Routage Inter-Vlan et filtrage ACL

Documents pareils
Configuration des VLAN

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Configuration du matériel Cisco. Florian Duraffourg

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

VLAN Trunking Protocol. F. Nolot

La qualité de service (QoS)

Le protocole VTP. F. Nolot 2007

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Les réseaux /24 et x0.0/29 sont considérés comme publics

Réseaux Locaux Virtuels

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

acpro SEN TR firewall IPTABLES

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Présentation et portée du cours : CCNA Exploration v4.0

Les Virtual LAN. F. Nolot 2008

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Présentation et portée du cours : CCNA Exploration v4.0

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Administration de Réseaux d Entreprises

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Mise en service d un routeur cisco

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP. Conclusion. Plan. Couche réseau Filtres de paquets (routeur)

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Travaux pratiques IPv6

Documentation : Réseau

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

GNS 3 Travaux pratiques

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

mbssid sur AP Wifi Cisco

RESEAUX MISE EN ŒUVRE

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Table des matières Nouveau Plan d adressage... 3

TP réseaux Translation d adresse, firewalls, zonage

Environnements informatiques

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Mise en place des réseaux LAN interconnectés en

DIFF AVANCÉE. Samy.

TCP/IP, NAT/PAT et Firewall

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

TP Réseau 1A DHCP Réseau routé simple

Sécurité et Firewall

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Programme formation pfsense Mars 2011 Cript Bretagne

Dispositif sur budget fédéral

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Application Note. WeOS Création de réseaux et de réseaux virtuels VLAN

comment paramétrer une connexion ADSL sur un modemrouteur

Travaux Pratiques Introduction aux réseaux IP

MAUREY SIMON PICARD FABIEN LP SARI

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Réseaux TP4 Voix sur IP et Qualité de service. Partie 1. Mise en place du réseau et vérification de la connectivité

Présentation du modèle OSI(Open Systems Interconnection)

2. DIFFÉRENTS TYPES DE RÉSEAUX

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Plan. Programmation Internet Cours 3. Organismes de standardisation

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS TRACE ÉLÉMENTS DE CORRECTION

La technologie de contrôle d accès réseau 802.1x et son implémentation pratique

Le filtrage de niveau IP

Le Multicast. A Guyancourt le

Administration Switch (HP et autres)

! "# Exposé de «Nouvelles Technologies Réseaux»

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

LES RESEAUX VIRTUELS VLAN

Spécialiste Systèmes et Réseaux

Déclaration des postes SIP 67xxi

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Compte-rendu du TP n o 2

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

TP4 : Firewall IPTABLES

Mise en place d'un Réseau Privé Virtuel

VTP. LAN Switching and Wireless Chapitre 4

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Figure 1a. Réseau intranet avec pare feu et NAT.

PROJET D INTERCONNEXION

Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

FORMATION CN01a CITRIX NETSCALER

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

dans un environnement hétérogène

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

SQUID Configuration et administration d un proxy

Formation Iptables : Correction TP

Exercice : configuration de base de DHCP et NAT

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Transcription:

Routage Inter-Vlan et filtrage ACL

Sommaire : Contexte : - Introduction (Contexte, Objectifs, Ressources) Mission 1 : - Schéma Logique - Maquette détaillé Mission 2 : - Activation des services - Conclusion

Contexte : Il s agit dans cette mission de mettre en place une infrastructure à deux ligues, mutualisant des ressources communes, sécurisé (les deux ligues ne doivent pas communiquer entre eux) et doivent pouvoir accéder aux ressources explicitement permis et à rien d autre. Objectifs : - Mettre en place des Vlans permettant la création d un réseau séparé des deux ligues. - Configuration des Switchs, adresser un port à un Vlan - Configuration du routeur par la mise en place du routage inter-vlan et les règles de filtrage. - Configuration du Serveur, Installation du service FTP et HTTP.

Mission 1 : Schéma logique Le schéma logique nous donne un premier aperçu des objectifs à atteindre et comment y parvenir. Maquette détaillé

