18-06-2020 11:16 PM - modifié 18-06-2020 11:45 PM
Bonjour,
J'ai déployé plusieurs switchs Cisco (3850 et 2960-X) et interconnecté ces switchs via fibres optiques et ports trunk.
Dans ces trunk, j'ai autorisé une liste de VLAN.
L'un d'entre eux, par exemple VLAN 5, déclaré sur chaque swich comme port Admin, fonctionne parfaitement avec chaque switch; les pc connectés y fonctionne parfaitement sur le port 23 chaque switch. (ou 11 avec gbic RJ45 sur 3850).
Mes PC Admin sont sur un réseau 10.0.10.x/24. (GW : 10.0.10.254) (les IP ne représentent pas la réalité).
J'ai ensuite déclaré un nouveau VLAN pour mes utilisateurs, disons VLAN 100, sur chaque switch.
Via SSH :
conf t
vlan 100
name USERS
exit
do wr mem
end
show vlan
... et ce , sur chaque switch.
et sur au moins 2 switchs, j'ai testé avec des PC utilisateurs, via le port 1, avec ajout du vlan (switchport access vlan 100), mais la communication ne passe pas.
Mes PC utilisateurs sont sur un réseau 10.0.49.x/24 .(GW : 10.0.49.254)
Derrière ces swichs, il ya des serveurs dont les Serveurs Contrôleur de Domaine Microsoft, mais il existe un parefeu contenant des règles de filtrage, entre ces serveurs et ce réseau de switchs Cisco.
J'ai déclaré dans les interfaces du parefeu le VLAN 100 et la GW 10.0.49.254.
J'analyse ces règles (créés par mes prédécesseurs), mais, j'ai tout de même créé 2 règles pour laisser passer tous les flux (port et protocoles) entre mes PC utilisateurs et mes serveurs, en attendant de sécuriser d'avantage.
Que faut-il faire en plus ?
Cdlt,
Résolu ! Accéder à la solution.
le 23-06-2020 10:52 PM
Bonjour,
J'ai trouvé le point de blocage; il n'est pas sur les switchs Cisco, mais sur le parefeu.
Une interface a été déclarée avec un mask pour bloquer plus de 1000 adresses dont le plan d'adressage que j'avais prévu.
J'ai donc déplacé ce plan d'adressage pour sortir de ces 1000 adresses.
Et instantanément, tout à fonctionné.
Merci pour vos conseils à tous.
Je clôture.
le 20-06-2020 08:27 PM
21-06-2020 02:17 AM - modifié 21-06-2020 05:20 AM
Bonjour,
Voici les réponses aux questions :
La default gateway des utilisateurs est aussi sur le firewall?
>>Oui, j'ai déclaré dans une interface le VLAN ID 100 et l'adresse IP de la passerelle (et son masque) de ce nouveau plan d'adressage IP.
Quel modèle de firewall utilisez vous?
>> Stormshield SN510
Est ce que depuis le vlan utilisateur, vous arrivez à joindre votre default gateway?
>> J'essaieras le PING vers la GW USERS ce lundi.
Si oui, Est ce que vous arrivez à joindre la default gateway des serveurs?
>> >> J'essaieras le PING vers la GW SERVERS ce lundi.
Sur les serveurs, avez vous un pare-feu activé au niveau OS?
>> Le Parefeu Windows (2016) est "Open Bar" dans les 2 sens.
--
Je prévois également de vérifier et modifier si nécessaire la configuration VTP, car j'ai dû déclarer manuellement sur chaque switch (en espérant ne pas en avoir oublié) le nouveau VLAN 100.
show vtp status
conf t
vtp domain <mondomaine>
vtp mode transparent
vtp version 2
exit
do wr mem
end
show vtp status
---
Je me demande si le routage a été activé sur le 9300 ?
Je vérifierais demain matin.
Cdlt
le 22-06-2020 05:16 AM
Bonjour,
Le VTP est activé en Mode Transparent sur tous les switchs.
Mais, le PC sur le VLAN 100 ne peut pinger le DC, par contre il ping avec succès sa passerelle déclaré en tant qu'interface supplémentaire avec comme ID VLAN 100.
Donc, quelque chose bloque sur le firewall ...
Je cherche ...
le 23-06-2020 08:24 PM
le 23-06-2020 10:52 PM
Bonjour,
J'ai trouvé le point de blocage; il n'est pas sur les switchs Cisco, mais sur le parefeu.
Une interface a été déclarée avec un mask pour bloquer plus de 1000 adresses dont le plan d'adressage que j'avais prévu.
J'ai donc déplacé ce plan d'adressage pour sortir de ces 1000 adresses.
Et instantanément, tout à fonctionné.
Merci pour vos conseils à tous.
Je clôture.
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français