Menu

ACL avec un Routage Inter-VLAN [Fermé]

Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
- - Dernière réponse : brupala
Messages postés
84591
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
15 juillet 2019
- 8 mars 2013 à 12:56
Bonjour,
je compte présenter un projet sur du Cisco pour mon BTS SIO,
j'ai donc mis en place cette architecture :
http://imageshack.us/photo/my-images/850/ppevlan.png/

VLAN 10 : 192.168.10.0
VLAN 20 : 192.168.20.0

avec un router (agent relais) qui permet les communications Inter-VLAN
tous ça fonctionne.
Seulement j'aimerais mettre en place des ACL,
qui va me permettre par exemple :

- VLAN 10 ne communique que avec son VLAN
- VLAN 20 communique avec tout les VLAN

après multiple recherche via internet je ne trouve pas comment configurer la partie ACL :/

pouvez vous m'aider ?


Merci
Afficher la suite 

5 réponses

Meilleure réponse
1
Merci
Bonjour,

ATTENTION avec les IP.
Sur ton schéma, tu as :
VLAN 10 : 192.168.1.0
VLAN 20 : 192.168.2.0

Et sur ton explication, tu as :
VLAN 10 : 192.168.10.0
VLAN 20 : 192.168.20.0

Je vais partir sur les adresses du schéma.

Si tu veux mettre une ACL qui empêchent n'importe qui d'accéder au VLAN 10 :
access-list 100 deny ip any 192.168.1.0 0.0.0.255
Et tu la places sur l'interface vers les LAN du routeur (en IN ou en OUT, à toi de tester, je ne vais pas tout te donner non plus^^).

Pour que le VLAN 20 communique avec tous les VLANs :
access-list 100 permit ip 192.168.2.0 ... (à toi de trouver la suite, si tu as compris la première, la deuxième fonctionne pareil dans l'autre sens)

On peut le faire avec des ACLs standards aussi si on veut mais j'aime les étendues :).

Après si tu voulais faire un truc un peu plus précis du style empêcher au VLAN 10 d'accéder à un serveur web par exemple qui serait avec le serveur DHCP de ton schéma :
access-list 100 deny tcp 192.168.1.0 0.0.0.255 [IP_ET_WILDCARD_MASK_SERVEUR_DHCP] eq 80

Si c'était un serveur DNS ATTENTION :
access-list 100 deny udp 192.168.1.0 0.0.0.255 [IP_ET_WILDCARD_MASK_SERVEUR_DNS] eq 53

Pour placer l'ACL sur une interface c'est simple :
enable
configure terminal
interface [n° de l'interface]
ip access-group [n° de l'ACL, ici 100] [in OU out]

Bon courage

Dire « Merci » 1

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 53990 internautes nous ont dit merci ce mois-ci

Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
0
Merci
merci déjà pour ta réponse,
j'ai bien compris ce que tu as mis .
je ne comprend pas la notion IN/OUT a rajouté après chaque règle.

je vais tous de même testé ce que tu me propose.
mister-chikite
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
-
Sa fais une semaine que je cherche sur le net et j'ai jamais vu ces liens ^^
mais oui effectivement ils sont super bien expliqué.

je pense que c'était la notion de IN/OUT qui me manquais pour faire fonctionner mes ACL

je te remercie, je vais suivre ce qu'il y a dans ces liens et je verrais bien
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
0
Merci
je pense avoir compris j'ai donc exécuter ces commande :

Router#sh access-lists
Extended IP access list VLAN10
deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip any any
Extended IP access list VLAN20
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any

Router(config)#interface fastEthernet0/0.1
Router(config-subif)#ip access-group VLAN10 in
Router(config-subif)#exit
Router(config)#interface fastEthernet0/0.2
Router(config-subif)#ip access-group VLAN20 in
Router(config-subif)#exit


Ce qui parait logique, j'interdis juste l'accès en entrée a mon VLAN10 au réseau 192.168.20.0 ?

apres mon test de ping (qui ne devrais pas repondre) et ben ca ping des 2 cotés.

