Coco, t’as pas bien lu :) Il t’a recommandé d’activer HSRP mais avec un seul routeur. L’avantage, c’est que l’IP virtuelle flottante est vue avec une adresse MAC qui dérive de l’IP, donc toujours la même, même si tu changes le routeur. Une ruse de sioux quoi :)
> Le 13 déc. 2018 à 18:22, Sébastien 65 <[email protected]> a écrit : > > Salut, > > Merci à tous pour vos retours 😊 > > HSRP j'y pense, mais dans le montage cela ne passera pas car pas de place > pour le second routeur... > > 802.1x pourquoi pas mais il faut maintenir aussi une couche d'inventaire > > Protected-port dans mon cas je ne suis pas sûr que cela fonctionne car j'ai > un port-channel en mode trunk sur deux switch, le second switch me sert à > faire le filtrage avant de "rentrer" sur le routeur. > > switchport trunk encapsulation dot1q > switchport trunk native vlan 900 > switchport trunk allowed vlan 3201-3207 > switchport mode trunk > > VMPS j'avais regardé rapidement, je n'ai pas creusé la question, faut que je > regarde plus en détail ! > ________________________________ > De : DALBERA David <[email protected]> > Envoyé : jeudi 13 décembre 2018 17:35 > À : Sébastien 65 > Objet : Re: [FRnOG] [TECH] Bonne méthode pour filtrage IP/MAC sur VLAN SW > CISCO > > Salut, > > > Le VMPS peut pas te convenir ? > > > a+ > > > Le 08/12/2018 à 12:10, Sébastien 65 a écrit : >> Bonjour, >> >> Actuellement je filtre sur mes switch CISCO les MAC autorisées (via des >> access-list) à discuter sur son VLAN vers un routeur... >> >> ip arp inspection vlan 2-3 >> ip arp inspection filter VLAN_2_ARP vlan 2 >> ip arp inspection filter VLAN_3_ARP vlan 3 >> ! >> arp access-list VLAN_2_ARP >> permit ip host 10.0.0.1 mac host 689c.e258.1b67 >> permit ip host 10.0.0.2 mac host 58ac.78fd.56e1 >> arp access-list VLAN_3_ARP >> permit ip host 10.0.0.5 mac host 689c.e258.19a0 >> permit ip host 10.0.0.6 mac host 58ac.78fd.56e1 >> >> Je ne sais pas si la méthode ci-dessus est la plus simple, mais elle à le >> mérite de fonctionner : ) >> >> Le seul inconvénient que j'y trouve est que si mon routeur explose >> (58ac.78fd.56e1), je vais être obligé de repasser sur toutes les access-list >> pour changer 58ac.78fd.56e1 par la nouvelle MAC du routeur de remplacement... >> >> De votre côté comment vous gérez la gestion du filtrage IP/MAC par VLAN ? >> >> Bon week-end >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > -- > > DALBERA David > - Administrateur Système et Réseaux - > Société Télémaque > 80 Route des Lucioles - BAT E > 06560 VALBONNE > > Tél : +33 4 92 90 99 83 > Fax : +33 4 92 90 91 42 > [email protected] > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
