Bloquer des adresse IP : switch manageable ?

Le
CRATERE Electrotechnique
Bonjour,

Dans notre lycée, en particulier dans notre section électrotechnique,
on désire connecter des automates programmables industriels (API) en
Ethernet sur le réseau, pour les programmer depuis les PC sur le même
réseau.
Les étudiants peuvent avoir à reconfigurer des adresses IP sur ces API.
On voudrait que si les étudiants se trompent d'adresse IP, ça ne
perturbe pas le reste du lycée.
Donc, on cherche une boiboîte de type Switch (1 entrée, X sorties), qui
empêcherait toutes les machines, dont l'adresse IP n'est pas dans une
plage, de se connecter aux machines "soeurs" ou de se connecter au
reste du réseau sur l'entrée.

Est-ce un Switch manageable qui pourrait faire ça ?
Est-ce que ça peut se paramétrer avec un filtrage sur adresses IP
seulement, et non sur adresses MAC ??

Merci

--
Anti-spam : Ajouter [usenet] dans l'objet pour ne pas être rejeté.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
GuiGui
Le #17326191
CRATERE Electrotechnique a écrit :
Bonjour,

Dans notre lycée, en particulier dans notre section électrotechnique, on
désire connecter des automates programmables industriels (API) en
Ethernet sur le réseau, pour les programmer depuis les PC sur le même
réseau.
Les étudiants peuvent avoir à reconfigurer des adresses IP sur ces API.
On voudrait que si les étudiants se trompent d'adresse IP, ça ne
perturbe pas le reste du lycée.
Donc, on cherche une boiboîte de type Switch (1 entrée, X sorties), qui
empêcherait toutes les machines, dont l'adresse IP n'est pas dans une
plage, de se connecter aux machines "soeurs" ou de se connecter au reste
du réseau sur l'entrée.

Est-ce un Switch manageable qui pourrait faire ça ?
Est-ce que ça peut se paramétrer avec un filtrage sur adresses IP
seulement, et non sur adresses MAC ??

Merci




Si vous avez déjà un switch niveau 3 sur le réseau, c'est possible.
Définir un vlan pour ces machines, et mettre sur le switch une IP pour
ce vlan, sur un subnet à part du réseau de l'établissement et une IP sur
le réseau établissement. Ensuite configurer le switch pour qu'il route
les IP vers la passerelle. Les machines utiliseront l'IP du switch comme
passerelle. Il faut ensuite ajouter une route sur la passerelle pour
router le subnet isolé via l'IP du switch.

Vu le prix d'un switch niveau 3, si vous n'en avez pas un petit routeur
ethernet-ethernet fait l'affaire (un petit routeur à 80¤ genre netgear
ou linksys).
GuiGui
Le #17326601
GuiGui a écrit :

Vu le prix d'un switch niveau 3, si vous n'en avez pas un petit routeur
ethernet-ethernet fait l'affaire (un petit routeur à 80¤ genre netgear
ou linksys).



A bien y réfléchir, c'est même la solution la plus simple :
- Donner une IP du réseau comme IP externe du routeur
- Activer le NAT
- Configurer l'interface interne sur le réseau à utiliser par vos machines.

Les machines masquées par le routeur accèderont à votre réseau sans rien
avoir à reparamétrer sur celui-ci.
Mateusz Viste
Le #17329011
В Среда 24 сентября 2008 13:39, CRATERE Electrotechnique писал:
Les étudiants peuvent avoir à reconfigurer des adresses IP sur ces API.
On voudrait que si les étudiants se trompent d'adresse IP, ça ne
perturbe pas le reste du lycée.



C'est plutôt un firewall qu'il faudrait utiliser...
Il y en a des gratuits - par exemple pfSense, m0n0wall... généralement très
facile à mettre en place.

Dans ce cas concret, je vois deux solutions:
1. Effectuer du filtrage sur IP (ie. autoriser uniquement un certain pool
d'IP à traverser le firewall)
2. Configurer une translation NAT, qui par définition est plutôt
unidirectionnelle.

Si les boîtiers en question doivent être joignables facilement depuis le
reste du réseau, j'aurais tendance à m'orienter vers la solution #1.

Cordialement,
Mateusz VISTE
Stéphane Santon
Le #17331671
Bonjour,

Mateusz Viste a écrit :
Les étudiants peuvent avoir à reconfigurer des adresses IP sur ces API.
On voudrait que si les étudiants se trompent d'adresse IP, ça ne
perturbe pas le reste du lycée.



C'est plutôt un firewall qu'il faudrait utiliser...
Il y en a des gratuits - par exemple pfSense, m0n0wall... généralement très
facile à mettre en place.



