Beruflich Dokumente
Kultur Dokumente
INTRODUCTION : RACL VS VACL Une VACL Contient des régles, chacune ayant un numéro de séquence. Pour chacune de
ces règles on doit identifier le trafic correspondant à l’aide de « match », à laquelle onfait
correspondre une « action » qui peut être l’une des trois suivantes :
• Forward: le trafic est traité normalement.(Laisser passer)
- On peut ajouter le mot « vlan » pour rediriger le trafic vers une autre vlan.
- On peut ajouter le mot « capture » pour capturer le trafic.
• Drop : rejeter le trafic.
- On peut ajouter le mot « log » pour journaliser le trafic vers un serveur Syslog.
• Redirect : le trafic est redirigé vers une interface spécifique. (Jusqu’à 5 interfaces)
- On peut intercepter le trafic et le rediriger vers une interface SPAN.
Commandes : Application de VACL à un vlan
vlan filter map_name vlan-list vlan_list | interface
Exemple Pratique : Exemple pratique : Capturer tout le trafic web des clients vlan 100 et 200
Dans ce TP , on veut rediriger le Switch(config)#ip access-list extend WEB-TRAFIC
trafic de VLAN99 ( WEB , TELNET Switch(config-ext-macl)#permit tcp any any eq 80
, UDP) vers les serveurs Switch(config)#vlan access-map VACL_HOST
(analyseurs ). Switch(config-access-map)#match ip address WEB-TRAFIC
Switch(config-access-map)#action forward capture
Switch(config)#vlan access-map VACL_HOST 99 (4)
Switch(config-access-map)#action forward
Etape 1 : Création des access-list pour chaque Trafic : Switch(config-access-map)#vlan filter VACL_HOST vlan-list 100,200
- Autoriser le trafic (WEB ,TELNET,UDP) Switch(config)#interface Fa3/30
Switch(config)# access-list 101 permit tcp any any eq www Switch(config-if)#switchport capture
Switch(config)# access-list 102 permit tcp any any eq telnet
Switch(config)# access-list 103 permit udp any any eq udp
VACL : JOURNALISATION (VLAN ACCESS-LOG)
• Seulement le trafic abandonné qui sera journalisé, la journalisation dépend du son
Etape 2 : Création de VACL : débit. Les journaux sont stockés dans la table Vlan Acess-log,lorsqu’elle est
- Créer VACL pour chaque trafic et le rediriger vers les interfaces des saturée.les nouveaux entrés sont abandonnés.la table peut contenir 500 entrés par
serveurs analysuers. defaut.on peut définir sa taille par la commande :
Switch(config)#vlan access-log maxflow Taille.
Switch(config)#vlan access-map DIV-3 10 Pour effacer a table il suffit de remplacer la taille par la valeur 0 .
Switch(config-access-map)#match ip address 101
Switch(config-access-map)#action redirect G6/26 • On peut spécifier quand la journalisation peut commencer (après un certain nombre de
Switch(config-access-map)#exit paquets, cette fonctionnalité est désactivée par défaut).
Switch(config)#vlan access-log threshold packet_count
Switch(config)#vlan access-map DIV-3 20
Switch(config-access-map)#match ip address 102 • On peut définir la fréquence limite de nombre des paquets par seconde (par défaut
Switch(config-access-map)#action redirect G6/27 2000 pps) qui peuvent être enregistré dans la table VACL.Les paquets qui ont une
Switch(config-access-map)#exit fréquence supérieure seront abandonnés
Switch(config)#vlan access-log ratelimit pps (0-5000)
Switch(config)#vlan access-map DIV-3 30
Switch(config-access-map)#match ip address 103
Switch(config-access-map)#action redirect G6/28
Diagnostique :
Switch(config-access-map)#exit Afficher de la configuration de la table , ratelimiter et threshold :
Switch#show vlan access-log config
Switch(config)#vlan access-map DIV-3 99
Switch(config-access-map)#action forward Afficher la Table de journalisation( id, src/dest ip , src/dest Port , nbr d’entrés.)
Switch(config-access-map)#exit Switch#show vlan access-log config
(4)
Si on ne spécifie pas le numéro de sequence 99 , tout autre trafic sera rejeté
Etape 3 : Appliquer la VACL sur le vlan 999 : VACL Pour Private-VLANs : Pour Filtrer un trafic ip, il faut appliquer VACL sur les vlans privés
primaire et secondaire.
Switch(config)#vlan filter DIV-3 vlan-list 999
Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH
- On peut effectuer un filtrage ip au lieu de mac pour empêcher la communication entre PC0 et PC1.
- On peut définir plusieurs critères dans une même VACL
- n° de séquence : permet de déterminer l’ordre de l’action en cas de plusieurs VACL (optionnel.).
