VLAN Internet only (wifi)

VLAN Internet only (wifi) - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 09-05-2011 à 10:02:04    

Bonjour,
 
Voila je voudrais mettre en place un VLAN pour le wifi qui ne donne un accès que à internet mais pas au LAN. Le problème c'est que je ne sais pas comment procéder.
D'après ce que j'ai pu voir sur la toile, il faudrait jouer avec les access-list mais je ne voie pas trop comment.  
 
Pour info il y a un serveur RADIUS qui fait le contrôle d'accès pour le wifi.
 
Merci.

Reply

Marsh Posté le 09-05-2011 à 10:02:04   

Reply

Marsh Posté le 09-05-2011 à 17:40:13    

Il manque des infos dans ta demande.  
 
Peux-tu détailler ton archi réseau ?
 
Le radius sert à faire de l'authentification (des postes wifi, des pcs connectés aux switches, des admins, etc), mais la restriction se fait sur l'équipement qui fait le routage.  

Reply

Marsh Posté le 10-05-2011 à 09:54:47    

Bonjour,
 
Schéma d'architecture : http://data.imagup.com/member/1119 [...] 121527.png
 
VLAN 10 serveurs
VLAN 20 salle A*
VLAN 30 salle B*
VLAN 40 salle C*
 
VLAN 10 accède à 20, 30, 40
VLAN 20 accède à 10, 30
VLAN 30 accède à 10, 20
VLAN 40 accède à 10
 
je n'ai pas rajouté les emplacements wifi car ils ne sont pas encore installés, mais bon il y aura surement des bornes wifi branché sur plusieurs switch pour pouvoir couvrir l'intégralité du domaine.
 
Voici la conf du routeur si sa peut aider (faite sous packet tracer) :
 

Spoiler :

interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.2
 encapsulation dot1Q 10
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.3
 encapsulation dot1Q 20
 ip address 192.168.2.1 255.255.255.0
 ip access-group 102 in
!
interface FastEthernet0/0.4
 encapsulation dot1Q 30
 ip address 192.168.3.1 255.255.255.0
 ip access-group 101 in
!
interface FastEthernet0/0.5
 encapsulation dot1Q 40
 ip address 192.168.4.1 255.255.255.0
 ip access-group 100 in
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
router rip
 network 192.168.1.0
 network 192.168.2.0
 network 192.168.3.0
 network 192.168.4.0
!
ip classless
!
!
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 permit ip any any
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 101 permit ip any any
access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 102 permit ip any any


 
Et celle du switch coeur de réseau :
 

Spoiler :

interface FastEthernet0/1
!
interface FastEthernet1/1
!
interface FastEthernet2/1
 switchport mode trunk
!
interface FastEthernet3/1
 switchport mode trunk
!
interface FastEthernet4/1
 switchport mode trunk
!
interface FastEthernet5/1
 switchport mode trunk
!
interface FastEthernet6/1
 switchport mode trunk
!
interface FastEthernet7/1
 switchport mode trunk
!
interface FastEthernet8/1
 switchport mode trunk
!
interface FastEthernet9/1
 switchport mode trunk
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 no ip address
!
interface Vlan20
 no ip address
!
interface Vlan30
 no ip address
!
interface Vlan40
 no ip address


 
Je compte donner une IP a tous les switch sur l'interface VLAN 1 pour l'administration.


Message édité par xeonn le 10-05-2011 à 13:12:33
Reply

Marsh Posté le 10-05-2011 à 12:51:41    

La passerelle de chacun de tes sous réseaux sera normalement ton switch de niveau 3, j'ai du mal à comprendre pourquoi tu mets en place les ACL sur ton routeur.  
 
Tu appliques des règles de sécurité locales sur un routeur, c'est pas le but de l'équipement. Ton routeur fait office de passerelle entre ton LAN et Internet. Ton switch de niveau 3 fait office de passerelle entre les sous réseaux qui compose ton LAN.
 
Pour l'utilisation du wifi pour Internet il y a deux solutions:
 - la mauvaise: interdire le trafic entre ton vlan wifi et le reste des vlans et autoriser le reste du trafic vers n'importe quelle destination; c'est pas très secure.
 - la bonne: tu mets en place un VLAN qui sera composé d'une patte de ton coeur de réseau et la patte d'entrée de ton firewall; de cette façon tu interdis tout le traffic via une ACL du vlan wifi vers tous les autres vlans excepté le vlan que tu viens de créer.

