Cours Admin Réseaux 2ARIT Chap7 VLAN ACL

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 88

Chapitre 7 :

Réseaux locaux virtuels


Liste de contrôle d’accès
2ARIT

Enseignant : THIOMBIANO Jérémie

Année académique : 2019-2020


Réseaux Locaux Virtuels

Les VLAN : segmenter les réseaux en fonction de facteurs tels que la


fonction, l'équipe de projet ou l'application, quel que soit l'emplacement
physique de l'utilisateur ou de l'appareil.
Les VLAN : mise en œuvre des stratégies d'accès et de sécurité en fonction
de groupes d'utilisateurs précis.
Un VLAN est une partition logique d'un réseau de couche 2.
Plusieurs partitions peuvent être créées pour permettre à plusieurs VLAN de
coexister.
Chaque VLAN constitue un domaine de diffusion, généralement avec son
propre réseau IP.
Les VLAN sont isolés les uns des autres et les paquets ne peuvent circuler
entre eux qu'en passant par un routeur.
La segmentation du réseau de couche 2 a lieu à travers un commutateur.
Les hôtes regroupés dans un VLAN ignorent l'existence de celui-ci.

2
Réseaux Locaux Virtuels

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 3


Réseaux Locaux Virtuels

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 4


Configuration et gestion de VLANs

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 5


Configuration et gestion de VLANs
Avantages d’un réseau local virtuel
o Sécurité : les groupes contenant des données sensibles sont séparés du
reste du réseau, ce qui diminue les risques de violation de confidentialité.

o Réduction des coûts : des économies sont réalisées grâce à une diminution
des mises à niveau onéreuses du réseau et à l’utilisation plus efficace de la
bande passante et des liaisons ascendantes existantes.

o Meilleures performances : le fait de diviser des réseaux linéaires de


couche 2 en plusieurs groupes de travail logiques (domaines de diffusion)
réduit la quantité de trafic inutile sur le réseau et augmente les
performances.

o Atténuation des tempêtes de diffusion : le fait de diviser un réseau en


plusieurs réseaux VLAN réduit le nombre de périphériques susceptibles de
participer à une tempête de diffusion.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 6


Configuration et gestion de VLANs
Avantages d’un réseau local virtuel
o Efficacité accrue du personnel informatique : les VLAN facilitent la
gestion du réseau, car les utilisateurs ayant des besoins similaires
partagent le même VLAN.
o Lorsque vous configurez un nouveau commutateur, toutes les stratégies et
procédures déjà configurées pour le VLAN correspondant sont
implémentées lorsque les ports sont affectés.

o Gestion simplifiée de projets ou d’applications : les VLAN rassemblent


des utilisateurs et des périphériques réseau pour prendre en charge des
impératifs commerciaux ou géographiques. La séparation des fonctions
facilite la gestion d’un projet ou l’utilisation d’une application spécialisée,
comme une plateforme de développement d’e-learning pour
l’administration de la faculté

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 7


Configuration et gestion de VLANs

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 8


Configuration et gestion de VLANs
Types de VLANs
VLAN de données
o Un VLAN de données est un réseau local virtuel qui est configuré pour ne
transporter que le trafic généré par l’utilisateur. Un VLAN peut transporter le trafic
vocal ou le trafic utilisé pour gérer le commutateur, mais ces deux formes de trafic
ne peuvent pas faire partie d’un même VLAN de données.

VLAN par défaut


o Tous les ports du commutateur deviennent membres du VLAN par défaut après le
démarrage initial du commutateur. Étant donné que tous les ports du commutateur
participent au VLAN par défaut, ils appartiennent tous au même domaine de
diffusion.

VLAN de gestion
o Un VLAN de gestion est un réseau local virtuel que vous configurez pour accéder
aux fonctionnalités de gestion d’un commutateur. C’est le VLAN 1 qui fait office de
VLAN de gestion si vous ne définissez pas explicitement un VLAN distinct pour
remplir cette fonction.
THIOMBIANO Jérémie / ISGE-BF 13/01/2020 9
Configuration et gestion de VLANs
Types de VLANs

VLAN natif
o Un VLAN natif est affecté à un port d’agrégation 802.1Q.
o Un port d’agrégation 802.1Q prend en charge le trafic provenant de
nombreux VLAN (trafic étiqueté ou « tagged traffic »), ainsi que le trafic
qui ne provient pas d’un VLAN (trafic non étiqueté ou « untagged traffic »).
o Le port d’agrégation 802.1Q place le trafic non étiqueté sur le VLAN natif.

Il sert d’identificateur commun aux extrémités d’une liaison agrégée.


