Vlan ACL (VACL)

Vlan = Virtual LAN
ACL = Access Control List

Cet article va permettre de gérer les flux de donnée au sein d’un Vlan.

Présentation


Comme je l’ai répété pleiiiiiins de fois :

1 Vlan = 1 Plage d’adresse réseau !

Mais comment s’assurer que notre Vlan supporte uniquement le réseau que nous avons défini ?

Mise en situation


Mon architecture :

– J’ai un Switch et deux clients.
– Je décide que le Vlan 10 sera mon Vlan Client.
– Le Vlan 10 supporte le réseau 192.168.10.0 /24
– Pour que mes clients puissent changer de ports comme ils le décident, je choisi de mettre tous mes ports dans le Vlan 10 :

(Nous sommes d’accord, une mauvaise décision à été prise de base au niveau sécurité)

SW_01(config)# interface range fa 0/1 - 24
SW_01(config-range)# description CLIENTS
SW_01(config-range)# switchport mode access
SW_01(config-range)# switchport access vlan 10
Architecture de base

Architecture de base

Imaginez que deux stagiaires ont envie de se faire un petit Counter-stike en local 🙂

Ils ont juste à :

– Se connecter au switch,
– Faire en sorte d’être dans le même Vlan,
– Choisir une plage d’adresse réseau au hasard et le tour est joué 😉

(Ils n’ont pas de gateway et ils ne peuvent pas discuter avec les autres mais pour ce qu’ils veulent faire, cela n’a pas d’importance)

Architecture piraté

Architecture piraté

Nous ne pouvons pas les bloquer avec des ACL sur l’interface VLAN car ils ne vont jamais interrogée, ils ne font pas partie du même réseau. Donc on fait comment ??

On met en place des VACL !!!!!

Objectif

– Filtrer les flux interne au Vlan

Pourquoi ?

– 1 Vlan = 1 Subnet
– Les ACL appliqué sur les interfaces Vlans ne peuvent pas filtrer les flux interne à un Vlan

A quel endroit appliquer mes VACL ?

– Sur tout les Switchs de niveau 2 et 3 qui supporte le Vlan Concerné

 

 

Configuration


Le Vlan 10 porte le réseau 192.168.10.0 /24
Je veux que mon vlan ne supporte uniquement ce réseau

Switch(config)# ip access-list extended VLAN10
Switch(config-acl)# permit ip 192.168.10.0 0.0.0.255 any
Switch(config-acl)# exit

Switch(config)# vlan access-map MAP-VLAN10 10
Switch(config-access-map)# match ip address VLAN10
Switch(config-access-map)# action forward
Switch(config-access-map)# exit

Switch(config)# vlan access-map MAP-VLAN10 20
Switch(config-access-map)# action drop
Switch(config-access-map)# exit

Switch(config)# vlan filter MAP-VLAN10 vlan-list 10

 

Étape 1 : Créer une ACL


Pour mettre une ACL sur un Vlan, il faut tout d’abord créer cette access-list !!!

Switch(config)# ip access-list extended VLAN10 
Switch(config-acl)# permit ip 192.168.10.0 0.0.0.255 any 
Switch(config-acl)# exit 

Vous pouvez créer des access-list :

Standard
Étendue
Numérotée
Nomée

Pour plus de détails sur les ACL, je vous donne rendez-vous sur l’article sur les Access-list.

 

Étape 2 : Créer une Access-map


Switch(config)# vlan access-map [ map-name ] [ Numéro de séquence ]

map-name = Nom de l’access-map, à vous de trouvez !
Numéro de séquence = Comme pour une ACL, notre access-map va avoir un numéro de séquence.

Pour faire simple :

– Je regarde la séquence 1 = La trame ou le paquet est concerné ? Non
– Je regarde la séquence 2 = La trame ou le paquet est concerné ? Non
– Je regarde la séquence 3 = La trame ou le paquet est concerné ? Non
– Je regarde la séquence 4 = La trame ou le paquet est concerné ? Oui

J’arrête de regarder les autres séquences et je fais ce que l’access-list ou l’access-map me demande de faire.

 

Étape 3 : Appliquer l’ACL à l’Access-Map


Switch(config-access-map)# match ip address [ ACL-name | ACL-number ]
Switch(config-access-map)# match mac address [ ACL-number ] 

 

Étape 4 : Choisir quoi faire de cette trame / paquet


Switch(config-access-map)# action [ drop | forward ]

Drop = Je met la trame à la poubelle
Forward = Je transmet la trame normalement

 

Étape 5 : Appliquer l’Access-Map à un Vlan


Switch(config)# vlan filter [map-name] vlan-list [Numero de vlan]

 

Quand les VACL sont appliquées ?


 

PC A est dans le même Vlan que PC B

PC A est dans le même Vlan que PC B

PC A et PC B ne sont pas dans le même Vlan

PC A et PC B ne sont pas dans le même Vlan

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

 

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

1
Poster un Commentaire

Laisser un commentaire

  Subscribe  
plus récents plus anciens plus de votes
Me notifier des
KayouMT
Invité
KayouMT

Félicitations ! Quelques commentaires. 1 – À plusieurs endroits (Étape 2, Étape 3, Étape 5), tu parles de « Class-Map ». Je crois que c’est une erreur ! La notion de « Class-Map » est utilisée dans la configuration de QOS et n’a rien à voir avec « access-map ». 2 – Je ne comprends pas l’intérêt de mettre un filtre pour limiter le Vlan à un seul subnet. Une Vlan est un concept L2 ; ça correspond de facto à un et un seul subnet. 3 – Un point intéressant qu’il faudrait ajouter est que le VACL peut filtrer le trafic entre deux adresses IP… Read more »