Routage Inter-Vlan et filtrage ACL · inter-vlan et les règles de filtrage. - Configuration du...
15
Routage Inter-Vlan et filtrage ACL
-
Upload
phamkhuong -
Category
Documents
-
view
336 -
download
3
Transcript of Routage Inter-Vlan et filtrage ACL · inter-vlan et les règles de filtrage. - Configuration du...
Routage Inter-Vlan et filtrage ACL
Sommaire :
Contexte :
- Introduction (Contexte, Objectifs, Ressources)
Mission 1 :
- Schéma Logique
- Maquette détaillé
Mission 2 :
- Activation des services
- Conclusion
Contexte :
Il s’agit dans cette mission de mettre en place une
infrastructure à deux ligues, mutualisant des ressources
communes, sécurisé (les deux ligues ne doivent pas
communiquer entre eux) et doivent pouvoir accéder aux
ressources explicitement permis et à rien d’autre.
Objectifs :
- Mettre en place des Vlans permettant la création d’un
réseau séparé des deux ligues.
- Configuration des Switchs, adresser un port à un Vlan
- Configuration du routeur par la mise en place du routage
inter-vlan et les règles de filtrage.
- Configuration du Serveur, Installation du service FTP et
HTTP.
Mission 1 : Schéma logique
Le schéma logique nous donne un premier aperçu des objectifs à atteindre et comment y
parvenir.
Maquette détaillé
La maquette nous permet de tester que les services et les réglages effectués fonctionnent
est respects les objectifs fixé dans le cahier des charges.
Nous allons donc détailler les réglages effectués sur le routeur et les switchs pour atteindre
les objectifs fixés par la maison des ligues.
Tout d’abord intéressons-nous à l’adressage des Vlans, ici nous disposons de 3 Vlans :
- Vlan 51 la ligue d’escrime
- Vlan 52 la ligue de handball
-Vlan 53 la zone administrative
Les deux ligues doivent pouvoir accéder aux services de la zone administrative ou se trouve
le serveur.
On dispose donc dans ce schéma 3 sous réseaux :
172.16.0.0 /24 Vlan 51
172.16.64.0 /24 Vlan 52
172.16.128.0 /24 Vlan 53
Après avoir réfléchie à l’adressage des Vlans, on va donc créer ces Vlans. Ici nous avons deux
Switchs car les ligues ce trouve dans différents bâtiments le Switch 1 représente le bâtiment
A et le Switch 2 le bâtiment B. Les deux ligues sont présentes dans les deux bâtiments. Ainsi
pour que la ligue qui se situe dans le bâtiment A puisse communiquer avec sa ligue dans le
bâtiment B il faut relier les deux switch.
Création d’un Vlan :
- enable (permet de passer en mode privilégié pour configurer le switch)
- configure terminal
- Switch (config)# vlan 51
- Switch (config)# end
Il suffit de faire de même pour les autres vlan. Pour vérifier que les Vlans ont bien était créé
la commande « show vlan » nous affiche les Vlans présent sur le Switch ainsi que les
affectations de port.
Ici nous voyons bien que nos Vlans ont bien était ajouté. Nous voyons aussi les affectations
de port aux différents Vlans.
Cela veut dire qu’un poste qui se branchera sur l’interface FastEthernet 0/2 recevra l’adresse
172.16.0.1 qui correspond à la ligue escrime ainsi de suite. Dans ce PPE les adresses sont
ajoutées manuellement.
Pour affecter un port du switch au Vlan il faut procéder de la manière suivante :
- enable
- configure terminal
- Switch (config)# interface FastEthernet 0/2
- Switch (config-if)# switchport access vlan 51
- Switch (config-if)# no shutdown
-Switch (config-if)# exit
-Switch (config)# exit
On fait ensuite un show vlan pour vérifier que nos port ont bien étaient affectés aux Vlans.
