Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH

INTRODUCTION : RACL VS VACL Une VACL Contient des régles, chacune ayant un numéro de séquence. Pour chacune de
ces règles on doit identifier le trafic correspondant à l’aide de « match », à laquelle onfait
correspondre une « action » qui peut être l’une des trois suivantes :
• Forward: le trafic est traité normalement.(Laisser passer)
- On peut ajouter le mot « vlan » pour rediriger le trafic vers une autre vlan.
- On peut ajouter le mot « capture » pour capturer le trafic.
• Drop : rejeter le trafic.
- On peut ajouter le mot « log » pour journaliser le trafic vers un serveur Syslog.
• Redirect : le trafic est redirigé vers une interface spécifique. (Jusqu’à 5 interfaces)
- On peut intercepter le trafic et le rediriger vers une interface SPAN.
Commandes : Application de VACL à un vlan
vlan filter map_name vlan-list vlan_list | interface

RACL : VACL : - VLAN access-maps peut s’appliquer à plusieurs vlans.

Les ACLs classiques (Access Control A la différence de RACL qui s’applique sur
Lists) appelées RACL (Router-based un routeur, et qui ne peuvent que filtrer
ACL) Permet de filtrer le trafic qui qu’entre les VLAN, les VACL permettent EXEMPLE PRATIQUE : FILTRAGE COUCHE 3
circule d’un réseau à un autre, par de filtrer le trafic au sein d’un même TP : on veut isoler le serveur : empêcher le PCA et PCB d’accéder au serveur.
exemple dans le cas de VLAN : il VLAN : elle permet d’autoriser ou non la
permet de filtrer le trafic qui est propagation d’une trame ou bien la
routé d’un VLAN à l’autre. rediriger vers une interface spécifique. Etape 1 :
Les VACL s’appliquent sur les switches. (1) - Créer une access-list qui autorise le trafic depuis PC1
et PC2 vers le serveur. Ce trafic sera rejeté par la
AVANTAGES DE VACL suite.
Parmi les Avantages des VACL on peut citer :
- Filtrer le trafic au sein de même vlan, ou entre plusieurs vlans.
- Supporte le filtrage Couche 2 (mac access-list) ou Couche 3 ( ip access-list). (2) Switch(config)# ip access-list extended NOT-TO-SERVER
- Capturer le trafic afin de le superviser par un logiciel client (Comme SPAN (3)) Switch(config-ext-nacl)# permit ip host 192.168.1.1 host 192.168.1.100
- Supporte la journalisation du trafic. Switch(config-ext-nacl)# permit ip host 192.168.1.2 host 192.168.1.100
- Intercepter le trafic d’un vlan et le rediriger vers une interface spécifique. Switch(config-ext-nacl)# exit
- Permet d’isolation pour une meilleur gestion et protection des ressources (Comme
PVLAN (3))
Etape 2 : on crée une VACL telle que :
PRINCIPE DE FONCTIONNEMENT - Tout trafic correspondant au NOT-TO-SERVER sera rejeté.
- Tout autre trafic sera autorisé.
Commandes : Déclaration et configuration de VACL. Switch(config)#vlan access-map VACL 10
vlan access-map map_name 0 -65535 (default sequence is 10, 20, etc.) Switch(config-access-map)#match ip address NOT-TO-SERVER
Switch(config-access-map)#action drop
match ip address ip_acl_name | mac address mac_acl_name
Switch(config-access-map)#exit
action drop | forward | redirect Switch(config)#vlan access-map VACL-1 20
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
(1) Exemple : Cisco Catalyst 6500
(2) Example : on peut filtrer le trafic de Couche 3 et laisser le trafic de couche 2. Etape 3 : On applique la VACL crée sur le vlan 10
(3)
SPAN : Permet de copier le trafic et l’envoyer vers une destination pour l’analyser. Switch(config)#vlan filter VACL vlan-list 10
(4)
PVLAN : Permet de gérer les vlans ( Privé , communauté ) .Consulter le cours. [PVLAN-CCNP]
Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH
VACL : REDERIGER LE TRAFIC VLAN CAPTURE PORT
VACL peut être configuré afin de rediriger des types de trafics vers des différents Capture port : est une fonctionnalité similaire au port destination de SPAN, il permet de
capturer le trafic afin de le superviser par un logiciel client (Exemples : Snort , Wireshark).
interfaces.(maximum 5 interfaces).
On peut capturer le trafic de plusieurs vlans avec un seul port.