je comprend pas ce que j'ai raté ?
brupala
Messages postés
84591
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
15 juillet 2019
7755 -
Salut,
déjà l' access-list vlan20 ne sert à rien car elle ne bloque personne.
Si le vlan 10 arrive sur 0.1 adresse ip 192.168.10.x sur l'interface
mets plutôt :
Extended IP access list VLAN10
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any
Router(config)#interface fastEthernet0/0.1
Router(config-subif)#ip access-group VLAN10 in

mais cette access-list te bloquera également le traffic de 20 vers 10, car elle te bloquera aussi les réponses de 10 à 20.

pour faire ce que tu veux (connexions unidirectionnelles) il te faut un vrai firewall statefull, tu peux compenser un peu et permettre le tcp established
accesst-list VLAN-20->10
pour tcp :
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 established
pour ping
permit icmp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 echo-reply
bloquer le reste du traffic entre 10 et 20 (udp et les reste des icmp)
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
laisser ce qui va vers l'extérieur:
permit ip 192.168.10.0 0.0.0.255 any
Oui les ACL que j'avais marqué c'était pour t'expliquer le fonctionnement des ACLs pour ne pas te donner les réponses (il faut chercher, et plus on cherche, plus on apprend des choses :) ).

Excellente réponse de brupala, en effet tu n'as pas le choix que de mettre un vrai firewall ou mettre des zones (isoled, community, ...) avec des PVLANs mais je ne pense pas que tu en sois là. Encore que, là, ton problème c'est le retour de l'échange, ton ping part bien mais ne revient pas donc ça doit te donner une erreur d'un côté du style destination unreachable et de l'autre un request timeout j'imagine.
Pur commencer, fais ce que t'as dit brupala en bloquant le DNS (comme je t'avais mis plus haut ou autre protocole à ta guise (FTP, SNMP, ...) pour tester les réactions que tu auras avec toutes ces ACLs.

Bon courage pour la suite (et vive les ACLs)
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
0
Merci
Merci je vais essayé avec les méthodes que vous me conseiller.

sinon il y aurait pas une autre méthodes (omis firewall et ACL) pour bloquer mon VLAN 20 et sans bloquer le VLAN 10 ?

VIVE les ACL oui enfin quand ca marche :p
Non impossible.
Le seul moyen c'est le filtrage donc ACL (ou dans une plus grosse topo, un firewall).
En spécifiant par protocole, par exemple ça donne ça :
ip access-list extended VLAN10TO20
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 established
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 any
(ou permit ip any any, tout dépend si tu as d'autres sous-réseaux).
Et tu l'appliques sur l'interface (ACL extended, plus proche de la source) :
interface fastEthernet0/0.1
ip access-group VLAN10TO20 in


Et ça marche en théorie (pas testé mais j'imagine).
Si tu as compris le principe, tu pourras à présent te débrouiller tout seul.

Si tu fais un ping d'un PC à un autre, si ça ne fait pas ce que tu veux, fais la commande : show access-lists (en enable) où tu verras quelle ACL a matché ton ping (ça résoud les problèmes généralement).

PS : Tu verras, dans quelques temps tu diras VIVE LES ACLs et tu en seras fier :)
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
0
Merci
Je viens de testé ce que tu ma proposé sciencinfo,
et quand je ping, mon routeur bloque les entrées et les sorties de n' importe quel ping sur n'importe quel poste :/ ,
je désespère ...

j'ai pensé a remplacé mon routeur cisco par une machine debian qui fera office de routeur et de firewall (Iptable).

est ce que cela pourrais combler ma demande au niveau des 2 VLAN ?
brupala
Messages postés
84591
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
15 juillet 2019
7755 -
pour le ping, rajoute la ligne que je t'avais mis:
pour ping
permit icmp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 echo-reply
Depuis le début,
je te dis qu'il faut un vrai firewall statefull pour faire ça.
ceci dit un cisco peut faire un vrai firewall aussi, sous certaines conditions (cbac)
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca7c5.html
Mais on sort de l'utilisation des vlan.