Gratuits... donc logiciels sur PC je suppose ?
Et où je l'installe cer Firewall ? Sur les PC des étudiants à brancher
sur le switch ??


1. Effectuer du filtrage sur IP (ie. autoriser uniquement un certain pool
d'IP à traverser le firewall)

Si les boîtiers en question doivent être joignables facilement depuis le
reste du réseau, j'aurais tendance à m'orienter vers la solution #1.



Ca paraît intéressant, mais est-ce que ça existe dans des boîtiers
style routeur ??

Merci
Stéphane Santon
Le #17331661
Bonjour,

GuiGui a écrit :
Vu le prix d'un switch niveau 3, si vous n'en avez pas un petit routeur
ethernet-ethernet fait l'affaire (un petit routeur à 80¤ genre netgear ou
linksys).



A bien y réfléchir, c'est même la solution la plus simple :
- Donner une IP du réseau comme IP externe du routeur
- Activer le NAT
- Configurer l'interface interne sur le réseau à utiliser par vos machines.

Les machines masquées par le routeur accèderont à votre réseau sans rien
avoir à reparamétrer sur celui-ci.



Donc un routeur avec translation d'adresse nulle, avec mêmes adresses
et masques avant et après le routeur ???

- Donner une IP du réseau comme IP externe du routeur



N'importe quelle IP du réseau ?
On a environ 700 machines dans l'établissement, 4-5 serveurs de
fichiers.

Merci
Mateusz Viste
Le #17338271
В Четверг 25 сентября 2008 00:45, Stéphane Santon писал:
Gratuits... donc logiciels sur PC je suppose ?
Et où je l'installe cer Firewall ? Sur les PC des étudiants à brancher
sur le switch ??



Meuuuh non :-)
Lorsque je parle de gratuité, j'entend plutôt "free, as in freedom". C'est à
dire: m0n0wall est gratuit (c'est en réalité un FreeBSD administrable via
une interface http/https) mais bien entendu, la machine n'est pas fournie
avec. Pour ma part, j'utilise m0n0wall sur un ancien Pentium 90Mhz avec
64Mo de mémoire et trois cartes réseau.
Il est aussi tout à fait possible d'utiliser m0n0wall sur un petit boitier
de type "Soekris", bien que cette solution soit plus onéreuse au bout du
compte.

Cordialement,
Mateusz VISTE
Daniel Dupont
Le #17339271
Bonjour,

Mateusz Viste a écrit :
[...] Pour ma part, j'utilise m0n0wall sur un ancien Pentium 90Mhz avec
64Mo de mémoire et trois cartes réseau. Il est aussi tout à fait
possible d'utiliser m0n0wall sur un petit boitier de type "Soekris",
bien que cette solution soit plus onéreuse au bout du compte.



Peut-être pas si onéreuse si l'on prend en compte la consommation
électrique au fil du temps ?...

A+

--
Daniel Dupont
GuiGui
Le #17343251
Stéphane Santon a écrit :
Bonjour,

GuiGui a écrit :
Vu le prix d'un switch niveau 3, si vous n'en avez pas un petit
routeur ethernet-ethernet fait l'affaire (un petit routeur à 80¤
genre netgear ou linksys).



A bien y réfléchir, c'est même la solution la plus simple :
- Donner une IP du réseau comme IP externe du routeur
- Activer le NAT
- Configurer l'interface interne sur le réseau à utiliser par vos
machines.

Les machines masquées par le routeur accèderont à votre réseau sans
rien avoir à reparamétrer sur celui-ci.



Donc un routeur avec translation d'adresse nulle, avec mêmes adresses et
masques avant et après le routeur ???



Non, je pensais plutôt faire une vraie translation d'adresses avec une
IP de votre réseau coté WAN du routeur et un subnet différent coté LAN
du routeur. De cette façon, votre réseau de test est totalement masqué
par le routeur.


- Donner une IP du réseau comme IP externe du routeur



N'importe quelle IP du réseau ?
On a environ 700 machines dans l'établissement, 4-5 serveurs de fichiers.



En faisant un NAT, une seule IP WAN est nécessaire. N'importe quelle IP
libre fait l'affaire.
GuiGui
Le #17343511
Vous pouvez aussi essayer de contacter le service assistance
informatique du rectorat (sur le site web de l'académie, dans la zone de
recherche, mots clés "assistance informatique" puis suivez le lien
contacts). Il pourront peut-être vous envoyer quelqu'un qui analysera
avec vous les besoins et vous conseillera "sur pièces".
Publicité
Poster une réponse
Anonyme