ACL switch cisco 3750Fermé

Question

Bonjour,Je suis en BTS IG 2ème année, option ARLE, et je suis actuellement dans une entreprise dans laquelle je dois mettre en place sur un switch cisco 3750, des règles de sécurités. J'ai donc effectuer de multiples recherches dans des documentation et sur internet. J'en ai deduit qu'il fallait mettre en place des "access-lists"
J'ai bien noté les différentes démarche mais je voudrais en savoir un peu plus.
Pour vous expliquer, le réseau possède un boitier firewall de marque WatchGuard en sortie vers internet et celui est donc connecté au cisco 3750 vers le réseau local. De ce cisco, partent ensuite différents switchs Hp.....
Les vlans sont bien sur configurés sur le watchguard avec certains ayant un dhcp sur celui-ci.
Ils sont bien sur recréés sur tous les switchs du réseau.
    Le but de mes règles seraient donc d'interdire ou d'autoriser différents protocoles entres les vlans et l'extérieur ou entre les vlans eux même parfois. Par contre je ne sais pas réellement si je dois appliquer ces access-lists sur les interfaces vlans ou sur les interfaces gigabit du cisco (sachant qu'il y en a une seule qui sort du cisco vers le réseau local.
Par exemple j'ai un vlan 1 et un vlan 2 ou il faudrait autoriser la connexion ftp donc sur les ports tcp et udp 53
je dois donc bien utiliser l'adresse réseau du vlan?
et dans mes lignes de commande: je dois exécuter 
#configure terminal
#interface ?????? c'est içi que j'aimerais savoir comment il faudrait se mettre. enfin dans quel interface....
access-list 100 permit tcp @ip-vlan1  wilcard1 @ip-vlan2 wildcard2 eq 21

je sais c'est pas tout simple mais bon, çà me creuse a tête.
Merci d'avance s'il y a des connaisseurs qui peuvent m'aider!

              Jean-Baptiste

brupala · Answer

Salut, le access-list sont créées globalement , puis affectées à l'interface par la commande access-group in ou out . ou ip access-group in ou out dans le cas d'une access-list nommée . Dans ton cas, ce sera sur les interface vlan . sinon ftp ça n'est pas le port 53, le port 53 (udp et eccessoirement tcp) , c'est dns .

maitrejb107 · Answer

d'accord merci bien de l'aide, 
par contre mon souci est aussi que j'ai mis en place un reseau de test avec un poste dans le vlan 7 et l'autre dans le vlan 8
le poste du vlan7 est en 172.16.10.199 /24 et celui du vlan 8 est en 172.17.10.198

j'ai essayé ceci
#access-list 101 deny icmp 172.17.10.0 0.0.0.255 172.16.10.0 0.0.0.255
#access-list permit ip any any
mon souci est au niveau de l'application deja sur quelle interface se mettr epour la créée:
#conf t
#int...??? soit en gigabit soit en vlan
 et aussi après pour l'appliquer sur laquelle l'appliquer vu que je veux que le poste du vlan 7 puisse pinger l'autre quand même.
j'ai aussi essayé avec "cisco network assistant" qui permet de voir en graphique mais c'est surement mieux de comprendre et de faire en commandes.
merci de votre aide.
salutations

J-B

maitrejb107 · Answer

merci beaucoup pou rla reponse, ca m'ai aidé!
j'ai appliqué ceci
#access-list 101 deny icmp 172.17.10.0 0.0.0.255 172.16.10.0 0.0.0.255 echo
#access-list 101 permit ip any any

et en appliquant sur l'entrée du vlan 7 ou la sortie du vlan 8 ca ne fonctionne pas, alors que l'inverse fonctionne
quand j'ai fait: 
#int vlan 7
#ip access-group 101 out

cela a tres bien fonctionné! ce n'est pas logique car dans la regle, je veux que ca soit interdit du vlan 8 vers le vlan 7 donc logiquement en sortie du 8 et ou en entrée du 7. mais bon je ne vois pas trop a ce niveau la.

sinon une autre petite question, il est bien obligatoire d'appliquer une regle avec ip access-group... , elle ne peut pas s'appliquer sans cela, car j'ai eu certaine fois des pertes de connexion telnet du cisco et des plantage du reseau suite a la saisie d'une regle par exemple
#access-list 101 deny icmp 172.17.10.0 0.0.0.255 172.16.10.0 0.0.0.255 , mais sur le poste avec l'adresse concernée par la règle (172.17.10.198)
je pensais qu'elle ne pouvais pas s'appliquer comme ca.
merci , salutations