Reply

Marsh Posté le 10-05-2011 à 13:01:33    

Merci pour la réponse, je vais regarder les solutions que tu ma proposé.
 
Pour se qui est des ACL sur le routeur c'est pour le routage inter vlan, d'après se que j'avais pu voir sur d'autre forum on passe généralement par des ACL.

Reply

Marsh Posté le 10-05-2011 à 13:43:37    

Le routage inter vlan se fait soit sur un routeur sois sur un switch de niveau 3 (le coeur de réseau).
 
Au lieu de router le trafic entre tes vlans sur le routeur, faisle sur le switch de niv 3.
 
Les ACL ne sont pas impératives au routage inter vlan, c'est seulement un outil pour gérer la sécurité d'accès à tes vlans.

Reply

Marsh Posté le 10-05-2011 à 14:34:18    

Débutant CISCO inside. Même débutant réseau L3 tout court :p

 

Ce que je pense :

 

Tu as raison, tu pourrais t'en sortir avec un ACL pour limiter la communication de tes clients wifi à sortir sur internet, voire même les limiter à faire du HTTP et FTP. Par contre j'appliquerais ceci sur les switchs si toutefois ils sont bien Layer 3

 

Tu créé un nouveau VLAN, que tu routes, et tu lui interdis l'accès à tous les VLAN après lui avoir autorisé à joindre le routeur :

 

access-list 100 permit ip (class_ip_wifi) (masque_inverse_wifi) 192.168.1.1 0.0.0.0 eq www
access-list 100 permit ip (class_ip_wifi) (masque_inverse_wifi) 192.168.1.1 0.0.0.0 eq ftp

access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 permit ip any any

 

Je vois pas trop l'intérêt des lignes :
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255

 

quand tu as access-list 100 permit ip any any à la fin ... Mois je mettrais plus à la fin : access-list 100 deny ip any any et je supprimerais les autres ... Car là en fait celà veux dire que toutes les autres ip sont autorisés ...

 

en gros je mettrais ça :

access-list 100 permit ip (class_ip_wifi) (masque_inverse_wifi) 192.168.1.1 0.0.0.0 eq www
access-list 100 permit ip (class_ip_wifi) (masque_inverse_wifi) 192.168.1.1 0.0.0.0 eq ftp
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip any any

 

Ces deux lignes de conf te permettront d'autoriser le traffic provenant de ton wifi vers ton routeur dans ton VLAN 10 en ftp et www. Seul chose, celà dépend du type de wifi que tu installes ... Si ce sont de bêtes bornes, alors ca va, si c'est du wifi type ACCESS POINT CISCO avec un contrôleur centralisé, là je me prononce pas :)


Message édité par ChaTTon2 le 10-05-2011 à 14:35:03

---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 10-05-2011 à 15:32:07    

Ok je vais passer mon routage sur le L3 coeur de réseau.
 
@ lapin_vert : je pense que je vais opter pour ta solution utilisant un VLAN entre le firewall et le routeur.
 
@ chatton2 : Effectivement ce serra des bornes wifi toutes simple ^^.
Pour ton ACL j'adopte, c'est mieux que se que j'avais mit.  
 
Je vais tester sa sur PT, merci !

Reply

Marsh Posté le 10-05-2011 à 15:39:30    

Pour info:
 
borne lourde: borne autonome qui fonctionne sans l'aide d'un équipement de configuration
borne légère: borne qui se configure en fonction des informations qu'elle reçoit d'un contrôleur wifi sur le réseau
 
A noter que les bornes Cisco Aironet peuvent passer d'un fonctionnement à un autre en changeant de type d'IOS.

Reply

Marsh Posté le 10-05-2011 à 16:40:46    

lapin_vert a écrit :

Pour info:
 
borne lourde: borne autonome qui fonctionne sans l'aide d'un équipement de configuration
borne légère: borne qui se configure en fonction des informations qu'elle reçoit d'un contrôleur wifi sur le réseau
 
A noter que les bornes Cisco Aironet peuvent passer d'un fonctionnement à un autre en changeant de type d'IOS.


Merci de l'info :)


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
Reply

Marsh Posté le 10-05-2011 à 16:40:46   

Reply

Marsh Posté le 17-07-2012 à 15:51:21    

Drapal Merci pour ces infos ;) !


---------------
X99 Broadwell-E Addicts/Collectionneur de Rampage V Edition 10
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed