Aller au contenu

ACL sur Switch HP avec Vlan par port


Messages recommandés

Bonjour, ;)

J'ai actuellement en place une 10ene de Vlan sur différents Switch HP, j'ai utilisé le principe de Vlan de niveau 1 (par port) en y associant des Sous réseau. En gros j'ai une plage d'adresse par Vlan du style 192.168.1.* --> Vlan 1 - 192.168.2.* --> Vlan 2 - 192.168.3.* --> Vlan 3 - etc...

Je souhaiterai maintenant mettre en place des ACL afin que certain Vlan ne puisse pas converser avec d'autres.

Après de nombreuses recherche sur le net, impossible de trouver un exemple de config ou simplement quelques commandes pour mettre à bien mon projet.

Ma question est donc la suivante: Quelles sont les commandes ACL sur les Switch HP ??

J'espère avoir des réponses de votre part car j'avoue que la problème me bloque un peu :(

merci pour vos réponses ;)

Lien vers le commentaire
Partager sur d’autres sites

Bon après avoir trifouiller le Switch le plus récent, je trouve quelques commandes ACL, c'est rassurant :francais:

Ce qu'il l'est moins c'est que je dispose que de Switch de Niveau III et à priori c'est pas suffisant pour gérer les ACL, :ouioui: si vous avez des informations sur ce sujet également, je suis preneur

pour Info je dispose:

d'un HP procurve:

- 2650-PWR

- 2824

- 2848

- 2910-PWR

Merci,

Lien vers le commentaire
Partager sur d’autres sites

heu par défaut les Vlan ne communique pas entre eux

car ca n'a aucun interêt de faire des Vlan si c'est pour qu'ils discutent entre eux autant tout foutre dans le meme réseaux....

Maintenant si tu veux, la seul choses à faire, c'est un routage inter-vlan (donc avec le routeur )

donc en premier lieu configurer

côté switch :

définir le routeur comme passerelle par défaut

sur cisco la cmd c'est ip-gateway default <ip>

côté routeur

1 vlan par sous interface

et faire un ip route

après ca tout tes vlan communiqueront entre eux

pour isoler faudra faire des ACL pour les restriction sur le routeur

Lien vers le commentaire
Partager sur d’autres sites

Autant pour moi si je n'ai pas été clair, mes Vlans sont créés sur mes Switch et le routage inter-vlan est dynamique et fait par le Switch. Donc tous mes Vlans communiquent ensemble, d'où l'intérêt des ACL dans mon cas, le truc c'est qu'il semblerait qu'on ne puisse pas faire d'ACL sur tous les Switch HP :dd:

Sauf si vous avez une autre idée me permettant d'arriver à mes fins :D

merci pour vos réponses en tout cas :francais:

Lien vers le commentaire
Partager sur d’autres sites

Bah le mieux pour toi c'est d'enlevé le routage inter-VLAN et te débrouiller que tout passe par un vrai routeur physique. Tu ajoute un switch où tu branche tout tes vlan dessus (avec du 802.1Q partout) et tu y branche un routeur. Sur ce routeur ensuite, tu y ajoute des ACL et le problème est résolu :)

Lien vers le commentaire
Partager sur d’autres sites

Bah le mieux pour toi c'est d'enlevé le routage inter-VLAN et te débrouiller que tout passe par un vrai routeur physique. Tu ajoute un switch où tu branche tout tes vlan dessus (avec du 802.1Q partout) et tu y branche un routeur. Sur ce routeur ensuite, tu y ajoute des ACL et le problème est résolu :)

Bah oué, enfin impossible d utiliser la norme 802.1Q sachant que j'ai tout une partie de client légers qui ne prennent pas en charge cette norme, c'est d'ailleurs ce qui m a fait passer à du Vlan par port.

