Romain Eveillard

Installation et maintenance informatique / Programmation PHP/MYSQL HTML/CSS











bandeau décoratif
Administration réseau / Configuration VLAN routeur Cisco (1941) et switch (2960) avec filtres ACL

Configuration VLAN routeur Cisco (1941) et switch (2960) avec filtres ACL: (Access Control Lists)


Dans cette exemple, nous allons reprendre la configuration de base de l'article précédent disponible ici, sur lequel nous allons apporter quelques modifications.


Pour cette nouvelle configuration nous allons ajouter le switch 2, un serveur puis un poste d'administration afin de pouvoir mettre en place des règles de filtrages ACL.

Le but de cette exemple est de rendre les vlan inaccessible entre eux, mais en leurs laissant un accès au serveur principal.

Le poste administrateur aura accès à tout le réseau.


Pour cela retirer le cable entre le switch 1 et le routeur, puis rebrancher le routeur sur l'interface GigabitEthernet0/1 du switch 2.

Ensuite relier l'interface GigabitEthernet0/2 du switch 2 à l'interface GigabitEthernet0/1 du switch 1. Vous devriez avoir un réseau qui ressemble à l'illustration. Passons au paramétrage.


Configuration du switch 2

Switch>enable
Switch#vlan database
					
  • On active le mode privilégié
  • On rentre dans la base de donnée des VLAN
Création des VLAN sur le switch 2
Switch(vlan)#vlan 10 name vlan10
Switch(vlan)#vlan 20 name vlan20
Switch(vlan)#exit
					
  • Création et nomage du VLAN10
  • Création et nomage du VLAN20
  • On sort de la base de donnée VLAN
Passage des interfaces en mode trunk
Switch#config terminal
Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
					
  • On rentre en mode configuration globale
  • Séléction interface GigabitEthernet0/1
  • Passage du port en mode trunk
  • On quitte l'interface 0/1

Switch(config)#interface GigabitEthernet0/2
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
					
  • Séléction interface GigabitEthernet0/2
  • Passage du port en mode trunk
  • On quitte l'interface 0/1
On quitte et on sauvegarde

Switch(config)#exit
Switch#write
					
  • On quitte le mode configuration globale
  • On sauvegarde la config

Configuration du routeur

Router#enable
Router#config terminal
					
  • On active le mode privilégié
  • On rentre en mode configuration globale
Création règles de filtrage en blocage
Router(config)#access-list 1 deny 192.168.10.0 0.0.0.255
Router(config)#access-list 1 deny 192.168.20.0 0.0.0.255
					
  • Interdire le trafic sur ce sous réseau
  • Interdire le trafic sur ce sous réseau
Séléction de l'interface pour lui appliquer la règle
Router(config)#interface GigabitEthernet0/1.10
Router(config-subif)#ip access-group 1 in
Router(config-subif)#exit
					
  • On définit sur quel vlan cette règle s'applique
  • Application du filtre
  • On quitte le mode interface
Router(config)#interface GigabitEthernet0/1.20
Router(config-subif)#ip access-group 1 in
Router(config-subif)#exit
					
  • On définit sur quel vlan cette règle s'applique
  • Application du filtre
  • On quitte le mode interface
Création règles de filtrage en permission
Router(config)#access-list 101 permit icmp 192.168.10.0 0.0.0.255
               192.168.1.0 0.0.0.255
Router(config)#access-list 101 permit icmp 192.168.20.0 0.0.0.255
               192.168.1.0 0.0.0.255
Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255
               192.168.1.0 0.0.0.255 eq 80
Router(config)#access-list 101 permit tcp 192.168.20.0 0.0.0.255
               192.168.1.0 0.0.0.255 eq 80
					
  • Autorisation du VLAN10 au requête ICMP pour pouvoir effectuer un ping sur le serveur

  • Autorisation du VLAN20 au requête ICMP pour pouvoir effectuer un ping sur le serveur

  • Autorisation du VLAN10 à avoir accès au serveur intranet du réseau par le port 80

  • Autorisation du VLAN20 à avoir accès au serveur intranet du réseau par le port 80
Séléction de l'interface et application du filtre
Router(config)#interface GigabitEthernet0/1.10
Router(config-subif)#ip access-group 101 in
Router(config-subif)#exit
					
  • On définit sur quel vlan cette règle s'applique
  • Application du filtre
  • On quitte le mode interface
Router(config)#interface GigabitEthernet0/1.20
Router(config-subif)#ip access-group 101 in
Router(config-subif)#exit
					
  • On définit sur quel vlan cette règle s'applique
  • Application du filtre
  • On quitte le mode interface
Router(config)#exit
Router#write
					
  • On quitte le mode configuration globale
  • On sauvegarde la config
Une fois la configuration en place, vous devriez sans problème pouvoir "pinguer" les PC et le serveur. Les VLAN ne peuvent pas communiquer entre eux, mais ont toujours accès au serveur.
Le poste administrateur peut communiquer avec n'importe quelle machine sur le réseau.
Ce tuto a été réalisé sur du matériel Cisco à l'aide du logiciel Packet Tracer disponible sur www.netacad.com  

© Romain Eveillard 2020