Exemple Pratique : Exemple pratique : Capturer tout le trafic web des clients vlan 100 et 200
Dans ce TP , on veut rediriger le Switch(config)#ip access-list extend WEB-TRAFIC
trafic de VLAN99 ( WEB , TELNET Switch(config-ext-macl)#permit tcp any any eq 80
, UDP) vers les serveurs Switch(config)#vlan access-map VACL_HOST
(analyseurs ). Switch(config-access-map)#match ip address WEB-TRAFIC
Switch(config-access-map)#action forward capture
Switch(config)#vlan access-map VACL_HOST 99 (4)
Switch(config-access-map)#action forward
Etape 1 : Création des access-list pour chaque Trafic : Switch(config-access-map)#vlan filter VACL_HOST vlan-list 100,200
- Autoriser le trafic (WEB ,TELNET,UDP) Switch(config)#interface Fa3/30
Switch(config)# access-list 101 permit tcp any any eq www Switch(config-if)#switchport capture
Switch(config)# access-list 102 permit tcp any any eq telnet
Switch(config)# access-list 103 permit udp any any eq udp
VACL : JOURNALISATION (VLAN ACCESS-LOG)
• Seulement le trafic abandonné qui sera journalisé, la journalisation dépend du son
Etape 2 : Création de VACL : débit. Les journaux sont stockés dans la table Vlan Acess-log,lorsqu’elle est
- Créer VACL pour chaque trafic et le rediriger vers les interfaces des saturée.les nouveaux entrés sont abandonnés.la table peut contenir 500 entrés par
serveurs analysuers. defaut.on peut définir sa taille par la commande :
Switch(config)#vlan access-log maxflow Taille.
Switch(config)#vlan access-map DIV-3 10 Pour effacer a table il suffit de remplacer la taille par la valeur 0 .
Switch(config-access-map)#match ip address 101
Switch(config-access-map)#action redirect G6/26 • On peut spécifier quand la journalisation peut commencer (après un certain nombre de
Switch(config-access-map)#exit paquets, cette fonctionnalité est désactivée par défaut).
Switch(config)#vlan access-log threshold packet_count
Switch(config)#vlan access-map DIV-3 20
Switch(config-access-map)#match ip address 102 • On peut définir la fréquence limite de nombre des paquets par seconde (par défaut
Switch(config-access-map)#action redirect G6/27 2000 pps) qui peuvent être enregistré dans la table VACL.Les paquets qui ont une
Switch(config-access-map)#exit fréquence supérieure seront abandonnés
Switch(config)#vlan access-log ratelimit pps (0-5000)
Switch(config)#vlan access-map DIV-3 30
Switch(config-access-map)#match ip address 103
Switch(config-access-map)#action redirect G6/28
Diagnostique :
Switch(config-access-map)#exit Afficher de la configuration de la table , ratelimiter et threshold :
Switch#show vlan access-log config
Switch(config)#vlan access-map DIV-3 99
Switch(config-access-map)#action forward Afficher la Table de journalisation( id, src/dest ip , src/dest Port , nbr d’entrés.)
Switch(config-access-map)#exit Switch#show vlan access-log config
(4)
Si on ne spécifie pas le numéro de sequence 99 , tout autre trafic sera rejeté
Etape 3 : Appliquer la VACL sur le vlan 999 : VACL Pour Private-VLANs : Pour Filtrer un trafic ip, il faut appliquer VACL sur les vlans privés
primaire et secondaire.
Switch(config)#vlan filter DIV-3 vlan-list 999
Techniques des Réseaux Informatiques
Commandes CISCO :
Déclaration de VACL :
Switch(config)#vlan access-map NOM-VACL 10 [N° de séquence : optionnel]
Spécifier le critére de VACL [Depend de l’acl de depart] :
Switch(config-access-map)#match ip/ipv6 address ( selon flux ip/ipv6)
Switch(config-access-map)#match mac address ( selon l’adresse MAC )
Spécifier l’action appliqué au trafic correspond àl l’ACL :
Switch(config-access-map)#action forward ( autoriser le trafic)
Switch(config-access-map)#action redirect ( Rediriger le trafic vers une interface )
Switch(config-access-map)#action forward capture ( Capturer le Trafic )
Switch(config-access-map)#action drop ( Abandonner le trafic)
Switch(config-access-map)#action drop log (Avec génération de message log)
Appliquer VACL au Vlan :
Switch(config)#vlan filter map-name vlan-list 100 [ un seul vlan ]
Switch(config)#vlan filter map-name vlan-list 30-40 [ interval ]
Switch(config)#vlan filter map-name vlan-list 30 , 40 [ plusieurs Vlans ]
Journalisation : Pour Définir :
La taille de table VACL Log (500 par defaut) :
Switch(config)#vlan access-log maxflow Taille. (0-2048)
La fréquence des paquets/s : (2000 par defaut)
Switch(config)#vlan access-log ratelimit pps (0-5000)
La quantité des paquet a partir du quels la journalisation commence :
Switch(config)#vlan access-log threshold packet_count
Diagnostique :
Switch#show vlan access-map
Switch#show vlan filter vlan 100
Switch#show vlan filter access-map VACL-2
Exemple Pratique :
CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH
Dans ce TP , on veut que :
- Objectif 1 : PC1 ne puisse pas utiliser le serveur HTTP (Filtrage TCP )
- Objectif 2 : PC0 et PC1 ne puisse pas se communiquer (Filtrage MAC)
Solution Suggérée :
Etape 1 : Créer des ACL étendues :
- Access-list qui permet au PC1 d’utiliser le serveur http.
