R301 : Réseau de campus

-
les VLANs et les ACLs

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 1

 Objectif :

– Comprendre des principes généraux des VLANs

et routage inter VLAN
- Comprendre le fonctionnement les listes de
contrôles d’accès (ACL) sous CISCO

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 2

 SOMMAIRE

I- Les VLANs
II- Le routage inter-VLAN
III- Les ACLs

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 3

 I- les VLANs

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 4

I.1 – Les réseaux locaux virtuels

VLAN: Virtual LAN

•A ne pas confondre avec les VPN: Virtual Private Network et WLAN (Wireless
LAN)

•But :
–Découper un réseau local physique en plusieurs réseaux virtuels
–Les réseaux virtuels sont isolés les uns des autres
–Limite les domaines de diffusion: les trames en broadcast sont isolées
–Possible seulement avec un commutateur

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 5

I.2- Intérêt des VLANs

u Mettre en place plusieurs réseaux locaux virtuels sur un seul LAN physique
u Mise en œuvre simple et souple contrairement à du vrai câblage
u Isolation des VLANS : sécurité, confidentialité
u Administration plus aisée qu’une administration de niveau 3(routage)

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 6

I.3- Définitions de VLANs
Ø Plusieurs techniques pour définir un VLAN:
– Ports physiques des commutateurs
– Adresse MAC des ordinateurs
– Adresse IP des ordinateurs
– Protocole Réseaux

• Dans tous les cas : cela définit l’appartenance de chaque port du commutateur à
un ou plusieurs VLANs (table dans le commutateur)

• A la réception d’une trame sur un port, la trame n’est re-émise que sur le (ou
les) port (associé à l’adresse MAC destination) qui appartient au même VLAN

• Dans le cas d’une adresse destination broadcast, la trame est re-émise sur tous
les ports appartenant au même VLAN
IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 7
I.4- Définition de VLANs :
A l’aide des ports du commutateur
• On associe un numéro de VLAN à chacun des ports du commutateur
• Effectué par l’administrateur sur le commutateur
• Le plus simple et le plus sûr mais “statique”
• La définition du VLAN ne dépend que de la configuration du commutateur (un
utilisateur ne peut pas la changer)

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 8

I.5 – Définition de VLANs :
Par les adresses MAC
u Dans le commutateur il faut remplir une table (Adresse Mac, VLAN)
– L’association (port,VLAN) se fait à l’aide des premiers paquets portant l’adresse
MAC source

u Plus souple (nouveaux utilisateurs, portables, changement des branchements)

– On peut changer la liaison ordinateur/commutateur et appartenir toujours au
même VLAN

u Moins sûr:
– L’utilisateur peut changer de VLAN puisque l’on peut changer une adresse MAC
sur une machine !

u Plus lourd : connaissance des adresses MAC par l’administrateur

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 9

I.6 – Définition de VLANs :
Par les adresses IP
u Dans le commutateur il faut remplir une table (Adresse IP réseau, VLAN)
– L’association (port, VLAN) se fait à l’aide des premiers paquets portant l’adresse IP source

• Moins sûr:
– l’utilisateur peut changer d’adresse IP

• Moins performant:
– Analyse des entêtes IP
• Peu conventionnel : indépendance des couches
• Plus simple pour l’administrateur :

– Peut se faire à partir du plan d’adressage IP

• Souvent appelé VLAN par sous-réseau

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 10

I.7 – Les types de VLANs

VLAN par défaut : tous les ports de commutateur font partie de ce VLAN tant qu’aucun VLAN n’est configuré

• Sur un commutateur Cisco, c’est le VLAN n° 1, qui contient tous les ports physiques du commutateur.
VLAN de données : trafic généré par les utilisateurs (web, courriel transferts de fichiers, etc)

VLAN voix : il permet aux commutateurs d'acheminer le trafic VoIP (voix sur IP) provenant d'un téléphone IP, via des
mécanismes de QoS.
VLAN de gestion : utilisé pour accéder aux fonctionnalités d’administration distante du commutateur (Telnet / SSH)

• Pour des questions de sécurité, les postes d’administration du commutateur ne doivent pas être dans le même VLAN que
les utilisateurs.

VLAN natif : utilisé pour le trafic non étiqueté

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 11

I.8 – Les liens TRUNKS

- Un lien TRUNK est un lien qui permet de faire transiter plusieurs VLANs sur un
seul lien physique (Une "sorte" d'aggrégation de plusieurs lignes de
télécommunication ou de VLAN afin d'augmenter la bande passante...)

- Le standard 802.1Q :
- protocole qui permet de faire ces liens Trunks et qui permet aux switchs de
savoir à quel VLAN appartient une trame
- fournit un mécanisme d’encapsulation, où l’en-tête de trame est complété
par une balise (tag) de 4 octets, permettant notamment d’identifier les VLAN.

