CCNA 200-301 · Switching

Vlan ACL (VACL)

Filtrer les flux à l’intérieur même d’un VLAN grâce aux VLAN Access-list.

  • Vlan = Virtual LAN
  • ACL = Access Control List

L’article Vlan ACL (VACL) va permettre de gérer les flux de donnée au sein d’un Vlan.

Comme je l’ai répété pleiiiiiins de fois :

1 Vlan = 1 Plage d’adresse réseau !

Mais comment s’assurer que notre Vlan supporte uniquement le réseau que nous avons défini ?

Dans un monde sans VACL

L’architecture de base

Mon architecture :

  • J’ai un Switch et deux clients.
  • Je décide que le Vlan 10 sera mon Vlan Client.
  • Le Vlan 10 supporte le réseau 192.168.10.0 /24
  • Pour que mes clients puissent changer de ports comme ils le décident, je choisi de mettre tous mes ports dans le Vlan 10 :

(Nous sommes d’accord, une mauvaise décision a été prise de base au niveau sécurité)

SW_01(config)# interface range fa 0/1 - 24 SW_01(config-range)# description CLIENTS SW_01(config-range)# switchport mode access SW_01(config-range)# switchport access vlan 10
Architecture de base
Architecture de base

LE PIRATE

Imaginez que deux stagiaires ont envie de se faire un petit Counter-Strike en local 🙂

Ils ont juste à :

  • Se connecter au switch,
  • Faire en sorte d’être dans le même Vlan,
  • Choisir une plage d’adresse réseau au hasard et le tour est joué 😉

(Ils n’ont pas de gateway et ils ne peuvent pas discuter avec les autres, mais pour ce qu’ils veulent faire, cela n’a pas d’importance)

Architecture piratée
Architecture piratée

Nous ne pouvons pas les bloquer avec des ACL sur l’interface VLAN car ils ne vont jamais interrogée, ils ne font pas partie du même réseau. Donc on fait comment ??

On met en place des VACL !!!!!

OBJECTIF DES VACL

Objectif des VACL :

  • Filtrer les flux internes au vlan

Pourquoi mettre en place des VACL ?

  • 1 Vlan = 1 Subnet
  • Les ACL appliqués sur les interfaces Vlans ne peuvent pas filtrer les flux internes à un vlan

À quel endroit appliquer mes VACL ?

  • Sur tous les Switchs de niveau 2 et 3 qui supporte le vlan concerné

Configuration des VACL

Scénario

Le Vlan 10 porte le réseau 192.168.10.0 /24
Je veux que mon vlan ne supporte uniquement ce réseau

Étape 1 : Créer une ACL

Pour mettre une ACL sur un Vlan, il faut tout d’abord créer cette access-list !!!

Switch(config)# ip access-list extended VLAN10 Switch(config-acl)# permit ip 192.168.10.0 0.0.0.255 any Switch(config-acl)# exit

Vous pouvez créer des access-list :

  • Standard
  • Étendue
  • Numérotée
  • Nommée

Pour plus de détails sur les ACL, je vous donne rendez-vous sur l’article sur les Access-list.

Étape 2 : Créer une Access-map

Switch(config)# vlan access-map [ map-name ] [ Numéro de séquence ]

map-name = Nom de l’access-map, à vous de trouver !
Numéro de séquence = Comme pour une ACL, notre access-map va avoir un numéro de séquence.

Pour faire simple :

  • Je regarde la séquence 1 = La trame ou le paquet est concerné ? Non
  • Je regarde la séquence 2 = La trame ou le paquet est concerné ? Non
  • Je regarde la séquence 3 = La trame ou le paquet est concerné ? Non
  • Je regarde la séquence 4 = La trame ou le paquet est concerné ? Oui

J’arrête de regarder les autres séquences et je fais ce que l’access-list ou l’access-map me demande de faire.

Étape 3 : Appliquer l’ACL à l’Access-Map

Switch(config-access-map)# match ip address [ ACL-name | ACL-number ] Switch(config-access-map)# match mac address [ ACL-number ]

Étape 4 : Choisir quoi faire de cette trame / paquet

Switch(config-access-map)# action [ drop | forward ]
  • Drop = Je mets la trame à la poubelle
  • Forward = Je transmets la trame normalement

Étape 5 : Appliquer l’Access-Map à un Vlan

Switch(config)# vlan filter [map-name] vlan-list [Numero de vlan]

Exemple de configuration

Switch(config)# ip access-list extended VLAN10 Switch(config-acl)# permit ip 192.168.10.0 0.0.0.255 any Switch(config-acl)# exit Switch(config)# vlan access-map MAP-VLAN10 10 Switch(config-access-map)# match ip address VLAN10 Switch(config-access-map)# action forward Switch(config-access-map)# exit Switch(config)# vlan access-map MAP-VLAN10 20 Switch(config-access-map)# action drop Switch(config-access-map)# exit Switch(config)# vlan filter MAP-VLAN10 vlan-list 10

Quand les VACL sont appliquées ?

PC A est dans le même Vlan que PC B

PC A est dans le même Vlan que PC B

PC A et PC B ne sont pas dans le même Vlan

PC A et PC B ne sont pas dans le même Vlan
Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Formation CCNA 200-301Formation CCNA

Devenez certifié CCNA 200-301

La formation complète Cisco, à votre rythme et accès à vie.

Voir la formation →