Maintenant on va voir la manipulation à faire pour ajouter une adresse IP à un poste il suffit
d’aller dans IP Configuration et de rentrer comme adresses IP :
Adresse IP : 172.16.0.1
Masque de sous-réseau : 255.255.255.0
Passerelle par default : 172.16.0.254
Cette configuration correspond au Vlan 51 ligue d’escrime, il suffit de faire de même pour les
autres poste, les adresses IP changeront car il faudra les affectés à d’autre Vlan.
Après avoir affecté des adresses IP, les postes appartenant à un même Vlan devrait pouvoir
communiquer entre eux. Nous remarquons que ce n’est pas le cas lors d’un envoie de
paquet via la commande ping d’un poste du bâtiment A vers le bâtiment B. Cela est tout à
fait normal car il faut configurer la liaison entre les deux switch en « trunk » cela veut dire
configurer une encapsulation des trames lorsqu’elles transitent sur le lien de sorte que le
switch la reçoit et peut relayer dans le vlan correspondant.
Configuration d’un Trunk :
Le protocole VTP (Vlan Trunking Protocol) consiste donc à faire passer le trafic les différents
VLAN.
Nous allons réserver le port 1 comme lien trunk entre les deux switchs.
Switch1# configuration terminale Switch1(config)# interface 0/11 Switch1(config-if)# shutdown Switch1(config-if)# switchport mode trunk (on met le port en mode trunk) Switch1(config-if)# no shutdown Switch1(config-if)# exit Switch1(config)# exit Switch1# vlan database Switch1(vlan)# vtp domain Domsio (définit un domaine global pour les VLAN) Switch1(vlan)# vtp server (définit le switch1 comme « Serveur ») Switch1(vlan)#exit.
Switch2# configuration terminal Switch2(config)# interface 0/11 Switch2(config-if)# shutdown Switch2(config-if)# switchport mode trunk Switch2(config-if)# no shutdown Switch2(config-if)# exit Switch2(config)# exit Switch2# vlan database Switch2(vlan)# vtp domain Domsio Switch2(vlan)# vtp client (définit le switch2 comme « Client ») Switch2(vlan)# exit
On fait donc le test :
Le PC0 relier au switch 1 va envoyer un paquet vers le PC4 relier au switch 2
C’est deux postes sont dans le même sous-réseau, après avoir configuré le trunk sur les deux
switchs les deux postes devrais pouvoir communiquer.
On remarque que le paquet à bien était transmis.
Les postes d’un même Vlan peuvent donc communiquer entre eux. Ces postes doit
maintenant pouvoir accéder aux ressources de la zone administrative représenter par le Vlan
53. Pour le moment les vlans ne communiquent pas entre eux car ils sont dans des sous-
réseaux différents ce qui est problématiques car ils ne peuvent pas accéder aux ressources de
la zone administrative. La solution est donc de faire un routage inter-vlan sur le routeur.
Routage inter-vlan :
Le routage inter-vlan permet donc aux différents Vlan de communiquer entre eux car il va
router un paquet d’un domaine de diffusion à un autre.
On commence d’abord par activer l’interface FastEthernet 0/0 (interface du routeur) on fait
donc un no shutdown.
Ensuite on génère les interfaces virtuelles correspondantes à chacun des Vlans. Les interfaces
virtuelles auront comme adresse IP :
172.16.0.254 pour le Vlan 51
172.16.64.254 pour le Vlan 52
172.16.128.254 pour le Vlan 53
Il est important d’activer le trunk entre le routeur est le switch.
Voici comment configurer une interface virtuelle :
Routeur1(config)# interface fastEthernet 0/0.51 Routeur1(config-subif)# encapsulation dot1q 51 (N° ou nom du vlan) Routeur1(config-subif)# ip address 172.16.0.254 255.255.255.0 Routeur1(config-subif)# exit
Routeur1(config)# interface fastEthernet 0/0.52 Routeur1(config-subif)# encapsulation dot1q 52 (N° ou nom du vlan) Routeur1(config-subif)# ip address 172.16.64.254 255.255.255.0 Routeur1(config-subif)# exit
Routeur1(config)# interface fastEthernet 0/0.53 Routeur1(config-subif)# encapsulation dot1q 53 (N° ou nom du vlan) Routeur1(config-subif)# ip address 172.16.128.254 255.255.255.0 Routeur1(config-subif)# exit
Une fois la configuration en place, on devrait sans problème communiquer avec tous les
Vlans.
