ACL sur Switch HP avec Vlan par port

[KyLe85]

Bonjour,

J'ai actuellement en place une 10ene de Vlan sur différents Switch HP, j'ai utilisé le principe de Vlan de niveau 1 (par port) en y associant des Sous réseau. En gros j'ai une plage d'adresse par Vlan du style 192.168.1.* --> Vlan 1 - 192.168.2.* --> Vlan 2 - 192.168.3.* --> Vlan 3 - etc...

Je souhaiterai maintenant mettre en place des ACL afin que certain Vlan ne puisse pas converser avec d'autres.

Après de nombreuses recherche sur le net, impossible de trouver un exemple de config ou simplement quelques commandes pour mettre à bien mon projet.

Ma question est donc la suivante: Quelles sont les commandes ACL sur les Switch HP ??

J'espère avoir des réponses de votre part car j'avoue que la problème me bloque un peu :(

merci pour vos réponses

[KyLe85]

Bon après avoir trifouiller le Switch le plus récent, je trouve quelques commandes ACL, c'est rassurant

Ce qu'il l'est moins c'est que je dispose que de Switch de Niveau III et à priori c'est pas suffisant pour gérer les ACL, si vous avez des informations sur ce sujet également, je suis preneur

pour Info je dispose:

d'un HP procurve:

- 2650-PWR

- 2824

- 2848

- 2910-PWR

Merci,

[typhoon006]

heu par défaut les Vlan ne communique pas entre eux

car ca n'a aucun interêt de faire des Vlan si c'est pour qu'ils discutent entre eux autant tout foutre dans le meme réseaux....

Maintenant si tu veux, la seul choses à faire, c'est un routage inter-vlan (donc avec le routeur )

donc en premier lieu configurer

côté switch :

définir le routeur comme passerelle par défaut

sur cisco la cmd c'est ip-gateway default <ip>

côté routeur

1 vlan par sous interface

et faire un ip route

après ca tout tes vlan communiqueront entre eux

pour isoler faudra faire des ACL pour les restriction sur le routeur

[ezekyl]

+1 avec typhoon, de base les vlans ne peuvent pas communiquer entre eux.

[KyLe85]

Autant pour moi si je n'ai pas été clair, mes Vlans sont créés sur mes Switch et le routage inter-vlan est dynamique et fait par le Switch. Donc tous mes Vlans communiquent ensemble, d'où l'intérêt des ACL dans mon cas, le truc c'est qu'il semblerait qu'on ne puisse pas faire d'ACL sur tous les Switch HP

Sauf si vous avez une autre idée me permettant d'arriver à mes fins

merci pour vos réponses en tout cas

[ezekyl]

Si tous tes switch ne gère pas les ACL je ne vois pas comment faire à par en centralisant le trafic sur un switch les gérant ou sur un routeur et y appliquer les ACL.

[Serom]

Bah le mieux pour toi c'est d'enlevé le routage inter-VLAN et te débrouiller que tout passe par un vrai routeur physique. Tu ajoute un switch où tu branche tout tes vlan dessus (avec du 802.1Q partout) et tu y branche un routeur. Sur ce routeur ensuite, tu y ajoute des ACL et le problème est résolu :)

[KyLe85]

Bah le mieux pour toi c'est d'enlevé le routage inter-VLAN et te débrouiller que tout passe par un vrai routeur physique. Tu ajoute un switch où tu branche tout tes vlan dessus (avec du 802.1Q partout) et tu y branche un routeur. Sur ce routeur ensuite, tu y ajoute des ACL et le problème est résolu :)

Bah oué, enfin impossible d utiliser la norme 802.1Q sachant que j'ai tout une partie de client légers qui ne prennent pas en charge cette norme, c'est d'ailleurs ce qui m a fait passer à du Vlan par port.

