bonjour j'ai configuré deux vlan sur un switch cisco 3500 xl, ils sont operationnels.
Ce que je voudrai faire maintenant c'est un exemple d'access list qui autorise une action du vlan 1 vers vlan 2, par exemple autoriser un ping du vlan 1 vers le vlan 2 mais je n'y arrive pas .
Est ce que quelqu'un peut m'aider s'il vous plait ?

bon ben deja jme suis tromper c'est sur un 3750 que je suis quelqu'un peut m'aider ?

up !!

tu fais une access list "normale" sauf qu'au lieu de l'appliquer sur une interface physique tu l'appliques sur une interface vlan; ça doit fonctionner je pense.

ok merci

une petite question on fait comment pour faire marcher le routage entre les vlan, puisque pour l'instant j'ai donc un routeur qui a 2 vlan  
vlan 1 192.168.1.254
vlan 2 192.168.2.254
poste 1 est dans le vlan 1 et poste 2 est dans le vlan 2  
du poste 1 j 'arrive à pinguer jusqu'a 192.168.2.254 , j'arrive pas à pinguer poste 2 et du poste 2 j'arrive à pinguer jusqu'a 192.168.2.254 et pas plus loin .
Donc je pense que ca vient du routage.
 
Meci de vos réponses

il faut que tu montes un trunk sur la patte du routeur; avec une sous interface dans le Vlan 1 avec l'@ IP qui va bien, et sur la même patte; une autre sous interface dans le vlan 2 à l'@ IP qui va bien; ensuite activer le routage par un "ip routing"

ouai c'est bon ca marche mais j'ai juste eu besoin de faire ip routing ..  
et comment on fait pour mettre des access-list entre chaque vlan j'arrive pas ? genre je met une access list pour restreindre le ping :
access-list 100 deny icmp 192.168.1.254 255.255.255.0 192.168.2.254 255.255.255.0 echo-reply et pis je peu toujour pinguer.
ya pas un truc a faire pour activer l'access-list ?

interface vlan 18
  ip access-group 100 in
 
attention au wildcard mask !!

access-list 100 deny icmp 192.168.1.254 0.0.0.255 192.168.2.254 0.0.0.255 echo-reply

je viens de faire ce que tu m'a dis mais ca ping toujours

t'as bien appliqué l'ACL sur le bon vlan dans le bon sens ?

ben j'ai fais ca :  
access-list 100 deny icmp 192.168.1.254 0.0.0.255 192.168.2.254 0.0.0.255 echo-reply
et je test le ping du poste 192.168.1.1 vers le poste 192.168.2.1

ouais; et après il faut que tu appliques l'ACL en inbound ou outbound sur une interface vlan.

et tu as bien fais ce que Dreamer18 à écrit ci-dessus ?

non je vais le faire mais j'aimerai bien comprendre pourquoi interface vlan 18 ?
 

faute de frappe je suppose ,  
qund je fais un sh run j'ai ca :  
router rip
!
ip classless
ip http server
!
access-list 100 deny   icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo-rep
ly
!
control-plane
!
!
line con 0
line vty 5 15

mets TOUT ton sh run ici

le 18 pour l'interface vlan était juste un exemple.

autre chose.
Rajoute dans ton access-list
access-list 100 permit ip any any

mets nous une copie d'un
 
show vlan

ok ben demain je vous met un show vlan + un show run

ouai c bon pour le routage et access-lit par contre maintennat j'ai un problème avec l'interface web j' arrive pas à l'afficher ... une idée ?

l'interface web du routeur/switch ?
 
Fais un "ip http server"

switch je testerai ca demain

quand je vais sur l ' @ de mon switch avec  I E ca marche mais c'est apres quand je clique sur la web console dans le menu ca marche pas

il me dis qu'il trouve pas la page c'est possible qu'elle ne soit pas sur le switch ? enfin qu'elle est été supprimé ?

j'ai ca HTTP 404 - Fichier non trouvé

bon c resolu pour l interface web  
maintenant je voudrais avec des access-list autotiser le ftp du vlan 1 192.168.1.254 vers le vlan 2 192.168.2.254 et interdire tout le reste comment faire ?  

up !!

fais une access list étendue qui autorise les flux tcp sur les port 20 et 21

c'est ca ?
access-list 100 permit tcp host 192.168.2.254  host 192.168.1.254 eq ftp  
parceque j'ai fais ca est des que je l'applique sur une interface j'arrive plus à acces du 2 ème poste à mon ftp mem plus de ping.

c'est normal car après cette ligne, tu as un explicit deny any any.

ouai la ligne :  access-list 100 deny tcp any any je l'ai rajouté aussi mais le ftp je devrai pouvoir y acceder non ?

y a rien à mettre car il y a un deny all implicite à la fin de toute access list

donc ca devrai marcher juste avec cette ligne la ?  
access-list 100 permit tcp host 192.168.2.254  host 192.168.1.254 eq ftp  appliquée sur le vlan  192.168.2.254 ?

ouaip, je pense, par contre tu permets juste le ftp entre 2 machines et pas entre deux subnets

zeff29 -> ce que je voulais dire, c'est que quand tu créé une access-list, tu dois indiquer TOUT ce que tu autorises ou TOUT ce que tu veux interdire.
Car si tu fais une access-list du style :
J’autorise A à faire du FTP sur B
Et tu arrêtes ton access-list ici, tu ne pourra rien faire d’autres que ce qui est dans ton access-list, car à la fin de celle-ci est rajouté (mais invisible) un :
J’interdis TOUT le reste.

ok mais moi je te dis juste que en faisant ca meme le ftp marche pas.

Et donc sans cette access-list, pas de pb pour accèder au ftp ?
 
Tu as bien appliquée en "out" et pas en "in" ?