Bonjour les amis,
 
Je travaille avec les VLANs et je me perds là un peu ! Je dispose d'un switch L3 dans lequel j'ai crée 3 VLANs A, B et C les 3 VLANs pour le moments peuvent communiquer ensemble. J'ai ajouté un Firewall qui est connecté directement au switch L3
Je veux forcer le flux provenant de B et C et comme destination A a passer par le Firewall puis revenir vers le switch (vers A) (après je vais y aplliquer une politique de filtrage)!!
J'ai essayer de configurer ip route sur le switch L3 (ip route ipA maskA WanFirewall) mais ça marche pas, les VLANs B et C peuvent toujours joindre le vlan A sans ou avec le firewall et avec tracert les paquets ne passe pas par le firewall !!
 
Normalement en mettant une route statique sur le switch pour joindre A les paquets doivent obligatoirement passés par cette route même si tous les vlan sont sur le même switch L3 !! Enfin je ne sais plus !
 
Help please, merci bcp

Est-ce que le problème ne viendrait pas du fait que ton switch L3 voit directement connecté le VLAN A et du coup c'est cette liaison qui est préféré au routage statique que tu as implémenté ?

C'est ça le problème, je dois travailler ainsi !
Autre chose quand je fais sh ip route je vois pas la route statique que j'ai crée ! elle est plutôt de type connected et non pas static !! est ce normal ?

Fais un c/c de ton show ip route pour voir.

                               IP Route Entries
 
  Destination            Gateway          VLAN  Type      Sub-Type   Metric     Dist.
  ------------------ --------------- ---- ----------- ---------- ---------- -----
  0.0.0.0/0             11.88.0.1             1    static                1          1
  11.88.0.0/22         DEFAULT_VLAN     1    connected         0          0
  11.88.4.8/29         Reporting            10   connected         0          0
  11.88.6.0/24         HR                     20   connected         0          0
  11.88.14.0/28      WIFI_BarTest       17   connected         0          0  =====> A
  127.0.0.0/8          reject                       static                0          250
  127.0.0.1/32         lo0                           connected         0          0

je l'ai configuré comme suit

ip route 11.88.14.0 255.255.255.240 11.88.2.1 (GW du Firewall)

et avec la commande sh run j'arrive a voir cette ligne.

Ouai donc il voit uniquement ton réseau connecté au switch et il t'a shooté ton routage statique. Me semblait qu'on pouvait quand même voir une seconde ligne pour le même subnet si il y avait une seconde route envisageable. Sur du Cisco en tout cas ...

Peut-être en passant par une ACL tu pourrais dévier les paquets ...

 
Comment configurer ça? dès le début j'essaye toujours d'éviter ces ACLs mais bon c'est inévitable j'après ce que je vois :s

Bonne question. Faut poser avec des mots ce que tu souhaites faire et l'appliquer en commandes...

tu peux pas virer l'ip sur le réseau A sur ton switch ?

Et si tu configures les passerelles de B et C sur l'IP du firewall, ça passerait ?
Ça voudrait dire que c'est ton firewall qui fait le routage pour ces VLAN et non plus ton switch.

+1 c'est le firewall qui doit avoir les interface de routage pas le switch

cad ??    

Ce que j'arrive pas à saisir c'est comment je peux toujours pinger le A alors qu'il y une route static qui redirige le flux vers le firewall ? Et même le flux il n'est pas redirigé ! c'est quoi le rôle de la route static dans ce cas? ou est ce que c'est pas fonctionnelle quand le tout et dans le même switch ?

Parce que la métric d'une route connected est inférieur à celle d'une route statique donc choisie directement.
 
Dégage l'ip de ton vlan A, comme ça pour le switch le réseau A sera pas directement connecté et ta route statique sera utilisée

Tu veux dire là que je dois créer un vlan sans lui attribuer une adresse ? Mais j'ai des équipements qui doivent appartenir à ce VLAN ! du coup je dois les assigner des adresses dans la plage d'adressage de A ? (Alors que A est sans Adresse) Si j'ai bien compris !

Ouais
 
Tu peux avoir des équipes dans le VLAN dans le sous réseau A sans que le switch ait une IP (par contre du coup, si avant tu mettais en default GW l'ip du switch faudra en mettre une autre et pour le dhcp relay je sais pas si il y a un truc ou si faut revoir la conf)

Donc je crée le VLAN A sans Adresse  
 
vlan 17
   name "WIFI_BarTest"
   11.88.14.1 255.255.255.240
   untagged D3-D4
   tagged A1-A4,B1-B2,B4
   exit
 
ensuite je mets la route statique :
 
ip route 11.88.14.0 255.255.255.240 11.88.2.1 (GW du Firewall)
 
et après je fais quoi? (Pas besoin du DHCP pour le moments je peux tout configurer manuellement )

Ah j'avais pas lu le "repasser par le switch pour joindre A", hmm du coup non ça ne doit pas marcher directement.
 
Je dirais que soit tous les flux vont vers le FW (via un lien en trunk et des sous interfaces sur le fw) soit ptêtre via des VRF. Laisse un pro du réseau te répondre mieux

anyway merci bcp
Je reviendrai mettre la solution, si jamais trouvée  

Oui la route statique a de toute manière une priorité inférieure à un réseau directement connecté donc elle est shuntée.
As-tu testé de changer la GW des VLANs B et C ?

Y a t'il un moyen pour virer la route connected ?
Qu'est ce que tu veux dire par changer les GWs ?

Pour supprimer la route connected faut supprimer le VLAN, donc c'est pas bon
Les GW des postes sur les VLAN B et C c'est bien l'adresse du switch L3 ?
Si oui, faudrait changer par l'IP du firewall comme ça le flux est obligatoirement transféré dessus, et donc filtrage.

Si je rajoute un autre switch L3 ! donc on aura 2 switch L3 interconnecté, le firewall et les vlan !! et peu importe ou placer le VLAN A (Sur le SW1 ou SW2)
Y a t'il une solution avec cette architecture ?

Y'a de l'argent à jeter dans ton entreprise ?
Essayes donc déjà en changeant les GWs des vlan b et c.

  non c'est pas ça , on a déjà les deux switchs qui travaillent en redondance mais je suis sensé travailler avec un seul, mais si y a pas une solution je pourrai faire une demande pour étaler mon travail sur les deux, voila !