Bonjour,
 
Je me tourne vers vous car il m'est impossible d'obtenir une aide de la part de Netasq
 
Je vous expose mon probleme et l'architecture du réseau.
Un routeur Cisco -> 1 switch Cisco -> 2 U450 en haute dispo -> 2 switchs Cisco en stackwise -> multiples switchs ciscos
 
Sur le réseau j'ai 3 parties biens distinctes: l'intranet, un réseau interne mais avec utilisation de personnes de passages, le wifi
Chaques parties est divisé en vlans, soit au total une quinzaines de vlans tous sur un découpage de classe A privé.
 
Sur le Netasq j'ai configuré mes vlans sur les interfaces sur lesquelles remontent mes 3 parties (soit 3 interfaces internes + 1 out) et des translations d'adresses vers ma classe publique.
 
Mon problème vient du fait que je n'ai quasi pas acces au net dans cette configuration. Je dit quasi car certains sites fonctionnent mais d'autres pas. Les sites ne fonctionnant pas ne sont pas bloqués, il semble que l'accès soit tellement long que le browser finit par afficher qu'il y a un problème de connexion.
J'ai fait le test de me brancher directement sur une interface sans vlan dans la meme configuration de filtrage et ASQ, et là aucuns soucis.
 
Auriez vous une idée svp ?

C'est pas tes switchs qui routent entre tes vlans ?

Que veux tu dire ? Que les switchs feraient du routage a la place du netasq ?

Les switchs font le routage inter vlan. (Quoi comme switch d'ailleurs ?).
Une patte de chacun des Netasq sur chacun des 2 switchs de coeur ds un Vlan donné.
Sur les switch le U450 devient la route par défaut.
Sauf si tu veux absolument que le routage inter vlan passe par le netasq pour l'ASQ.
J'aurais tendance a penser que les switch L3 sont tellement plus performant pour le routage au quotidien sur les VLAN.
Ca empêche pas de réserver une (ou plus) patte du Netasq pour un réseau particulier (DMZ) sur lequel tu vx absolument un passage par le firewall.
Entre ton routeur Cisco et tes U450 le switch, c'est pour la HA j'imagine. Derriere le Cisco t'as un subnet public ?

Je connais encore assez mal tout ca, mais ce qu'il me faudrait garder sur le netasq c'est la gestion de la sécurité, entre les vlans et entre l'intranet et l'internet.
Ce à quoi j'ai pensé pour passer outre mon problème c'est de dédier la gestion du routage des vlans au coeur de réseau (Cisco 3750) et d'avoir un port par vlan qui redescend sur le netasq (ca me ferait 11 ports et autant d'interfaces) comme tu me le propose.
Oui le switch sert juste à la haute dispo, c'est un "petit" 8ports. oui j'ai un subnet public où j'utilise 2 adresses (routeur et netasq) et une plage d'adresse pour le NAT.
 
Mon seul problème pour mettre en place cela c'est que je ne sais pas configurer les cisco à ce niveau là.
 
Celà reste pour moi une solution "secondaire" car elle est très couteuse (11x2 ports d'utilisés sur le coeur de réseau qui en comporte 48) et j'aimerai vraiment comprendre ce que j'ai raté sur la conf netasq pour que les vlans me plantent à ce point...

Fais router entre tes vlan par tes 3750.
 
Mets tes Netasq sur les 3750 (1 netasq sur chacun des 3750).
 
J'ai pas dis de mettre une interface physique du netasq ds chaque vlan !!
 
Le Netasq protege alors tes vlan de l'internet.
 
Qu'appelles tu l'intranet ? Tu px dédier une interface du U450 pour ce réseau de toute façon.
 
Tes 3 réseaux seront séparés par le Netasq.
 
 

Je vais essayer ca. Pourrais tu m'indiquer comment effectuer ce routage sur les 3750 stp ?

Tu crées les interfaces pour chaque vlan.
Pour le vlan 15 par exemple :
int vlan 15
ip address 192.168.15.1 255.255.255.0
 
192.168.15.1 devient la passerelle par defaut des postes de ce vlan.
 
La commande "ip routing" en global active le routage automatique entre tes vlan et tu px tjrs filtrer entre les vlan avec des ACL.
 
Tu dois bien avoir un Vlan pour tes serveurs et du DHCP, il faudra configurer l'helper adress pour n'avoir qu'un seul serveur DHCP qui distribue pour tous tes vlan.
Pour chaque vlan avecun sous reseau ip diffèrent tu crés une interface en X.X.X.1 par exemple qui est la passerelle par defaut des machines de ces vlan.
Tu places ton U450 ds le vlan serveur par exemple.
Sur le switch il faudra ensuite rajouter la route par defaul vers le U450.
 
Tu seras router par le switch entre les VLAN et jusqu au U450 si nécessaire (internet ou DMZ).
 

Supernina, merci pour ton aide, je n'ai pas réalisé tout a fait ca mais ca me convient parfaitement et tout fonctionne !
 
Pourrais tu m'aiguiller pour ce que tu appelles l'helper adress qui m'intéresse fortement stp ?
 
PS: si quelqu'un passe par ici et connais une solution pour faire fonctionner les vlans du netasq comme décrit au premier post je suis quand meme preneur, ne serait ce que pour ma culture

La commande ip helper address permet par exemple de n'avoir qu'un seul serveur DHCP pour tous les vlans.
 
Admettons tu as 10 VLAN, 192.168.0.0/24 , 192.168.1.0/24, 192.168.2.0/24 etc ..., avec un seul serveur dhcp tu attribues des adresses IP aux machines ds le subnet qui convient. Super facile avec un DHCP sous win server 2003 et des switch Cisco !
 
Peux tu indiquer, par curiosité, la solution que tu as finalement mis en place ??
 
Concernant ta dernière question, j'aurais tendance a penser ds un 1er tps que c'est un souci de paramétrage de l'ASQ car tu dis que "qqs sites" fonctionnaientt. Si le routage ne fonctionne pas, il n'y a pas d'internet du tout.
 
La création des Vlan sur les Netasq est pourtant simple, il suffit d'ajout une interface VLAN sur l'interface physique de ton choix, autant de fois que tu as des vlans. A moins que tu ais voulu faire avec plusieurs interface physiques ??? J'ai pas tout bien compris ce que tu avais voulu faire en 1er lieu.

Avec ENORMEMENT de retard je reviens sur ce fil pour répondre a ta question de curiosité
 
J'ai en fait relié chaque interface physique du netasq à un port du 3750 qui est lui tagué au numéro de vlan voulu.
Du coup j'ai pu déconnecter le proxy http et tout roule !
 
Pour l'ASQ j'ai tenté, j'ai meme réalisé des bypass, rien n'y a fait...