La maquette nous permet de tester que les services et les réglages effectués fonctionnent est respects les objectifs fixé dans le cahier des charges. Nous allons donc détailler les réglages effectués sur le routeur et les switchs pour atteindre les objectifs fixés par la maison des ligues. Tout d abord intéressons-nous à l adressage des Vlans, ici nous disposons de 3 Vlans : - Vlan 51 la ligue d escrime - Vlan 52 la ligue de handball -Vlan 53 la zone administrative Les deux ligues doivent pouvoir accéder aux services de la zone administrative ou se trouve le serveur. On dispose donc dans ce schéma 3 sous réseaux : 172.16.0.0 /24 Vlan 51 172.16.64.0 /24 Vlan 52 172.16.128.0 /24 Vlan 53 Après avoir réfléchie à l adressage des Vlans, on va donc créer ces Vlans. Ici nous avons deux Switchs car les ligues ce trouve dans différents bâtiments le Switch 1 représente le bâtiment A et le Switch 2 le bâtiment B. Les deux ligues sont présentes dans les deux bâtiments. Ainsi pour que la ligue qui se situe dans le bâtiment A puisse communiquer avec sa ligue dans le bâtiment B il faut relier les deux switch. Création d un Vlan : - enable (permet de passer en mode privilégié pour configurer le switch) - configure terminal - Switch (config)# vlan 51 - Switch (config)# end Il suffit de faire de même pour les autres vlan. Pour vérifier que les Vlans ont bien était créé la commande «show vlan» nous affiche les Vlans présent sur le Switch ainsi que les affectations de port. Ici nous voyons bien que nos Vlans ont bien était ajouté. Nous voyons aussi les affectations de port aux différents Vlans.

Cela veut dire qu un poste qui se branchera sur l interface FastEthernet 0/2 recevra l adresse 172.16.0.1 qui correspond à la ligue escrime ainsi de suite. Dans ce PPE les adresses sont ajoutées manuellement. Pour affecter un port du switch au Vlan il faut procéder de la manière suivante : - enable - configure terminal - Switch (config)# interface FastEthernet 0/2 - Switch (config-if)# switchport access vlan 51 - Switch (config-if)# no shutdown -Switch (config-if)# exit -Switch (config)# exit On fait ensuite un show vlan pour vérifier que nos port ont bien étaient affectés aux Vlans. Maintenant on va voir la manipulation à faire pour ajouter une adresse IP à un poste il suffit d aller dans IP Configuration et de rentrer comme adresses IP : Adresse IP : 172.16.0.1 Masque de sous-réseau : 255.255.255.0 Passerelle par default : 172.16.0.254 Cette configuration correspond au Vlan 51 ligue d escrime, il suffit de faire de même pour les autres poste, les adresses IP changeront car il faudra les affectés à d autre Vlan. Après avoir affecté des adresses IP, les postes appartenant à un même Vlan devrait pouvoir communiquer entre eux. Nous remarquons que ce n est pas le cas lors d un envoie de paquet via la commande ping d un poste du bâtiment A vers le bâtiment B. Cela est tout à fait normal car il faut configurer la liaison entre les deux switch en «trunk» cela veut dire configurer une encapsulation des trames lorsqu elles transitent sur le lien de sorte que le switch la reçoit et peut relayer dans le vlan correspondant. Configuration d un Trunk : Le protocole VTP (Vlan Trunking Protocol) consiste donc à faire passer le trafic les différents VLAN. Nous allons réserver le port 1 comme lien trunk entre les deux switchs. Switch1# configuration terminale Switch1(config)# interface 0/11 Switch1(config-if)# shutdown Switch1(config-if)# switchport mode trunk (on met le port en mode trunk) Switch1(config-if)# no shutdown Switch1(config-if)# exit Switch1(config)# exit Switch1# vlan database Switch1(vlan)# vtp domain Domsio (définit un domaine global pour les VLAN) Switch1(vlan)# vtp server (définit le switch1 comme «Serveur») Switch1(vlan)#exit.

Switch2# configuration terminal Switch2(config)# interface 0/11 Switch2(config-if)# shutdown Switch2(config-if)# switchport mode trunk Switch2(config-if)# no shutdown Switch2(config-if)# exit Switch2(config)# exit Switch2# vlan database Switch2(vlan)# vtp domain Domsio Switch2(vlan)# vtp client (définit le switch2 comme «Client») Switch2(vlan)# exit On fait donc le test : Le PC0 relier au switch 1 va envoyer un paquet vers le PC4 relier au switch 2

C est deux postes sont dans le même sous-réseau, après avoir configuré le trunk sur les deux switchs les deux postes devrais pouvoir communiquer.

On remarque que le paquet à bien était transmis. Les postes d un même Vlan peuvent donc communiquer entre eux. Ces postes doit maintenant pouvoir accéder aux ressources de la zone administrative représenter par le Vlan 53. Pour le moment les vlans ne communiquent pas entre eux car ils sont dans des sousréseaux différents ce qui est problématiques car ils ne peuvent pas accéder aux ressources de la zone administrative. La solution est donc de faire un routage inter-vlan sur le routeur. Routage inter-vlan : Le routage inter-vlan permet donc aux différents Vlan de communiquer entre eux car il va router un paquet d un domaine de diffusion à un autre. On commence d abord par activer l interface FastEthernet 0/0 (interface du routeur) on fait donc un no shutdown. Ensuite on génère les interfaces virtuelles correspondantes à chacun des Vlans. Les interfaces virtuelles auront comme adresse IP : 172.16.0.254 pour le Vlan 51 172.16.64.254 pour le Vlan 52 172.16.128.254 pour le Vlan 53 Il est important d activer le trunk entre le routeur est le switch.

