- Vlan = Virtual LAN
- ACL = Access Control List
L’ article Vlan ACL (VACL) va permettre de gérer les flux de donnée au sein d’un Vlan.
Comme je l’ai répété pleiiiiiins de fois :
1 Vlan = 1 Plage d’adresse réseau !
Mais comment s’assurer que notre Vlan supporte uniquement le réseau que nous avons défini ?
Dans un monde sans VACL
L'architecture de base
Mon architecture :
- J’ai un Switch et deux clients.
- Je décide que le Vlan 10 sera mon Vlan Client.
- Le Vlan 10 supporte le réseau 192.168.10.0 /24
- Pour que mes clients puissent changer de ports comme ils le décident, je choisi de mettre tous mes ports dans le Vlan 10 :
(Nous sommes d’accord, une mauvaise décision à été prise de base au niveau sécurité)
SW_01(config)# interface range fa 0/1 - 24 SW_01(config-range)# description CLIENTS SW_01(config-range)# switchport mode access SW_01(config-range)# switchport access vlan 10
LE PIRATE
Imaginez que deux stagiaires ont envie de se faire un petit Counter-stike en local 🙂
Ils ont juste à :
- Se connecter au switch,
- Faire en sorte d’être dans le même Vlan,
- Choisir une plage d’adresse réseau au hasard et le tour est joué 😉
(Ils n’ont pas de gateway et ils ne peuvent pas discuter avec les autres, mais pour ce qu’ils veulent faire, cela n’a pas d’importance)
Nous ne pouvons pas les bloquer avec des ACL sur l’interface VLAN car ils ne vont jamais interrogée, ils ne font pas partie du même réseau. Donc on fait comment ??
On met en place des VACL !!!!!
OBJECTIF DES VACL
Objectif des VACL :
- Filtrer les flux internes au vlan
Pourquoi mettre en place des VACL ?
- 1 Vlan = 1 Subnet
- Les ACL appliqués sur les interfaces Vlans ne peuvent pas filtrer les flux internes à un vlan
À quel endroit appliquer mes VACL ?
- Sur tous les Switchs de niveau 2 et 3 qui supporte le vlan concerné
Configuration des VACL
Quand les VACL sont appliquées ?
Sur le même thème :
Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !
