais tester sa sur PT, merci !

Pour info:
 
borne lourde: borne autonome qui fonctionne sans l'aide d'un équipement de configuration
borne légère: borne qui se configure en fonction des informations qu'elle reçoit d'un contrôleur wifi sur le réseau
 
A noter que les bornes Cisco Aironet peuvent passer d'un fonctionnement à un autre en changeant de type d'IOS.

Merci de l'info

Drapal Merci pour ces infos !