Voici comment configurer une interface virtuelle : Routeur1(config)# interface fastethernet 0/0.51 Routeur1(config-subif)# encapsulation dot1q 51 (N ou nom du vlan) Routeur1(config-subif)# ip address 172.16.0.254 255.255.255.0 Routeur1(config-subif)# exit Routeur1(config)# interface fastethernet 0/0.52 Routeur1(config-subif)# encapsulation dot1q 52 (N ou nom du vlan) Routeur1(config-subif)# ip address 172.16.64.254 255.255.255.0 Routeur1(config-subif)# exit Routeur1(config)# interface fastethernet 0/0.53 Routeur1(config-subif)# encapsulation dot1q 53 (N ou nom du vlan) Routeur1(config-subif)# ip address 172.16.128.254 255.255.255.0 Routeur1(config-subif)# exit Une fois la configuration en place, on devrait sans problème communiquer avec tous les Vlans. On prend comme exemple le PC0 qui va communiquer avec le PC1 situé dans le Vlan 52. On a donc PC0 qui est dans le Vlan 51 et le PC1 dans le Vlan 52 on va faire un ping du PC0 vers le PC1 pour s assurer que les deux vlan communique entre eux et donc que le routage intervlan a bien était configuré.

On voit donc bien que les ligues communiquent entre eux et donc qu ils peuvent accéder aux ressources issues du Vlan 53. Maintenant il reste plus qu à introduire des règles de filtrage pour que les ligues ne communiquent pas entre eux mais puisse accéder à des services bien précis situés dans la zone administrative. Règle de filtrage ACL : Voici la configuration : - enable - configure terminale - Routeur1(config)# access-list 1 deny 172.16.64.0 0.0.63.255 (interdire le trafic sur ce sousréseau) -Routeur1(config)#access-list 1 deny 172.16.128.0 0.0.63.255 -Routeur1(config)# access-list 1 deny any -Routeur1(config)# interface fastethernet 0/0.51 (On définit sur quel vlan cette règle s applique) -Routeur1(config)# ip access-group 1 in -Routeur1(config)# access-list 2 deny 172.16.16.0 0.0.63.255 -Routeur1(config)#access-list 2 deny 172.16.128.0 0.0.63.255 -Routeur1(config)#access-list 2 deny any -Routeur1(config)#interface fastethernet 0/0.52 -Routeur1(config)#ip access-group 2 in

Maintenant on va autoriser les vlan à accéder que au serveur uniquement pour que chaque poste puisse avoir accès au ressource. -Routeur1(config)#access-list 101 permit tcp 172.16.0.0 0.0.63.255 172.16.128.3 0.0.63.255 eq 21 (on a défini le trafic que sur le serveur 21 = FTP ) -Routeur1(config)#access-list 101 deny ip any any (Ici il faut mettre deny pour que les postes ne communique pas avec les autres postes de la zone administratif mais seulement avec le serveur) -Routeur1(config)#interface fastethernet 0/0.51 -Routeur1(config)#ip access-group 101 in -Routeur1(config)# access-list 102 permit tcp 172.16.64.0 0.0.63.255 172.16.128.3 0.0.63.255 eq 21 -Routeur1(config)# access-list 102 deny ip any any -Routeur1(config)#interface fastethernet 0/0.52 -Routeur1(config)#ip access-group 102 in On fait la même manipulation pour activer le service http il faudra donc changer le numéro de la liste et de préciser le port 80. Pour résumer on a bloqué tous le paquet d hôte sauf à la destination 172.16.128.3 qui est le serveur auquel on doit pouvoir avoir accès aux ressources ici on n a bien précisé quel ressources l on veut le port 21 est le service FTP et le port 80 le service HTTP. Les utilisateurs de la ligue d escrime aura donc accès au transfert de fichier et internet. Il suffit donc de faire pareil pour la ligue d handball. Mission 2 : Activation des services. Après avoir définis les règles de filtrage, on va maintenant installer ces services sur le serveur. Ici la manœuvre est très simple comme il s agit d un simulateur il suffit juste d activer le service FTP et http, il n y a donc aucun paramètre à effectuer.

On active donc le service FTP en sélectionnant on fait de même pour le service http. On va tester ensuite pour voir si l objectif a était atteint. Les ligues ne doit pas communiquer entre eux. On fait donc un ping du PC0 (Vlan 51) vers PC1 (Vlan52).

On remarque donc que les deux vlans ne communiquent pas entre eux.

Maintenant on va tester si on peut accéder aux ressources activé (FTP). On voit bien que l objectif à était mené à bien car les postes ont accès au serveur mais ne communique pas entre eux.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back