J-B

maitrejb107 · Answer

Je voulais aussi demander, lorsque l'on créee plusieurs ACL (si elles sont 101,102,103)
Est-ce qu'elles s'appliquent dans l'ordre, enfin faut-il mettre a la fin a chaque fois : #permit ip any any ?  
car si je met ceci, l'ACl suivante ne va pas être prise en compte.
Et aussi quand elles sont nommées enfin au lieu d'être identifiées par un numéro, sont elles appliquées dans l'ordre aussi?
et si vous voyez mon message précédent aussi, sur l'application des ACL... merci bien d'avance.
salutations

maitrejb107 · Answer

OK merci, c'est vrai qu c'est logieus, une ACl par interface!
mais pour le permit ip any any, j ele met car sinon tout le reseau est bloqué pendant mes tests! J'ai a coté de ca un watchguard qui a des regles de securité a coté. Je voudrais donc en enlever de celui-ci et en mettre sur le cisco. voila tout. Cependant j'ai bien du mal a comprendre si celles du cisco prennent le dessus ou celles du watchguard. Pas evident a tester et a comprendre.
Et aussi pour mes regles je n'ai pas compris ca s'est appliqué en sortie du VLAN 7ou en entrée du VLAN 8. alors que la logique voudrait l'inverse. comme j'ai noté un peu plus haut. j'ai du mal a ce niveau la.
merci, salutation.

maitrejb107 · Answer

Aussi donc si j'applique une regle sur une interface VLAN, les autres VLANs ne vont pas etres touchés, c'est seulement si je l'applique sur l'interface physique ou sont tou sles VLANs que ca va bloaqué. pasque j'ai deja eu ce souci ou le reseau s'est complétement bloqué. Je mettait alors un permit ip any any. mais ce n'est peutetre pas la solution.
on a donc decidé de mettre une règle en permier sur le watchguard qui interdit tout contact entre les 2 VLANs que j'utilise. Pour pouvoir après mettre une règle dessus. Mais je ne voudrais pas bloquer le reseau si je ne met pas de permit ip any any.

maitrejb107 · Answer

j'ai aussi une question, 
je veux faire des regles différents en fonction des différents VLANs, enquelques sortes pour qu'ils accedent les uns aux autres et aussi pour qu'ils aient acces a certains ports...etc
je pensais donc creer des access-list differentes que j'appliquerai sur chaque vlan, mais j'ai l'impression que quand je cree une ACL et que je l'applique sur une interface vlan, elle s'applique a tout le monde.
enfin si je créee une acl avec des regles, le "deny any any" va s'appliquer a tous les VLANs du reseau.

maitrejb107 · Answer

Ouai d'accord mas je ne comprend pas ouest la différence, que l'on applique a telle ou telle interface!
enfin si ca applique la règle! c'est peutetre mieu d'être près de la source comme je vois souvent!
j'ai remarqué que si j'interdis un ping du vlan 7 vers le vlan 8 et que j'applique la règle en entrée du VLAN7 ou en sortie du VLAN8, le message est "reponse de xxxxxxxx: Impossible de joindre la destination"
alors que si je l'applique en sortie du VLAN7 ou en entrée du VLAN8, cela met delai d'attente de la demande dépassée". donc je pensais que le premier cas etait mieu car au moin il y avais une réponse comme quand le ping réussi.
enfin bref, mais cette histoire d'application sur les vlans, c'est pas tout simple.

maitrejb107 · Answer

je voudrais aussi savoir s'il y avais une commande pour pouvoir voire ou sont appliquées les ACL pour s'y retrouver un pau.
Je sais que je peux voire avec le "cisco network assistant" mais j'aimerais bien pouvoir le faire en commandes.
Parce que j'ai appliqué une ACL en entrée de VLAN 7 et avec le logiciel j'ai vu qu'elle était réellement appliquée en sortie de vlan 8 en plus de l'entrée du vlan 7
après c'est peut-être logique vu que sur l'un ou l'autre, le resultat est le même.

maitrejb107 · Answer

Bon en fiat j'ai réalisé qu'en faisant un show running-config on pouvais voir sur chaque vlan qu'elle acl était appliquée, après il y a peut-être un moyen d'afficher juste les vlans?
je ne comprend toujours pas par contre si l'on appliques des ACL différentes sur différents interface si elles vont interagirent entre elles?
enfin si je met un permit ip any any sur une, est-ce que l'autre va influer. c'est assez vague.
et j'ai entendue parler de vlan ACL, je ne connais pas la différence? 
si tu as plus d'infos brupala? ou même quelqu'un d'autres?
merci d'avance, salutations.

maitrejb107 · Answer

"il faut analyser dans le détail pour comprendre, soit en logguant les hits sur les access-list (loggin à la fin de la commande access-list ) soit en debug . "
je n'ai pas bien saisie cette partie! 
 a quoi sert le login a la fin de la commande et le debug?
et comment cela s'applique t'il?
J'ai aussi du mal a comprendre comment mettre plusieurs acl ensembles sans qu'elle se "genent"?
en fait dans chacune il fraudai mettre ce qui est autorisé (aux VLANs auquel elles ont accès, les ports...) et après le deny implicite a chaque acl agit?
mais vu qu'il y en a un dans chacune, je ne vois pas trop!
 
ps : désolé de me répéter j'ai cru que le premier message etait pas passé, il y a eu un bug :)

maitrejb107 · Answer

Par rapport a l'interface physique moi dans mon cas j'en ai une qui part du cisco et qui arrive sur un switch HP et après qui lui est connecté a d'autres switchs.
donc l'interface du cisco fait passer tous les vlans en quelques sortes.
si j'appliquai une acl dessus, je pourrai en faire une seule en mettant donc tout dedans.
Après je ne sais pas si c'est mieux de créer les règles sur les interfaces VLANs qui sont créés sur chaque switch. 
mais ce que je voulais savoir, les règles mise sur l'interface VLAN s'appliquent aux postes plus près de l'interface. enfin si je l'applique une regle sur le vlan 7 et une autre sur le vlan 8, un poste du vlan 8 va etre soumis a la regle du vlan 8 nan?
pas tout simple! :(

maitrejb107 · Answer

je dois appliquer au coeur de mon switch qui es un 3750 dailleur, cest ca ? 
Qu'est ce que tu veux dire par "au coeur"?
moi dans mon reseau j'ai un watchguard qui fait passerelle et qui a les vlans et qui est connecté au cisco.

maitrejb107 · Answer

ok, merci de ton aide , même si c'est pas tout simple! 
je me posais aussi une question, est-ce que je devrais pas faire des VACL enfin , j'ai vu que les VACL etait basé sur des ACL bien sur, mais j'ai du mal a comprendre a comprendre la différence! enfin j'ai vu quelques exemples sur internet!
en gros on applique la règle sur un ou plusieurs VLANs pour le coup!
c'est peut-etre ce qu'il faut que je fasse, vu que je veux cibler mes règles pour certains VLANs et que mon problème etait que mes règles s'appliquait a tous les réseaux!
après j'ai vu que l'on pouvais mettre l'action forward ou drop!
mais dans une règle on met deja un deny ou permit donc coment cela s'applique?
si tu en sais plus merci d'avance! salutations.

maitrejb107 · Answer

ok merci bien!
mais alors tu pense qu'il vaut mieu que je fasse des ACLs?
parceque j'ai cru comprendre que les vACLs me permettrait d'appliquer à un ou plusieurs VLANs alors qu'avec les ACLs cela s'applique a tout le reseau!
apres je ne sais pas trop!

maitrejb107 · Answer

et aussi tu parlais des VACL qui s'appliquent au traffic bridgé? quest-ce que tu entend par "traffic bridgé" exactement? j'ai essayé de faire des vacl mais je n'ai pas réussi a le s'appliquer! peut-être que je n'en ai pa sla possibilité tout simplement!
excuse moi de mon ignorance dans ce domaine, avec cisco je suis un peu largué et j'aimerai vraiment arriver a mettre en place ces règles! merci d'avance

maitrejb107 · Answer

tout d'abord "catos", techniquement ca veu dire quoi?
et dans mon cisco 3750, j'ai la possibilité de créé des VACL, donc ca veut bien dire que cela peut-être utilisé, par contre je n'ai pas réussi a la rendre efficace, j'ai peut-être mal fait les choses, ou alors c'est l'histoire du forward et du drop que j'ai pas compris!
mais bon si tu dis qu'il n'est pas possible tu as surement raison... mais ca m'intrigue qu'il soit possible d'en créer! 
Quand tu veux dire commuté au niveau 2, je peux voir ca dans ma config? oui ce n'est pas moi qui l'ia mis en place et je connais mal le matériel, mais je peux voir ca ou?  merci!

maitrejb107 · Answer

salut, je voudrais te demander un truck vu que je vais mettr en place des ACLs dans le réseau je pense!
exemple: j'ai deux acl permettant l'accès a un vlan etc... a la fin de chacune s'applique le deny ip any any
sachant que j'applique les deux sur deux vlans différents, ces deux deny ip any any ne vont pas gener en realité, le paquet n'est analysé que pas une règle alors?
enfin c'est selon les critères de la règle? parceque j'avais du mal a comprendre dans la situation ou on appliquais différentes ACL sur des interfaces vlans différentes. c'est pour ca que j'hésite a en faire une seule sur le port car j'utilsi eun port pour le vlan administratif et un autre pour tous les autres vlans, donc je pourrai faire alors 2 acl max, enfin 4 avec les in et out! mais je pense que le fair esur les vlans est quand même mieux.

maitrejb107 · Answer

bonjour,
jai une question enfin un souci
j'avais mis une règle sur mon réseau
#deny icmp 172.16.10.0 0.0.0.255 172.17.10.0 0.0.0.255 echo
#permit ip any any
appliqué en entrée de l'interface vlan 7 (172.16.10.x)

je l'ai modifie ce matin en faisant
#deny ip 172.16.10.0 0.0.0.255 172.17.10.0 0.0.0.255
#permit ip any any
et le reseau a planté , plus aucun accès comme si le permit ip any any n'agissait plus. ou alors que le reste du réseau était concerné par mon deny ip qui etait sensé agir sur seulement mes 2 vlans (7 et Cool
si quelqu'un sait dequoi cela peut provenir! je vous remercie a l'avance, car la je suis mal barré ..

maitrejb107 · Answer

je voulais dire "(vlan 7 et 8)" bien sur ;) erreur de saisie..

ACL switch cisco 3750

20 réponses

Discussions similaires

Newsletters