Il est recommandé d’utiliser un autre VLAN que le VLAN 1 comme VLAN
natif.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 10


Configuration et gestion de VLANs

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 11


Configuration et gestion de VLANs
VLAN voix
Pour prendre en charge la voix sur IP (VoIP)

12
Configuration et gestion de VLANs
VLAN voix
Pour prendre en charge la voix sur IP (VoIP)

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 13


Configuration et gestion de VLANs
VLAN voix

Le facteur temps est très important pour le trafic VoIP. Cela nécessite :
• Bande passante constante pour garantir la qualité de la voix.
• Priorité de transmission sur les autres types de trafic réseau.
• Capacité à être routé autour des zones encombrées sur le réseau.
• Délai inférieur à 150 ms sur tout le réseau.
La fonction VLAN voix permet aux ports d'accès d'acheminer le
trafic VoIP (voix sur IP) provenant d'un téléphone IP.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 14


Configuration et gestion de VLANs
Agrégation de VLAN (trunk)
o Une agrégation est une liaison point à point entre deux périphériques
réseau qui porte plusieurs VLAN.

o Une agrégation de VLAN vous permet d’étendre les VLAN à l’ensemble


d’un réseau.

o Cisco prend en charge la norme IEEE 802.1Q pour coordonner les


agrégations sur les interfaces Fast Ethernet et Gigabit Ethernet.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 15


Configuration et gestion de VLANs

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 16


Configuration et gestion de VLANs
Agrégation de VLAN (trunk)

17
Configuration et gestion de VLANs

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 18


Configuration et gestion de VLANs

19
Configuration et gestion de VLANs

20
Configuration et gestion de VLANs
L'étiquetage des trames Ethernet pour l'identification des VLAN
• L'étiquetage des trames consiste à ajouter un en-tête d'identification du
VLAN à la trame.
• Il est utilisé pour transmettre correctement plusieurs trames VLAN via un
trunk.
• Les commutateurs étiquettent les trames pour identifier le VLAN auquel
elles appartiennent.
• Il existe différents protocoles d'étiquetage, IEEE 802.1Q étant le plus
répandu.
• Le protocole définit la structure de l'en-tête d'étiquetage ajouté à la trame.
• Les commutateurs ajoutent des étiquettes VLAN aux trames avant de les
placer dans les trunks. Ils les enlèvent avant de transmettre les trames via
les autres ports (non trunk).
• Une fois qu'elles sont correctement étiquetées, les trames peuvent
traverser tous les commutateurs via les trunks. Elles resteront dans le
VLAN approprié pour atteindre leur destination.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 21


Configuration et gestion de VLANs

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 22


Configuration et gestion de VLANs

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 23


Configuration et gestion de VLANs
Création de VLAN

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 24


Configuration et gestion de VLANs
L'attribution de ports aux VLAN

25
Configuration et gestion de VLANs

Les périphériques d'infrastructure réseau nécessitent des adresses IP


pour activer la gestion à distance.
Sur un commutateur, l'adresse IP de gestion est attribuée à une
interface virtuelle appelée interface virtuelle commutée (SVI).

26
Configuration et gestion de VLANs
Modification de l'appartenance des ports des VLAN
Suppression d'une attribution de VLAN

L'interface F0/18 avait été attribuée précédemment au VLAN 20 qui est toujours
actif, F0/18 réinitialise VLAN 1

27
Configuration et gestion de VLANs
Modification de l'appartenance des ports des VLAN

28
Configuration et gestion de VLANs
Vérification des informations du VLAN

29
Configuration et gestion de VLANs
Réaffectation du VLAN

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 30


Configuration et gestion de VLANs
Suppression de VLAN

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 31


Configuration et gestion de VLANs
Configuration des liens trunk IEE 802.1q

32
Configuration et gestion de VLANs
Configuration des liens trunk IEE 802.1q

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 33


Configuration et gestion de VLANs
Le protocole VTP (VLAN Trunking Protocol)

Qu’est-ce que le protocole VTP ?

Le protocole VTP permet à un administrateur


réseau de configurer un commutateur pour qu’il
propage des configurations VLAN à d’autres
commutateurs du réseau.
Le commutateur peut être configuré dans le rôle
d’un serveur VTP ou d’un client VTP.

Le serveur VTP distribue et synchronise des informations VLAN aux


commutateurs compatibles VTP sur le réseau commuté, ce qui minimise les
problèmes provoqués par des configurations incorrectes ou incohérentes.
Le protocole VTP mémorise les configurations VLAN dans la base de données
VLAN appelée vlan.dat.
34
Configuration et gestion de VLANs
Le protocole VTP (VLAN Trunking Protocol)

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 35


Configuration et gestion de VLANs
Routage Inter-VLAN

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 36


Configuration et gestion de VLANs
Routage Inter-VLAN

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 37


Configuration et gestion de VLANs
Routage Inter-VLAN

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 38


Configuration et gestion de VLANs
Routage Inter-VLAN

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 39


Liste de contrôle d’accès

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 40


Liste de contrôle d’accès
ACLs : définition

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 41


Liste de contrôle d’accès
ACLs : définition
o Une liste de contrôle d’accès est un ensemble séquentiel d’instructions
d’autorisation ou de refus qui s’appliquent aux adresses IP ou aux
protocoles de couche supérieure.