Et le problème de tout centraliser sur un même routeur c'est que j'ai peur qu'il sature, on a un arkoon qui pourrait faire ça mais je doute qu'il supporte la charge.

ce qui m'étonne quand même c'est qu'en ayant que des Switch de niveau III certain ne prenne pas en charge les ACL, c'est possible ça chez HP ?? j'ai été faire un tour sur leur site mais j'ai pas trouvé cette indication :(

Lien vers le commentaire
Partager sur d’autres sites

Bah il y a plusieurs type d'ACL. Les première justement s'appelle ACL. C'est dernière se préoccupe juste des adresses IP sources et / ou destination. Cependant on les utilise quasiment plus puisque on a besoin du numéro de port aussi pour identifier le flux. Dans ce cas on parle d'ACL étendu. Et qui dit port dit couche Transport. Donc le plus souvent des switch standards n'embarque pas d'ACL (sauf pour dire que un tel et un tel on droit au SNMP, Telnet et etc). Mais des ACL aussi poussé que dans un routeur ou pare-feu, tu n'en trouveras que très rarement dans un switch (sauf si tu l'as demandé). Le swich normalement s'occupe que de l'adresse MAC, il en a rien a faire de l'IP. C'est pour cela que des ACL dans un switch c'est rare.

Si tu as des problèmes pour le trunck, tu mets tes clients léger dans le VLAN du routeur et le reste avec les trunck. Et le problème est résolu. Si tu as un routeur PRO il tiendra la distance (pour router 10-15 VLAN, même le bas de gamme fait l'affaire). Surtout que tu n'auras pas de protocole de routage a gérer et tout ce qui consomme de la ressource avec.

Lien vers le commentaire
Partager sur d’autres sites

Bon, bah je vais voir tout ça, la solution de Vlan est deja en prod et j'ai qd même de nombreux postes sur chaque Vlan, aprés avoir contacté Arkoon, il semblerait que ce soit qd même limite pour le boitier de tout centraliser sur lui.

Vu la conjoncture actuelle, on va eviter de racheter un routeur donc je pense que ça va attendre un peu en attendant de trouver une solution intermédiaire.

J'vais réfléchir à tout ça, en tout cas merci pour le tit cours d'ACL :yes: et merci pour vos réponses :p

Lien vers le commentaire
Partager sur d’autres sites

Bah il y a plusieurs type d'ACL. Les première justement s'appelle ACL. C'est dernière se préoccupe juste des adresses IP sources et / ou destination. Cependant on les utilise quasiment plus puisque on a besoin du numéro de port aussi pour identifier le flux. Dans ce cas on parle d'ACL étendu. Et qui dit port dit couche Transport. Donc le plus souvent des switch standards n'embarque pas d'ACL (sauf pour dire que un tel et un tel on droit au SNMP, Telnet et etc). Mais des ACL aussi poussé que dans un routeur ou pare-feu, tu n'en trouveras que très rarement dans un switch (sauf si tu l'as demandé). Le swich normalement s'occupe que de l'adresse MAC, il en a rien a faire de l'IP. C'est pour cela que des ACL dans un switch c'est rare.

Si tu as des problèmes pour le trunck, tu mets tes clients léger dans le VLAN du routeur et le reste avec les trunck. Et le problème est résolu. Si tu as un routeur PRO il tiendra la distance (pour router 10-15 VLAN, même le bas de gamme fait l'affaire). Surtout que tu n'auras pas de protocole de routage a gérer et tout ce qui consomme de la ressource avec.

de plus en plus de switch bosse au niveau 2 et 3 quand meme :yes:

un routeur pro ca tient laaaaaaaaaargment la charge

Arkoon te dit "c'est limite, vous faut le modéle tout nouveaux là celui là l'est bien achéte "

Puis faire du routage inter-vlan avec un switch c'est un peu crade quand même

Lien vers le commentaire
Partager sur d’autres sites

De plus en plus de switch bosse au niveau 2 et 3 je suis d'accord. Le niveau 3 du switch sert juste a faire du routage entre VLAN (je voit mal mettre un switch entre internet et le réseau local ^^). Donc la problématique est la même: un switch traite essentiellement du niveau 2 donc du MAC et un peu d'IP pour faire du routage entre VLAN.

Si tu veux centraliser les ACL il y a pas le choix: il faut pas faire de routage entre vlan dans le switch mais sur un routeur externe. Cela n'a rien de crade si c'est voulu :). Ce qui est plus crade c'est de décentralisé les ACL pour les répéter sur chaque switch :)

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...