On prend comme exemple le PC0 qui va communiquer avec le PC1 situé dans le Vlan 52.
On a donc PC0 qui est dans le Vlan 51 et le PC1 dans le Vlan 52 on va faire un ping du PC0 vers
le PC1 pour s’assurer que les deux vlan communique entre eux et donc que le routage inter-
vlan a bien était configuré.
On voit donc bien que les ligues communiquent entre eux et donc qu’ils peuvent accéder aux
ressources issues du Vlan 53.
Maintenant il reste plus qu’à introduire des règles de filtrage pour que les ligues ne
communiquent pas entre eux mais puisse accéder à des services bien précis situés dans la
zone administrative.
Règle de filtrage ACL :
Voici la configuration :
- enable
- configure terminale
- Routeur1(config)# access-list 1 deny 172.16.64.0 0.0.63.255 (interdire le trafic sur ce sous-
réseau)
-Routeur1(config)#access-list 1 deny 172.16.128.0 0.0.63.255
-Routeur1(config)# access-list 1 deny any
-Routeur1(config)# interface fastethernet 0/0.51 (On définit sur quel vlan cette règle
s’applique)
-Routeur1(config)# ip access-group 1 in
-Routeur1(config)# access-list 2 deny 172.16.16.0 0.0.63.255
-Routeur1(config)#access-list 2 deny 172.16.128.0 0.0.63.255
-Routeur1(config)#access-list 2 deny any
-Routeur1(config)#interface fastethernet 0/0.52
-Routeur1(config)#ip access-group 2 in
Maintenant on va autoriser les vlan à accéder que au serveur uniquement pour que chaque
poste puisse avoir accès au ressource.
-Routeur1(config)#access-list 101 permit tcp 172.16.0.0 0.0.63.255 172.16.128.3 0.0.63.255
eq 21 (on a défini le trafic que sur le serveur 21 = FTP )
-Routeur1(config)#access-list 101 deny ip any any (Ici il faut mettre deny pour que les postes
ne communique pas avec les autres postes de la zone administratif mais seulement avec le
serveur)
-Routeur1(config)#interface fastethernet 0/0.51
-Routeur1(config)#ip access-group 101 in
-Routeur1(config)# access-list 102 permit tcp 172.16.64.0 0.0.63.255 172.16.128.3 0.0.63.255
eq 21
-Routeur1(config)# access-list 102 deny ip any any
-Routeur1(config)#interface fastethernet 0/0.52
-Routeur1(config)#ip access-group 102 in
On fait la même manipulation pour activer le service http il faudra donc changer le numéro de
la liste et de préciser le port 80.
Pour résumer on a bloqué tous le paquet d’hôte sauf à la destination 172.16.128.3 qui est le
serveur auquel on doit pouvoir avoir accès aux ressources ici on n’a bien précisé quel
ressources l’on veut le port 21 est le service FTP et le port 80 le service HTTP. Les utilisateurs
de la ligue d’escrime aura donc accès au transfert de fichier et internet.
Il suffit donc de faire pareil pour la ligue d’handball.
Mission 2 : Activation des services.
Après avoir définis les règles de filtrage, on va maintenant installer ces services sur le serveur.
Ici la manœuvre est très simple comme il s’agit d’un simulateur il suffit juste d’activer le
service FTP et http, il n’y a donc aucun paramètre à effectuer.
On active donc le service FTP en sélectionnant on fait de même pour le service http.
On va tester ensuite pour voir si l’objectif a était atteint.
Les ligues ne doit pas communiquer entre eux. On fait donc un ping du PC0 (Vlan 51) vers PC1
(Vlan52).
On remarque donc que les deux vlans ne communiquent pas entre eux.
Maintenant on va tester si on peut accéder aux ressources activé (FTP).
On voit bien que l’objectif à était mené à bien car les postes ont accès au serveur mais ne
communique pas entre eux.