- Access-list qui permet au PC0 et PC1 de se communiquer.
Switch(config)#access-list 101 permit tcp host 192.168.1.4 host 192.168.1.20 eq 80
Switch(config)#mac access-list extended ACL1
Switch(config-ext-macl)#permit host 00E0.F71E.AEE7 host 0090.2191.9EC3
Switch(config-ext-macl)#permit host 0090.2191.9EC3 host 00E0.F71E.AEE7
Switch(config-ext-macl)#exit
Etape 2 : L’objectif 1 : on crée une VACL-1
- Tout trafic correspondant au ACL 101 sera rejeté.
- Tout autre trafic sera laissé passer.
Switch(config)#vlan access-map VACL-1
Switch(config-access-map)#match ip address 101
Switch(config-access-map)#action drop
Switch(config-access-map)#exit
Switch(config)#vlan access-map VACL-1
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
Etape 3 : L’objectif 2 : on crée une VACL-2
- Tout trafic correspondant au accces-list ACL 1 sera rejeté.
- Tout autre trafic sera laissé passer.
Switch(config)#vlan access-map VACL-1 10
Switch(config-access-map)#match mac address ACL1
Switch(config-access-map)#action drop
Switch(config-access-map)#exit
Switch(config)#vlan access-map VACL-1 20
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
Etape 4 : On applique les VACL crées sur le vlan 100
Switch(config)#vlan filter VACL-1 vlan-list 100
Switch(config)#vlan filter VACL-2 vlan-list 100
- On peut effectuer un filtrage ip au lieu de mac pour empêcher la communication entre PC0 et PC1.
- On peut définir plusieurs critères dans une même VACL
- n° de séquence : permet de déterminer l’ordre de l’action en cas de plusieurs VACL (optionnel.).
- Les ACL et les VACL sont supportés seulement dans quelques Switch L3 : Catalyst 3560 , 3750x ,6500….
Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH

Exemple Pratique 1 : VACL pour Capturer le trafic Exemple Pratique 2 : VACL pour ISOLER LES ressources
Objectives de la configuration : En utilisant Objectives de la configuration : En utilisant les VACL
les VACL , nous allons faire en sorte que : , nous allons faire en sorte que :
Objectif 1 : Objectif 1 :
- Capturer le trafic [WEB] de vlan 100. - PC1 peut communiquer avec PC2 et PC3.
- Capturer le trafic [HTTPS] de vlan 200. - PC2 et PC3 ne peuvent pas communiquer entre eux.
Objectif 2 : Objectif 2 : (Isoler le serveur )
- Empêcher la communication entre vlan 100 et 200. - Les PC de vlan 100 ne peuvent pas communiquer
avec le serveur.
Solution Suggérée :
1- Etape 1 :
- Deux ACLs étendues : pour autoriser le trafic WEB de vlan 100 et HTTPS de vlan 200. Solution Suggérée :
- Créer une ACL étendue pour autoriser le trafic entre vlan 100 et vlan 200.
1- Etape 1 :
Switch(config)#ip access-list extended WEB-TRAFIC ACLs étendues PC : pour autoriser la communication entre PC1 et PC2 , PC1 et PC3.
Switch(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 any eq 80 ACL étendue 101 : pour autoriser le trafic entre les PC de vlan 100 vers le serveur.
Switch(config-ext-nacl)#exit
Switch(config)#ip access-list extended HTTPS-TRAFIC Switch(config)#ip access-list extended PC
Switch(config-ext-nacl)#permit tcp 192.168.1.64 0.0.0.31 any eq 443 Switch(config-ext-nacl)#permit ip host 192.168.1.3 host 192.168.1.4
Switch(config-ext-nacl)#exit Switch(config-ext-nacl)#permit ip host 192.168.1.4 host 192.168.1.3
Switch(config-ext-nacl)#exit
Switch(config)#ip access-list extended VLAN100-200
Switch(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.31 Switch(config)#access-list 101 permit ip any host 192.168.1.5
Switch(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.255
Switch(config-ext-nacl)#exit 2- Etape 2 : On va créer Deux VACL nommé PC-VACL et NOT-TO-SERVER :
PC-VACL : Tout trafic correspondant au accès-list créé (PC) sera abandonné.
2- Etape 2 : Tout autre trafic sera laissé passer.