o À chaque fois qu’un paquet traverse une interface avec une liste de
contrôle d’accès associée, celle-ci est vérifiée de haut en bas, ligne par
ligne, à la recherche d’un modèle correspondant au paquet entrant.

o La liste de contrôle d’accès exécute au moins une stratégie de sécurité


de l’entreprise en appliquant une règle d’autorisation ou de refus au
paquet.

o Vous pouvez configurer des listes de contrôle d’accès en vue de


contrôler l’accès à un réseau ou à un sous-réseau.

o Un routeur n’a aucune liste de contrôle d’accès configurée par défaut.


THIOMBIANO Jérémie / ISGE-BF 13/01/2020 42
Liste de contrôle d’accès
Les bonnes pratiques relatives aux listes de contrôle d'accès

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 43


Liste de contrôle d’accès
ACLs : définition

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 44


Liste de contrôle d’accès
Conversation TCP

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 45


Liste de contrôle d’accès
Conversation TCP

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 46


Liste de contrôle d’accès

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 47


Liste de contrôle d’accès
Le filtrage des paquets
o Un routeur filtre les paquets lors de leur transmission ou de leur refus
conformément aux règles de filtrage.

o Lorsqu’un paquet accède à un routeur de filtrage, certaines


informations de son en-tête sont extraites.

o Conformément aux règles de filtrage, le routeur décide alors si le


paquet peut être transmis ou si au contraire il doit être rejeté.

o Le routeur se réfère aux règles pour déterminer s’il doit autoriser ou


refuser le trafic en fonction des adresses IP source et de
destination, du port source, du port de destination et du protocole
des paquets.
o Ces règles sont définies en fonction des listes de contrôle d’accès.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 48


Liste de contrôle d’accès
Le filtrage des paquets
Une liste de contrôle d’accès est un script de configuration de routeur contrôlant
l’autorisation ou le refus de passage des paquets, conformément aux critères
stipulés dans leur en-tête.
Les listes de contrôle d’accès sont les objets les plus couramment utilisés dans le
logiciel Cisco IOS.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 49


Liste de contrôle d’accès
Le filtrage des paquets

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 50


Liste de contrôle d’accès
Le filtrage des paquets

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 51


Liste de contrôle d’accès
Fonctionnement des ACLs
Règle des trois P
Les trois P font figure de règle générale pour appliquer des listes de
contrôle d’accès sur un routeur. Vous pouvez configurer une liste de contrôle
d’accès par protocole, par direction et par interface :

o Une liste de contrôle d’accès par protocole : pour contrôler le flux du


trafic sur une interface, définissez une liste de contrôle d’accès pour
chaque protocole activé sur l’interface.

o Une liste de contrôle d’accès par direction : les listes de contrôle d’accès
contrôlent le trafic dans une seule direction à la fois sur une interface.
Vous devez créer deux listes de contrôle d’accès ; la première pour
contrôler le trafic entrant et la seconde pour contrôler le trafic sortant.

o Une liste de contrôle d’accès par interface : les listes de contrôle d’accès
contrôlent le trafic pour une interface, telle que Fast Ethernet 0/0.
THIOMBIANO Jérémie / ISGE-BF 13/01/2020 52
Liste de contrôle d’accès
Fonctionnement des ACLs

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 53


Liste de contrôle d’accès
Fonctionnement des ACLs
Listes de contrôle d’accès entrantes : les paquets entrants sont traités avant d’être routés
vers l’interface de sortie. Une liste de contrôle d’accès entrante est efficace car elle
réduit la charge des recherches de routage en cas d’abandon du paquet.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 54


Liste de contrôle d’accès
Fonctionnement des ACLs
Listes de contrôle d’accès sortantes : les paquets entrants sont routés vers l’interface de
sortie puis traités par le biais de la liste de contrôle d’accès sortante.
Les instructions d’une liste de contrôle d’accès fonctionnent dans un ordre séquentiel.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 55


Liste de contrôle d’accès
Types de liste de contrôle d’accès
o ACL standard

Tout trafic en provenance du réseau 192.168.30.0/24 est autorisé.

o ACL étendu

La liste de contrôle d’accès 103 autorise tout le trafic provenant d’une adresse sur le
réseau 192.168.30.0/24 vers tout port hôte de destination 80 (HTTP).
THIOMBIANO Jérémie / ISGE-BF 13/01/2020 56
Liste de contrôle d’accès