- Les ACL et les VACL sont supportés seulement dans quelques Switch L3 : Catalyst 3560 , 3750x ,6500….
Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH
Exemple Pratique 1 : VACL pour Capturer le trafic Exemple Pratique 2 : VACL pour ISOLER LES ressources
Objectives de la configuration : En utilisant Objectives de la configuration : En utilisant les VACL
les VACL , nous allons faire en sorte que : , nous allons faire en sorte que :
Objectif 1 : Objectif 1 :
- Capturer le trafic [WEB] de vlan 100. - PC1 peut communiquer avec PC2 et PC3.
- Capturer le trafic [HTTPS] de vlan 200. - PC2 et PC3 ne peuvent pas communiquer entre eux.
Objectif 2 : Objectif 2 : (Isoler le serveur )
- Empêcher la communication entre vlan 100 et 200. - Les PC de vlan 100 ne peuvent pas communiquer
avec le serveur.
Solution Suggérée :
1- Etape 1 :
- Deux ACLs étendues : pour autoriser le trafic WEB de vlan 100 et HTTPS de vlan 200. Solution Suggérée :
- Créer une ACL étendue pour autoriser le trafic entre vlan 100 et vlan 200.
1- Etape 1 :
Switch(config)#ip access-list extended WEB-TRAFIC ACLs étendues PC : pour autoriser la communication entre PC1 et PC2 , PC1 et PC3.
Switch(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 any eq 80 ACL étendue 101 : pour autoriser le trafic entre les PC de vlan 100 vers le serveur.
Switch(config-ext-nacl)#exit
Switch(config)#ip access-list extended HTTPS-TRAFIC Switch(config)#ip access-list extended PC
Switch(config-ext-nacl)#permit tcp 192.168.1.64 0.0.0.31 any eq 443 Switch(config-ext-nacl)#permit ip host 192.168.1.3 host 192.168.1.4
Switch(config-ext-nacl)#exit Switch(config-ext-nacl)#permit ip host 192.168.1.4 host 192.168.1.3
Switch(config-ext-nacl)#exit
Switch(config)#ip access-list extended VLAN100-200
Switch(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.31 Switch(config)#access-list 101 permit ip any host 192.168.1.5
Switch(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.255
Switch(config-ext-nacl)#exit 2- Etape 2 : On va créer Deux VACL nommé PC-VACL et NOT-TO-SERVER :
PC-VACL : Tout trafic correspondant au accès-list créé (PC) sera abandonné.
2- Etape 2 : Tout autre trafic sera laissé passer.
- VACL_CAPTURE : afin de capturer le trafic correspondant au ACL crée dans NOT-TO-SERVER : Tout trafic correspondant au accès-list créé (PC) sera abandonné.
l’étape 1. Autre trafic sera laissé sans capture. Tout autre trafic sera laissé passer.
- VACL_BLOQUE : Tout trafic entre vlan 100 et 200 sera abandonné. Switch(config)#vlan access-map PC-VACL 10
Switch(config)#vlan access-map VACL_CAPTURE Switch(config-access-map)#match ip address PC
Switch(config-access-map)#match ip address WEB-TRAFIC Switch(config-access-map)#action drop
Switch(config-access-map)#match ip address HTTPS-TRAFIC Switch(config-access-map)#exit
Switch(config-access-map)#action forward capture Switch(config)#vlan access-map PC-VACL 20
Switch(config)#vlan access-map VACL_HOST 99 Switch(config-access-map)#action forward
Switch(config-access-map)#action forward Switch(config-access-map)#exit
Switch(config-access-map)#exit
Switch(config)#vlan access-map NOT-TO-SERVER
Switch(config)#vlan access-map VACL_BLOQUE Switch(config-access-map)#match ip address 101
Switch(config-access-map)#match ip address VAN100-200 Switch(config-access-map)#action drop
Switch(config-access-map)#action drop Switch(config-access-map)#exit
Switch(config)#vlan access-map VACL_BLOQUE 99 Switch(config)#vlan access-map NOT-TO-SERVER
Switch(config-access-map)#action forward Switch(config-access-map)#action forward
Switch(config-access-map)#exit Switch(config-access-map)#exit
3- Etape 3 : Appliquer les deux VCL crées au vlan 100 et 200 : 3- Etape 3 : Enfin, on vas appliquer cette VACL sur vlan 100 :
Switch(config)#vlan filter VACL_CAPTURE vlan-list 100,200 Switch(config)#vlan filter PC-VACL vlan-list 100
Switch(config)#vlan filter VACL_BLOQUE vlan-list 100,200 Switch(config)#vlan filter NOT-TO-SERVER vlan-list 100
Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH