VLAN

Transféré par

Mamadou Dia
33 vues45 pages

Copyright

© © All Rights Reserved

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Signaler ce document

Droits d'auteur :

© All Rights Reserved
Signaler comme contenu inapproprié
33 vues45 pages

VLAN

Transféré par

Mamadou Dia

Droits d'auteur :

© All Rights Reserved
Signaler comme contenu inapproprié
sur 45

Vlan : Problème TECHNOLAB-ISTA

VLAN

1
TECHNOLAB-ISTA
Rappel: Concentrateur

Adresse Mac source Adresse Mac de Données


destination

CONCENTRATEUR

INTERFACE
1 2 3 4
COMMUTATEUR
STATIONS

M1 X

M2 X

M3 X
2
TECHNOLAB-ISTA
Besoin:

Pour des raisons de sécurité, on veut qu’un groupe de PC ne


communique pas avec un autre groupe.

$ 3

Le nombre de switch est multiplié par le nombre de groupes


Vlan: Virtual LAN TECHNOLAB-ISTA

VLAN 3 (B) VLAN 2 (A)

INTERFACE
Adresse Mac source Adresse Mac de Donnée 1(A) 2(B) 3(B) 4(A)
destination s

M1 X

STATIONS
M1 M2 X
M2 X
M1 M3 X
M3 X
M2 M1 X 4

M2 M3  Ok
TECHNOLAB-ISTA
Vlan Configuration

 Switch administrable:
 Documentation
 Port de console
 Interface web

 Configuration:
 VLAN1
 Création des VLAN
 Affectation des ports

5
TECHNOLAB-ISTA

Démonstration du fonctionnement
des VLANs

6
TECHNOLAB-ISTA

7
Pour voir les VLAN:
Show VLAN
Pour créer les VLAN:
Vlan database
Vlan 2  2 est le numero du VLAN
Pour affecter le port « fastethernet 0/1 »
au VLAN 2:
Configure terminal
Interface fastethernet 0/1
Switchport access vlan 2
Pour affecter plusieurs ports « ex: de Fa1 à
Fa10 8

 Interface range fasethernet 0/1-10


Vlan : Conclusion

VLAN 3 (B) VLAN 2 (A)

 Avantages:
 Sécurité
 Réduction de cout
 Limitation de diffusion (CPU/BP
9
VLAN
Notion de Trunking

10
Interface
Vlan : Problème 1 (A) 2(A) C1

Stations
M1 X
M2 X
VLAN A VLAN B

M1
C1

Vlan 1

C2

M2 VLAN A VLAN B

2 Switch
Nbre de cascades= Nbre de Vlan 11
Interface
Vlan: Trunk 1 (A) 2(B) C1(T)

Station
M1 X
M2 X
VLAN A VLAN B

M1
C1

Mode Trunk
Mode Accès

C2
Interface
1 (A) 2(B) C2(T)
M2 VLAN A VLAN B

Station
M1 X
M2 X
12
Vlan: 802.1Q

Trame Ethernet

Adresse Mac dst Adresse Mac src Len/Etype Data FCS

Trame Ethernet modifiée

Adresse Mac dst Adresse Mac src Tag (inseré) Len/Etype Data FCS
(modifié)

On utilise le 802.1q et cette trame


appartient au vlan X

Le TAG est ajouté au niveau du port de cascade (Trunk) et non


au niveau des ports en mode accès 13
Interface
Vlan: Trunk 1 (A) 2(A) C1(T)

Station
M1 X
M2 X
VLAN A VLAN B

M1
C1

Mode Trunk
Mode Accès

C2
Interface
1 (A) 2(A) C2(T)
M2 VLAN A VLAN B

Station
M1 X
M2 X
14
Démonstration du
Fonctionnement du Trunk
(802.1Q)

15
16
Quelques commandes
suppression d'un vlan
• 2960-RG(config)#no vlan 2
Ajout de vlan
• Création du vlan 2 puis des vlans 3 à 5
Affectation d'un port à un vlan
• Affectation du port 1 au vlan 2 puis des port 2 à 10
Switch(config)#vlan 2
Switch(config-vlan)#name administration
Switch(config)# Interface fastethernet 0/1
Switch(config-vlan)#ex
Switch(config)# Switchport access vlan 2
Switch(config)#vlan 3,4,5
Switch(config)# Interface range fasethernet 0/1-10
Switch(config-vlan)#ex
Switch(config)# Switchport access vlan 2

Configuration d'un port en mode trunk Filtrage des vlans sur un port uplink
Switch(config)#interface gigabitEthernet 1/0/1 • autoriser les vlans 2,3 et 10 a être transportés sur le lien trunck
Switch(config-if)#switchport mode trunk Switch(config)#interface gigabitEthernet 1/0/1
Switch(config-if)#switchport trunk allowed vlan add 2,3,10

• interdire le vlan 3 de passer par le lien trunk


Switch(config-if)#switchport trunk allowed vlan remove 3

• supprimer la commande de filtrage 17

Switch (config-if)#no switchport trunk allowed vlan


Trunk: Conclusion

VLAN A VLAN B

M1
C1

Trunk
Mode Accès 802.1Q

C2

M2 VLAN A VLAN B

18
Routage
Inter-VLANs
Amadou COULIBALY/Technolab-ISTA

19
Vlan: Ressources partagées
VLAN 3 (B) VLAN 2 (A)

20
Vlan: Ressources partagés
VLAN 3 (B) VLAN 2 (A)

802.1Q

2 cartes réseaux virtuels


1 carte réseau physique

21
Vlan: Ressources partagés

192.168.3.0/24 192.168.2.0/24
VLAN 3 (B) VLAN 2 (A)
192.168.1.0/24

802.1Q

192.168.3.254/24 192.168.2.254/24

22
Vlan: Ressources partagés

192.168.3.0/24 192.168.2.0/24
VLAN 3 (B) VLAN 2 (A)
.254
802.1Q

192.168.100.0/24
VLAN 100 (S)
23
Configuration du trunk sur le routeur

Interface FastEthernet0
No ip address
Encapsulation dot1Q
!

Interface FastEthernet0.2
Encapsultion dot1Q 2
Ip address 192.168.2.254 255.255.255.0
!

Interface FastEthernet0.3
Encapsultion dot1Q 3
Ip address 192.168.3.254 255.255.255.0
!

Interface FastEthernet 0.100


Encapsultion dot1Q 100
Ip address 192.168.100.254 255.255.255.0
24
Vlan: Switch niveau 3

192.168.3.0/24 192.168.2.0/24
VLAN 3 (B) VLAN 2 (A)

SWITCH NIVEAU 3

192.168.100.0/24
VLAN 100 (S)
25
Vlan: Switch niveau 3

192.168.2.0/24 192.168.3.0/24
VLAN 2 (A) VLAN 3 (B)
R
192.168.2.254
Inter Vlan 2 192.168.3.254
Inter Vlan 3

192.168.100.254
Inter Vlan 100

Destination P
192.168.2.0/24 Inter Vlan 2
192.168.3.0/24 Inter Vlan 3
192.168.100.0/24 Inter Vlan 100 192.168.100.0/24 26

VLAN 100 (S)


Configuration du switch niveau 3

 Création des Vlan


 Affectation des ports sur les Vlans
 Création des interfaces niveau 3

Interface vlan 2
ip address 192.168.2.254 255.255.255.0

Interface vlan 3
ip address 192.168.3.254 255.255.255.0

Interface vlan 100


ip address 192.168.100.254 255.255.255.0

27
192.168.2.0/24 192.168.3.0/24
VLAN 2 (A) VLAN 3 (B)
R
192.168.2.254
Inter Vlan 2 192.168.3.254
Inter Vlan 3

192.168.100.254
Inter Vlan 100

Destination P
192.168.2.0/24 Inter Vlan 2
192.168.3.0/24 Inter Vlan 3
192.168.100.0/24 Inter Vlan 100 192.168.100.0/24 28

VLAN 100 (S)


LE MODELE OSI

Application

Présentation

Session

Transport
Application
Réseau
Transport
Liaison Internet

Physique Accès réseau

OSI TCP/IP
29
Vlan: Switch niveau 3
ACL

192.168.2.0/24 192.168.3.0/24
VLAN 2 (A) VLAN 3 (B)
R
192.168.2.254
Inter Vlan 2 192.168.3.254
Inter Vlan 3

192.168.100.254
Inter Vlan 100

Destination P
192.168.2.0/24 Inter Vlan 2
192.168.3.0/24 Inter Vlan 3
192.168.100.0/24 Inter Vlan 100 192.168.100.0/24 30

VLAN 100 (S)


Les listes d’Accès

31
BUT

• Par défaut le routage entre tous les Vlan est


possible
• Les d’accès (ACL) permettent de filtrer
[permettre ou interdire] le routage entre
certains Vlan en se basant sur plusieurs critères
des couches supérieures (couches 3 et 4)
• Fonctions de sécurités et d’administration.
32
Configuration

Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list

ACL Standard: Critere de filtrage: @ IP source

ACL étendue: Critere de filtrage: @ IP source/destination


Port source / destination

33
Syntaxe:

2 étapes:
1. Ecrire la liste d’accès: définir les critères de filtrage,
2. Appliquer la liste sous une ou plusieurs interfaces niveau 3 (interface vlan x)

Router(config)#

access-list access-list-number {permit | deny} (condition de test)

Router(config-if)#

IP access-group access-list-number
34
Syntaxe/ Satandard:
ACL standard:

access-list access-list-number {permit | deny} source [source-wildcard]

Exemples:

access-list access 1 permit host 192.168.1.1

access-list access 1 permit host 192.168.1.1

access-list access 1 permit host 192.168.1.2

access-list access 1 permit any

access-list access 1 permit 192.168.1.0 0.0.0.255 35


Wildcard mask

192.168.1.0 1100 0000.1010 1000.0000 0001 .0000 0000


0.0.0.255 0000 0000.0000 0000.0000 0000.1111 1111

192.168.1.15 1100 0000. 1010 1000.0000 0001.00001111

0: Vérifier ce bit
1: Ignorer ce bit

access-list access 1 permit 192.168.1.5 0.0.0.0


=
access-list access 1 permit host 192.168.1.5

access-list access 1 permit 192.168.1.5 255.255.255.255

= 36
access-list access 1 permit any
Filtrer sur toutes les adresses 172.30.16.0  172.30.31.255

access-list access 1 permit 192.168.16.0 0.0.0.255

access-list access 1 permit 192.168.17.0 0.0.0.255


…..

WM= 00000000.00000000. 00001111.11111111 0.0.15.255

16.0 00010000.00000000
31.0 00011111.00000000
access-list access 1 permit 172.30.16.0 0.0.15.255

37
Syntaxe/ Etendue:

ACL étendue:
Access-list access-list nimber {permit|deny} protocol source source-wildcard [operator port]
Destination destination wildcard [operator port] [established] [log]

Operator port: lt, gt, eq, neq, (less than, greater than, equal, not equal)

Exemples:
access-list access 101 permit ip host 192.168.16.1 193.1.1.0 0.0.0.255

access-list access 102 deny tcp any host 10.1.1.1 eq 23


access-list access 102 deny tcp 1.0.0.0 0.255.255.255 44.1.2.3 0.0.255.255 gt 1023
access-list access 102 permit ip any any

access-list access 151 deny icmp 33.1.2.0 0.0.0.255 44.1.2.3


access-list access 151 permit ip any any

38
Syntaxe:
2- Appliquer la liste sous une interface
ip access-group access-list-number { in | out }

Exemples:
Router(config)# interface vlan 10 (FasEthernet 0/0) (Serial 1/0)
Router(config-if)# ip access-group 101 in
Router(config-if)# ip access-group 151 out

