Hello +1, mais la Mac est dérivée de l id , pas de l IP sauf erreur. Après ça a peut être évolué avec le temps. Généralement j préfère mettre du vrrp, histoire que le setup ne soit pas restreint a utiliser du Cisco
++ --- Pierre L Le jeu. 13 déc. 2018 à 18:26, David Ponzone <[email protected]> a écrit : > Coco, t’as pas bien lu :) > > Il t’a recommandé d’activer HSRP mais avec un seul routeur. > L’avantage, c’est que l’IP virtuelle flottante est vue avec une adresse > MAC qui dérive de l’IP, donc toujours la même, même si tu changes le > routeur. > Une ruse de sioux quoi :) > > > Le 13 déc. 2018 à 18:22, Sébastien 65 <[email protected]> a écrit : > > > > Salut, > > > > Merci à tous pour vos retours 😊 > > > > HSRP j'y pense, mais dans le montage cela ne passera pas car pas de > place pour le second routeur... > > > > 802.1x pourquoi pas mais il faut maintenir aussi une couche d'inventaire > > > > Protected-port dans mon cas je ne suis pas sûr que cela fonctionne car > j'ai un port-channel en mode trunk sur deux switch, le second switch me > sert à faire le filtrage avant de "rentrer" sur le routeur. > > > > switchport trunk encapsulation dot1q > > switchport trunk native vlan 900 > > switchport trunk allowed vlan 3201-3207 > > switchport mode trunk > > > > VMPS j'avais regardé rapidement, je n'ai pas creusé la question, faut > que je regarde plus en détail ! > > ________________________________ > > De : DALBERA David <[email protected]> > > Envoyé : jeudi 13 décembre 2018 17:35 > > À : Sébastien 65 > > Objet : Re: [FRnOG] [TECH] Bonne méthode pour filtrage IP/MAC sur VLAN > SW CISCO > > > > Salut, > > > > > > Le VMPS peut pas te convenir ? > > > > > > a+ > > > > > > Le 08/12/2018 à 12:10, Sébastien 65 a écrit : > >> Bonjour, > >> > >> Actuellement je filtre sur mes switch CISCO les MAC autorisées (via des > access-list) à discuter sur son VLAN vers un routeur... > >> > >> ip arp inspection vlan 2-3 > >> ip arp inspection filter VLAN_2_ARP vlan 2 > >> ip arp inspection filter VLAN_3_ARP vlan 3 > >> ! > >> arp access-list VLAN_2_ARP > >> permit ip host 10.0.0.1 mac host 689c.e258.1b67 > >> permit ip host 10.0.0.2 mac host 58ac.78fd.56e1 > >> arp access-list VLAN_3_ARP > >> permit ip host 10.0.0.5 mac host 689c.e258.19a0 > >> permit ip host 10.0.0.6 mac host 58ac.78fd.56e1 > >> > >> Je ne sais pas si la méthode ci-dessus est la plus simple, mais elle à > le mérite de fonctionner : ) > >> > >> Le seul inconvénient que j'y trouve est que si mon routeur explose > (58ac.78fd.56e1), je vais être obligé de repasser sur toutes les > access-list pour changer 58ac.78fd.56e1 par la nouvelle MAC du routeur de > remplacement... > >> > >> De votre côté comment vous gérez la gestion du filtrage IP/MAC par VLAN > ? > >> > >> Bon week-end > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > -- > > > > DALBERA David > > - Administrateur Système et Réseaux - > > Société Télémaque > > 80 Route des Lucioles - BAT E > > 06560 VALBONNE > > > > Tél : +33 4 92 90 99 83 > > Fax : +33 4 92 90 91 42 > > [email protected] > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