- VACL_CAPTURE : afin de capturer le trafic correspondant au ACL crée dans NOT-TO-SERVER : Tout trafic correspondant au accès-list créé (PC) sera abandonné.
l’étape 1. Autre trafic sera laissé sans capture. Tout autre trafic sera laissé passer.
- VACL_BLOQUE : Tout trafic entre vlan 100 et 200 sera abandonné. Switch(config)#vlan access-map PC-VACL 10
Switch(config)#vlan access-map VACL_CAPTURE Switch(config-access-map)#match ip address PC
Switch(config-access-map)#match ip address WEB-TRAFIC Switch(config-access-map)#action drop
Switch(config-access-map)#match ip address HTTPS-TRAFIC Switch(config-access-map)#exit
Switch(config-access-map)#action forward capture Switch(config)#vlan access-map PC-VACL 20
Switch(config)#vlan access-map VACL_HOST 99 Switch(config-access-map)#action forward
Switch(config-access-map)#action forward Switch(config-access-map)#exit
Switch(config-access-map)#exit
Switch(config)#vlan access-map NOT-TO-SERVER
Switch(config)#vlan access-map VACL_BLOQUE Switch(config-access-map)#match ip address 101
Switch(config-access-map)#match ip address VAN100-200 Switch(config-access-map)#action drop
Switch(config-access-map)#action drop Switch(config-access-map)#exit
Switch(config)#vlan access-map VACL_BLOQUE 99 Switch(config)#vlan access-map NOT-TO-SERVER
Switch(config-access-map)#action forward Switch(config-access-map)#action forward
Switch(config-access-map)#exit Switch(config-access-map)#exit

3- Etape 3 : Appliquer les deux VCL crées au vlan 100 et 200 : 3- Etape 3 : Enfin, on vas appliquer cette VACL sur vlan 100 :
Switch(config)#vlan filter VACL_CAPTURE vlan-list 100,200 Switch(config)#vlan filter PC-VACL vlan-list 100
Switch(config)#vlan filter VACL_BLOQUE vlan-list 100,200 Switch(config)#vlan filter NOT-TO-SERVER vlan-list 100
Techniques des Réseaux Informatiques
Exemple Pratique 3 : FORMATION INE
Travail Demandé :
• Permet au PC1 de réaliser un ping sur tout les PC sauf PC3.
• PC2 et PC3 ne peuvent pas accéder en telnet sur chacun.
• Tout autre Traffic est autorisé.
Réponse :
Étape 1 : Créer les Accès list : (ce trafic sera abandonné par la suite)
- Permet au PC1 de réaliser un ping sur PC3.
- Permet au PC2 et PC3 de se communiquer en telnet.
Switch(config)#ip access-list extended ACL1
Switch(config-ext-nacl)#permit icmp host 1.1.1.1 host 1.1.1.3 echo
Switch(config-ext-nacl)#permit tcp host 1.1.1.2 host 1.1.1.3 eq telnet
Switch(config-ext-nacl)#permit tcp host 1.1.1.3 host 1.1.1.2 eq telnet
Switch(config-ext-nacl)#exit
Étape 2 : Appliquer la VACL sur le VLAN 1 :
- Tout le trafic correspondant au ACL ACL1 sera abandonné.
- Tout autre Traffic sera Autorisé.
Switch(config)#vlan access-map INE 10
Switch(config-access-map)#match ip address ACL1
Switch(config-access-map)#action drop
Switch(config)#vlan access-map INE 20
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
Étape 3 : Appliquer la VACL sur le VLAN 1 :
Switch(config)#vlan filter INE vlan-list 1
CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH
Exemple Pratique 4 : FORMATION INE
Travail Demandé :
• PC1 et PC2 sont autorisés de se connecter en telnet l’un avec l’autre.
• Tout autre trafic dans vlan 1 sera abandonné.
Réponse :
Étape 1 : Créer les Accès list : (ce trafic sera abandonné par la suite)
- Abandonner la connexion en telnet entre PC1 et PC2.
- Tout autre trafic dans vlan 1 sera autorisé
Switch(config)#ip access-list extended ACL2
Switch(config-ext-nacl)#deny tcp host 1.1.1.1 host 1.1.1.2 eq telnet
Switch(config-ext-nacl)#deny tcp host 1.1.1.2 host 1.1.1.1 eq telnet
Switch(config-ext-nacl)#permit ip any any.
Switch(config-ext-nacl)#exit
Étape 2 : Appliquer la VACL sur le VLAN 1 :
- Tout le trafic correspondant au ACL ACL2 sera abondonné
- Tout autre Trafic dans vlan 1 sera abandonné.
Switch(config)#vlan access-map INE 10
Switch(config-access-map)#match ip address ACL2
Switch(config-access-map)#action drop
Switch(config)#vlan access-map INE 20
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
Étape 3 : Appliquer la VACL sur le VLAN 1 :
Switch(config)#vlan filter INE vlan-list 1