Une seule ACL par interface par sens

39
IN/OUT ? 192.168.2.0/24 192.168.3.0/24
VLAN 2 (A) VLAN 3 (B)
R
192.168.2.254
Inter Vlan 2 192.168.3.254
Inter Vlan 3

192.168.100.254
Inter Vlan 100

But: deny ftp connexion des serveurs


OUT
IN Access-list 101 deny any tcp 192.168.100.254 eq 21
Access-list 101 deny any tcp 192.168.100.254 eq 21 access-list 101 permit ip any any
access-list 101 permit ip any any !
Interface Vlan 2 Interface Vlan 100
Ipacess-group 101 in Ip acess-group 101 out
! 40
Interface vlan 3
Ip acess-group 101 in
Established
VLAN 2 (A)
193.1.1.0/24 R

F1/1 S1/1

But: Permettre les connections http vers internet


Interdire les scan venant des pirate

Access-list 101 permit tcp 193.1.1.0 0.0.0.255 ANY eq 80


Access-list 101 permit ip any any
Access-list 102 deny ip any 193.1.1.0 0.0.0;255
Access-list 101 permit tcp 193.1.1.0 0.0.0255 established
Int ser1/1
Access-group 101 out
Access-group 102 in 41
ACL Nommées
Routeur (config)# Access-list 101 deny tcp any host 10.1.1.1 eq 23
Routeur (config)# Access-list 101 deny udp 1.0.0.0 0.255.255.255 lt 1023 44.1.2.3 0.0.255.255
Routeur (config)# Access-list 101 deny icmp 33.1.2.0 0.0.0.255 44.1.2.3 0.0.255.255 echo

Pour eliminer une ligne de l’ACL 101, il faut:


- Supprimer toute l’ACL: routeur(config)# no access-list
- réécrire l’ACL
- Avec les ACL nomées, il possible d’éditer l’ACL

Avantages:

• Possibilité d’edition
• Plus comprehensive

42
Exemple:
Routeur (config)# ip Access-list extended ACL-VLAN-11
Routeur(config-ext-nacl)# permit tcp host 10.1.1.2 eq www any
Routeur(config-ext-nacl)#deny udp 10.1.1.1 0.0.0.128 255.255.255.127
Routeur(config-ext-nacl)#deny ip 10.1.3.0 0.0..255 10.1.2.0 0.0.0.255

Show access-list ACL-VLAN-11


Extended IP access list ACL-VLAN-11
10 permit tcp host 10.1.1.2 eq www any
20 deny udp 10.1.1.1 0.0.0.128 255.255.255.127
30 deny ip 10.1.3.0 0.0.0.255 10.1.2.0 0.0.0.255

Supposons qu’on veur eliminer la 3ème ligne de l’ACL


Routeur (config)# ip Access-list extended ACL-VLAN-11
Routeur(config-ext-nacl)# no 30
Routeur(config-ext-nacl)#15 permit tcp host 10.1.1.2 eq 443 any

43
ACL TEMPOREL:
Switch(config)#time range matin
Switch(config-time-range)#periodic weekdays 8:00 to12:00
!
Switch(config)#ip access-list extended ACL0
Switch(config-ext-nacl)# deny tcp any any eq ftp time-range matin
Switch(config-ext-nacl)# permit …….
!
Switch(config-ext-nacl)#exit
Switch(config)#interface gigabitethernet0/1
Switch(config-if)# ip access-group ACL0 in *

44
Conclusion:
• ACL Standard
• ACL Etendue
• ACL Nommées
• ACL temporel

2 étapes: crée des ACL puis l’appliquer sous un interface niveau 3

Utiliser Wildcard mask et non le Mask

Deny implicite à la fin de chaque ACL

45

Centres d'intérêt liés

Vous aimerez peut-être aussi