Posté le: Mer Nov 19, 2008 11:45 am Sujet du message: ACL entre plusieurs VLAN
Voici le code :
Code:
interface Loopback0
ip address 10.11.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface Integrated-Service-Engine0/0
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly
service-module ip address 10.11.10.2 255.255.255.0
service-module ip default-gateway 10.11.10.1
!
interface FastEthernet0/1/0
switchport trunk native vlan 20
switchport mode trunk
macro description cisco-switch
!
interface FastEthernet0/1/1
switchport access vlan 20
switchport voice vlan 10
macro description cisco-phone
spanning-tree portfast
!
interface FastEthernet0/1/2
switchport access vlan 20
switchport voice vlan 10
macro description cisco-phone
spanning-tree portfast
!
interface FastEthernet0/1/3
switchport access vlan 20
switchport voice vlan 10
macro description cisco-phone
spanning-tree portfast
!
interface FastEthernet0/1/4
switchport access vlan 20
switchport voice vlan 10
macro description cisco-phone
spanning-tree portfast
!
interface FastEthernet0/1/5
switchport access vlan 20
switchport voice vlan 10
macro description cisco-phone
spanning-tree portfast
!
interface FastEthernet0/1/6
switchport access vlan 20
switchport voice vlan 10
macro description cisco-phone
spanning-tree portfast
!
interface FastEthernet0/1/7
switchport access vlan 20
switchport voice vlan 10
macro description cisco-phone
spanning-tree portfast
!
interface FastEthernet0/1/8
switchport trunk native vlan 20
switchport mode trunk
macro description cisco-switch
!
interface BRI0/1/0
no ip address
isdn switch-type basic-net3
isdn point-to-point-setup
isdn incoming-voice voice
isdn sending-complete
isdn static-tei 0
!
interface BRI0/1/1
no ip address
isdn switch-type basic-net3
isdn point-to-point-setup
isdn incoming-voice voice
isdn sending-complete
isdn static-tei 0
!
interface BRI0/3/0
no ip address
isdn switch-type basic-net3
isdn point-to-point-setup
isdn incoming-voice voice
isdn sending-complete
isdn static-tei 0
!
interface BRI0/3/1
no ip address
isdn switch-type basic-net3
isdn point-to-point-setup
isdn incoming-voice voice
isdn sending-complete
isdn static-tei 0
!
interface Vlan1
no ip address
!
interface Vlan10
description ** Voix **
ip address 10.10.10.1 255.255.255.0
ip pim dense-mode
ip nat inside
ip virtual-reassembly
!
interface Vlan20
description ** Data **
ip address 10.44.54.200 255.255.255.0
ip pim dense-mode
ip nat outside
ip virtual-reassembly
!
interface Vlan30
description ** Visiteur **
ip address 192.168.1.1 255.255.255.0
ip access-group 131 out
ip nat inside
ip virtual-reassembly
!
interface Vlan40
description ** Production **
ip address 192.168.2.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 10.44.54.254
ip route 10.11.10.2 255.255.255.255 Integrated-Service-Engine0/0
!
ip http server
ip http authentication local
no ip http secure-server
ip nat pool poolNAT 10.44.54.201 10.44.54.201 prefix-length 30
ip nat inside source list 2 pool poolNAT overload
!
access-list 2 remark PAT_VLAN_DATA
access-list 2 permit 192.168.1.0
Je souhaiterais que :
- le vlan DATA puisse voir tout les autres vlan.
- le vlan PRODUCTION puisse voir une seule adresse du vlan lan DATA (port telnet).
J'ai essayé pleins d'acl mais je n'arrive jamais a voir des ip autres que les interfaces du routeur sur le vlan PRODUCTION.
Voici des acl deja testés :
access-list 103 remark ACL_VLANPROD Category=1
access-list 103 permit ip host 10.44.54.6 any
access-list 103 deny ip any any
ou du type
access-list 11 permit 10.44.54.0 0.0.0.255
access-list 11 permit 192.168.2.0 0.0.0.255
que j'appliquai sur l'inteface VLAN40 avec "ip access-group 103 in"
J'ai l'impression que même en appliquant des acl la communications entre les vlan ne fonctionnent pas.
Posté le: Mer Nov 19, 2008 4:30 pm Sujet du message:
salut,
essaye cela pour ton vlan40:
Code:
!
access-list 103 remark ACL_VLANPROD
access-list 103 permit tcp any host 10.44.54.6 eq 23
access-list 103 deny ip any any
!
interface Vlan40
ip access-group 103 in
!
Posté le: Jeu Nov 20, 2008 4:09 pm Sujet du message:
Deja testé.
En fait si on est sur VLAN20 on peux voir tout les autres VLAN. Par contre si on est sur VLAN10, VLAN30 ou VLAN40 on ne voit pas VLAN20.
J'ai essayé la commande ip routing mais lorsque je fais un show run elle n'est jamais visible. J'ai deja :
<code>
ip cef
ip multicast-routing
</code>
Un truc que je remarque :
Les pc configuré sur VLAN20 on l'adressage ip suivant
ip 10.44.54.0
mask 255.255.255.0
passerelle : 10.44.54.254 (qui est la passerelle du routeur SDSL Orange)
et donc pas celle du routeur 10.44.54.200 que je configure (routeur VOIP CISCO).
Je ne peux créer mes VLAN que sur le routeur VOIP et non celui de la SDSL Orange.
Pourtant si je configure les pc du VLAN20 avec la passerelle 10.44.54.200, les pcs sont visibles du VLAN10, VLAN 20, VLAN 30.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
ACL entre plusieurs VLAN
