Finger in the net

Blog d'administration réseau

Sécuriser son architecture réseau avec les Vlan ACL (VACL)

  • Vlan = Virtual LAN
  • ACL = Access Control List

L’ article Vlan ACL (VACL) va permettre de gérer les flux de donnée au sein d’un Vlan.

Comme je l’ai répété pleiiiiiins de fois :

1 Vlan = 1 Plage d’adresse réseau !

Mais comment s’assurer que notre Vlan supporte uniquement le réseau que nous avons défini ?

CHAPITRE 1 :

MISE EN SITUATION

L'architecture de base

Mon architecture :

  • J’ai un Switch et deux clients.
  • Je décide que le Vlan 10 sera mon Vlan Client.
  • Le Vlan 10 supporte le réseau 192.168.10.0 /24
  • Pour que mes clients puissent changer de ports comme ils le décident, je choisi de mettre tous mes ports dans le Vlan 10 :

(Nous sommes d’accord, une mauvaise décision à été prise de base au niveau sécurité)

SW_01(config)# interface range fa 0/1 - 24
SW_01(config-range)# description CLIENTS
SW_01(config-range)# switchport mode access
SW_01(config-range)# switchport access vlan 10
Architecture de base
Architecture de base

LE PIRATE

Sécuriser son architecture réseau avec les Vlan ACL (VACL) 1

OBJECTIF DES VACL

Sécuriser son architecture réseau avec les Vlan ACL (VACL) 1

CHAPITRE 2 :

CONFIGURATION

Sécuriser son architecture réseau avec les Vlan ACL (VACL) 1

CHAPITRE 3 :

Quand les VACL sont appliquées ?

Sécuriser son architecture réseau avec les Vlan ACL (VACL) 1

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Comments (1)

Félicitations ! Quelques commentaires.

1 – À plusieurs endroits (Étape 2, Étape 3, Étape 5), tu parles de “Class-Map”. Je crois que c’est une erreur ! La notion de “Class-Map” est utilisée dans la configuration de QOS et n’a rien à voir avec “access-map”.

2 – Je ne comprends pas l’intérêt de mettre un filtre pour limiter le Vlan à un seul subnet. Une Vlan est un concept L2 ; ça correspond de facto à un et un seul subnet.

3 – Un point intéressant qu’il faudrait ajouter est que le VACL peut filtrer le trafic entre deux adresses IP du même Vlan (même subnet). Contrairement au RACL (Rouer ACL) qui s’applique sur des interfaces L3 et qui filtre le trafic entre subnets différents.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

quatre × 1 =