Vlan ACL (VACL)
L’ article Vlan ACL (VACL) va permettre de gérer les flux de donnée au sein d’un Vlan.
Comme je l’ai répété pleiiiiiins de fois :
1 Vlan = 1 Plage d’adresse réseau !
Mais comment s’assurer que notre Vlan supporte uniquement le réseau que nous avons défini ?
Mon architecture :
(Nous sommes d’accord, une mauvaise décision à été prise de base au niveau sécurité)
SW_01(config)# interface range fa 0/1 - 24 SW_01(config-range)# description CLIENTS SW_01(config-range)# switchport mode access SW_01(config-range)# switchport access vlan 10
Imaginez que deux stagiaires ont envie de se faire un petit Counter-stike en local 🙂
Ils ont juste à :
(Ils n’ont pas de gateway et ils ne peuvent pas discuter avec les autres, mais pour ce qu’ils veulent faire, cela n’a pas d’importance)
Nous ne pouvons pas les bloquer avec des ACL sur l’interface VLAN car ils ne vont jamais interrogée, ils ne font pas partie du même réseau. Donc on fait comment ??
On met en place des VACL !!!!!
Objectif des VACL :
Pourquoi mettre en place des VACL ?
À quel endroit appliquer mes VACL ?
Le Vlan 10 porte le réseau 192.168.10.0 /24
Je veux que mon vlan ne supporte uniquement ce réseau
Pour mettre une ACL sur un Vlan, il faut tout d’abord créer cette access-list !!!
Switch(config)# ip access-list extended VLAN10 Switch(config-acl)# permit ip 192.168.10.0 0.0.0.255 any Switch(config-acl)# exit
Vous pouvez créer des access-list :
Pour plus de détails sur les ACL, je vous donne rendez-vous sur l’article sur les Access-list.
Switch(config)# vlan access-map [ map-name ] [ Numéro de séquence ]
map-name = Nom de l’access-map, à vous de trouvez !
Numéro de séquence = Comme pour une ACL, notre access-map va avoir un numéro de séquence.
Pour faire simple :
J’arrête de regarder les autres séquences et je fais ce que l’access-list ou l’access-map me demande de faire.
Switch(config-access-map)# match ip address [ ACL-name | ACL-number ] Switch(config-access-map)# match mac address [ ACL-number ]
Switch(config-access-map)# action [ drop | forward ]
Switch(config)# vlan filter [map-name] vlan-list [Numero de vlan]
Switch(config)# ip access-list extended VLAN10 Switch(config-acl)# permit ip 192.168.10.0 0.0.0.255 any Switch(config-acl)# exit Switch(config)# vlan access-map MAP-VLAN10 10 Switch(config-access-map)# match ip address VLAN10 Switch(config-access-map)# action forward Switch(config-access-map)# exit Switch(config)# vlan access-map MAP-VLAN10 20 Switch(config-access-map)# action drop Switch(config-access-map)# exit Switch(config)# vlan filter MAP-VLAN10 vlan-list 10
Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !
Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet
Comments (1)
Félicitations ! Quelques commentaires.
1 – À plusieurs endroits (Étape 2, Étape 3, Étape 5), tu parles de “Class-Map”. Je crois que c’est une erreur ! La notion de “Class-Map” est utilisée dans la configuration de QOS et n’a rien à voir avec “access-map”.
2 – Je ne comprends pas l’intérêt de mettre un filtre pour limiter le Vlan à un seul subnet. Une Vlan est un concept L2 ; ça correspond de facto à un et un seul subnet.
3 – Un point intéressant qu’il faudrait ajouter est que le VACL peut filtrer le trafic entre deux adresses IP du même Vlan (même subnet). Contrairement au RACL (Rouer ACL) qui s’applique sur des interfaces L3 et qui filtre le trafic entre subnets différents.