Dans mon architecture, j'ai plusieurs vlan qui communiquent entre eux. J'ai créé un vlan "invité" pour les nomades (visiteurs) avec seulement un accès à internet. Si un utilisateur a une merde (virus, troyen...) sur son pc va-t-elle rester dans le vlan "invité" ou se propager sur tout le réseau.
 
Quand je suis dans le vlan "invité", je ne peux pas pinguer les serveurs.
 
Merci

ça peut se propager partout, mais pas forcément.
 
Une petite ACL en sortie de ton vlan guest te sauvera la vie

les vlans c'est bien mais faut savoir comment tu les routes ?

s'ils communiquent entre eux c'est qu'ils sont routés

Justement, faut savoir s'il route entre invités et serveurs, et si oui qu'est-ce qu'il autorise à passer

Voici mes ACL
 
ip access-list extended Invite
 permit tcp any any established
 permit tcp any 172.17.2xx.0 0.0.0.255 syn log
 permit tcp any 172.17.2xx.0 0.0.0.255 syn log
 deny   tcp any 172.17.0.0 0.0.255.255 syn log
 deny   tcp any 172.31.0.0 0.0.255.255 syn log
 
172.17... et 172.31.... correspondent au réseau de travail
172.17.2xx correspondent à la passerelle pour aller sur le net.
 
Quand je suis dans le vlan "Guest", impossible de pinguer le 172.17... et le 172.31....
 
Donc suis-je bien protégé ???