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 57


Liste de contrôle d’accès
Positionnement des ACLs
ACL standard

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 58


Liste de contrôle d’accès
Positionnement des ACLs
ACL étendu

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 59


Liste de contrôle d’accès
Directives générales sur la création des ACLs

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 60


Liste de contrôle d’accès
Directives générales sur la création des ACLs

61
Liste de contrôle d’accès
Configuration des listes de contrôle d’accès standard
Syntaxe complète de la commande des listes de contrôle d’accès standar :
Routeur(config)#access-list numéro-liste-accès deny permit remark source [masque-
générique-source] [log]

62
Liste de contrôle d’accès
Configuration des listes de contrôle d’accès standard
Pour octroyer le numéro 10 à une liste de contrôle d’accès afin d’autoriser l’accès
au réseau 192.168.10.0 /24 :

R1(config)# access-list 10 permit 192.168.10.0

Suppression d’une ACL

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 63


Liste de contrôle d’accès
Configuration des listes de contrôle d’accès standard

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 64


Liste de contrôle d’accès
Configuration des listes de contrôle d’accès standard
Mots clés any et host
L’exemple 1 montre comment utiliser l’option any pour remplacer l’adresse IP 0.0.0.0
par un masque générique 255.255.255.255.

L’exemple 2 montre comment utiliser l’option host pour remplacer le masque générique.

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 65


Liste de contrôle d’accès
Procédures de configuration des listes de contrôle d’accès standard

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 66


Liste de contrôle d’accès
Procédures de configuration des listes de contrôle d’accès standard

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 67


Liste de contrôle d’accès
Procédures de configuration des listes de contrôle d’accès standard

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 68


Liste de contrôle d’accès
Procédures de configuration des listes de contrôle d’accès standard

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 69


Liste de contrôle d’accès
Commentaires sur les listes de contrôle d’accès

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 70


Liste de contrôle d’accès
Commentaires sur les listes de contrôle d’accès

Étape 1. En mode de configuration globale, utilisez la commande ip access-list pour


créer une liste de contrôle d’accès nommée. Les noms des listes de contrôle d’accès sont
alphanumériques, ils doivent être uniques et ne peuvent pas commencer par un numéro.

Étape 2. En mode de configuration de la liste de contrôle d’accès nommée, utilisez les


instructions permit ou deny pour spécifier une ou plusieurs conditions afin de déterminer
si un paquet est transféré ou abandonné.

Étape 3. Repassez en mode d’exécution privilégié à l’aide de la commande end.


71
Liste de contrôle d’accès

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 72


Liste de contrôle d’accès

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 73


Liste de contrôle d’accès
Liste de contrôle d’accès étendue
Le filtrage en fonction du protocole et du numéro de port vous permet de créer des listes
de contrôle d’accès étendues très spécifiques.

Si vous utilisez le numéro de port approprié, vous pouvez spécifier une application en
configurant le numéro de port ou le nom d’un port connu.

Par exemple un administrateur spécifie un numéro de port TCP ou UDP en le plaçant à la


fin de l’instruction de la liste de contrôle d’accès étendue. Vous pouvez utiliser des
opérateurs logiques, tels que égal (eq), non égal (neq), supérieur à (gt) et inférieur à (lt).

74
Liste de contrôle d’accès
Liste de contrôle d’accès étendue

75
Liste de contrôle d’accès
Liste de contrôle d’accès étendue

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 76


Liste de contrôle d’accès
Configuration des ACLs étendues

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 77


Liste de contrôle d’accès
Configuration des ACLs étendues

THIOMBIANO Jérémie / ISGE-BF 13/01/2020 78


Liste de contrôle d’accès
Configuration des ACLs étendues

79
80
81
THIOMBIANO Jérémie / ISGE-BF 13/01/2020 82
o Le protocole DHCP peut représenter un risque pour la sécurité car n’importe quel
périphérique connecté au réseau peut recevoir une adresse.

o Ce risque fait de la sécurité physique un facteur important lors du choix entre un


adressage dynamique et un adressage statique. 83
Un routeur qui exécute le logiciel IOS peut être configuré en tant que
serveur DHCPv4. Pour configurer DHCP :
1. Exclure des adresses du pool.
2. Définir le nom du pool DHCP.
3. Définir la plage d'adresses et le masque de sous-réseau.
Utiliser la commande default-router pour la passerelle par
défaut. Paramètres facultatifs qui peuvent être inclus dans le
pool : serveur DNS, nom de domaine.

Pour désactiver DHCP, utilisez la commande no service dhcp. 84


85
La commande ip helper-address permet à un routeur de transférer
les diffusions DHCP au serveur DHCP. Elle sert à relayer les
diffusions.

86
87
Les commandes qui permettent de vérifier DHCP :
show running-config | section dhcp
show ip dhcp binding
show ip dhcp server statistics
Sur le PC, utilisez la commande ipconfig /all.
88

Vous aimerez peut-être aussi