Et le problème de tout centraliser sur un même routeur c'est que j'ai peur qu'il sature, on a un arkoon qui pourrait faire ça mais je doute qu'il supporte la charge.

ce qui m'étonne quand même c'est qu'en ayant que des Switch de niveau III certain ne prenne pas en charge les ACL, c'est possible ça chez HP ?? j'ai été faire un tour sur leur site mais j'ai pas trouvé cette indication :(

[Serom]

Bah il y a plusieurs type d'ACL. Les première justement s'appelle ACL. C'est dernière se préoccupe juste des adresses IP sources et / ou destination. Cependant on les utilise quasiment plus puisque on a besoin du numéro de port aussi pour identifier le flux. Dans ce cas on parle d'ACL étendu. Et qui dit port dit couche Transport. Donc le plus souvent des switch standards n'embarque pas d'ACL (sauf pour dire que un tel et un tel on droit au SNMP, Telnet et etc). Mais des ACL aussi poussé que dans un routeur ou pare-feu, tu n'en trouveras que très rarement dans un switch (sauf si tu l'as demandé). Le swich normalement s'occupe que de l'adresse MAC, il en a rien a faire de l'IP. C'est pour cela que des ACL dans un switch c'est rare.

Si tu as des problèmes pour le trunck, tu mets tes clients léger dans le VLAN du routeur et le reste avec les trunck. Et le problème est résolu. Si tu as un routeur PRO il tiendra la distance (pour router 10-15 VLAN, même le bas de gamme fait l'affaire). Surtout que tu n'auras pas de protocole de routage a gérer et tout ce qui consomme de la ressource avec.

[KyLe85]

Bon, bah je vais voir tout ça, la solution de Vlan est deja en prod et j'ai qd même de nombreux postes sur chaque Vlan, aprés avoir contacté Arkoon, il semblerait que ce soit qd même limite pour le boitier de tout centraliser sur lui.

Vu la conjoncture actuelle, on va eviter de racheter un routeur donc je pense que ça va attendre un peu en attendant de trouver une solution intermédiaire.

J'vais réfléchir à tout ça, en tout cas merci pour le tit cours d'ACL et merci pour vos réponses

[typhoon006]

Bah il y a plusieurs type d'ACL. Les première justement s'appelle ACL. C'est dernière se préoccupe juste des adresses IP sources et / ou destination. Cependant on les utilise quasiment plus puisque on a besoin du numéro de port aussi pour identifier le flux. Dans ce cas on parle d'ACL étendu. Et qui dit port dit couche Transport. Donc le plus souvent des switch standards n'embarque pas d'ACL (sauf pour dire que un tel et un tel on droit au SNMP, Telnet et etc). Mais des ACL aussi poussé que dans un routeur ou pare-feu, tu n'en trouveras que très rarement dans un switch (sauf si tu l'as demandé). Le swich normalement s'occupe que de l'adresse MAC, il en a rien a faire de l'IP. C'est pour cela que des ACL dans un switch c'est rare.

Si tu as des problèmes pour le trunck, tu mets tes clients léger dans le VLAN du routeur et le reste avec les trunck. Et le problème est résolu. Si tu as un routeur PRO il tiendra la distance (pour router 10-15 VLAN, même le bas de gamme fait l'affaire). Surtout que tu n'auras pas de protocole de routage a gérer et tout ce qui consomme de la ressource avec.

de plus en plus de switch bosse au niveau 2 et 3 quand meme

un routeur pro ca tient laaaaaaaaaargment la charge

Arkoon te dit "c'est limite, vous faut le modéle tout nouveaux là celui là l'est bien achéte "

Puis faire du routage inter-vlan avec un switch c'est un peu crade quand même

[Serom]

De plus en plus de switch bosse au niveau 2 et 3 je suis d'accord. Le niveau 3 du switch sert juste a faire du routage entre VLAN (je voit mal mettre un switch entre internet et le réseau local ^^). Donc la problématique est la même: un switch traite essentiellement du niveau 2 donc du MAC et un peu d'IP pour faire du routage entre VLAN.

Si tu veux centraliser les ACL il y a pas le choix: il faut pas faire de routage entre vlan dans le switch mais sur un routeur externe. Cela n'a rien de crade si c'est voulu :). Ce qui est plus crade c'est de décentralisé les ACL pour les répéter sur chaque switch :)

[typhoon006]

moi je trouve crade de vouloir faire du routage inter vlan avec des switch

donc un routeur pour faire ca, et comme les ACL qui veut faire concerne le routage ba tu les colles sur le routeur

sinon c'est caca

[Serom]

Bah en fait on dit la meme chose ^^. J'avais mal compris. Je croyais que tu disais la méthode routeur que je veux faire s'était crade. En fait on pense la meme chose ^^

[typhoon006]

Bah en fait on dit la meme chose ^^. J'avais mal compris. Je croyais que tu disais la méthode routeur que je veux faire s'était crade. En fait on pense la meme chose ^^

on est copain alors