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 12

I.9 – Les liens TRUNKS

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 13

I.10 – Outils d’administration de VLAN

• Des outils d’administration permettent de configurer facilement les

commutateurs, de connaître la configuration du réseau et d’observer son utilisation
(statistiques...)

• Utilisation simple souvent à travers un navigateur WEB ou via une console

– On peut dans certains cas aussi centraliser cette administration sur une machine
à l’aide du protocole SNMP (Simple Network Management Protocol)

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 14

 II- le routage inter VLAN

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 15

II.1 – Le routage Inter VLAN

But : Permettre la communication entre VLANS

3 possibilités de mise en œuvre :

- routage par interfaces
- routage par agrégation de lien 802.1Q
- routage à l'aide d'un commutateur de niveau 3, dit aussi commutateur multicouche.

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 16

II.2 – Le routage Inter VLAN par
Interface
Le routage inter-VLANs par interface, dit aussi routage inter-VLANs « existant » consiste à affecter une interface physique d'un
routeur à chaque VLAN

Ce routage inter-VLANs « traditionnel », c'est à dire associant une interface physique du routeur par VLAN, est rarement utilisé dans les
réseaux actuels.

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 17

II.3 – Le routage Inter VLAN par agrégation de
lien 802.1Q
Le routage inter-VLANs par agrégation de lien 802.1Q consiste un lien trunk 802.1Q entre un ou plusieurs
commutateurs et une interface de routeur unique, selon la topologie suivante. Cette méthode porte également le
nom de routage inter-VLANs de type « Router-on-a-Stick »

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 18

II.4 – Le routage Inter VLAN routage à l'aide d'un commutateur
de niveau 3, dit aussi commutateur multicouche

Un commutateur de niveau 3, ou de couche 3, est un commutateur capable de réaliser du routage IP. Notamment, il peut
procéder au routage d'un VLAN vers un autre en utilisant plusieurs interfaces SVI (Switched Virtual Interface) et il peut convertir un port
de commutateur de couche 2 en interface de couche 3.
Sur les switch cisco Le routage n'est pas activé par défaut, et peut l'être par la commande :
Switch(config)#ip routing

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 19

 III-Les ACLs

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 20

III.1 – Les listes de contrôle d’accès

u Les listes de contrôle d’accès (Access Control List : ACL) définissent des règles qui permettent
d’empêcher certains datagrammes de circuler sur le réseau.
u Les ACL peuvent être utilisées dans le cadre d’une stratégie de sécurité des réseaux, dans les routeurs ou les
pare-feu.

u Il existe différentes implémentation : celle implémenté dans l’IOS de CISCO, l’Iptables, de Linux…

u Les ACLs permettent de « filtrer » certains datagrammes en fonction de critères définis par l’administrateur
du réseau :
u
• Les ACL standards filtrent uniquement en fonction de l’adresse IP source du datagramme ;

• Les ACL étendues filtrent sur quasiment tous les champs des entêtes IP, TCP, UDP, ICMP.

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 21

III.2 – Caractéristique d’une ACL CISCO

u Les paquets peuvent être filtrés :

• en entrée (quand ils entrent sur une interface) avant la décision de
routage ;
• en sortie (avant de quitter une interface) après la décision de
routage.
u Le mot clef pour signifier que les paquets doivent être filtrés, c’est
à dire refusés selon les critères définis par l’ACL, est deny.
u Le mot clef pour signifier que les paquets ne doivent pas être
filtrés est permit.
u On donnera soit un numéro, soit un nom, à une liste de contrôle
d'accès à appliquer sur une interface en entrée ou en sortie.

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 22

III.3 – les ACL standard sur un routeur
CISCO
u L'ACL standard filtre uniquement sur les adresses IP sources. Une instruction est de la forme:
access-list numéro-de-la-liste {permit|deny} {host|source source-wildcard|any}
u Dans cette notation, le symbole | représente « ou ». Le numéro de l’ACL standard est compris entre 1
et 99 ou entre 1300 et 1999.
u L’instruction permit ou deny peut porter sur un hôte identifié par son adresse IP (host), un ensemble
d’hôtes identifié par une adresse « de réseau » et un masque (wildcard), ou tous les hôtes (any).
u Les instructions qui composent une ACL sont prises en compte séquentiellement : il faut les éditer de
la plus précise vers la plus générale.
u Si une adresse IP source correspond à celle(s) spécifiée(s) par une instruction, l’action permit ou
deny s’applique, et les instructions suivantes ne sont pas exécutées.
u Par défaut, une ACL se termine toujours par deny any

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 23

III.4 – Le wildcard mask ou masque
générique
u Lors de la configuration d’une ACL, il est possible de spécifier une règle de filtrage portant sur une
plage d’adresses IPv4.
u Pour spécifier quelle partie de l’adresse IPv4 est à examiner lors de la recherche de correspondance,
CISCO utilise le masque générique, ou wildcard mask, qui ressemble à un masque de réseau
mais n’a pas la même fonction ni le même comportement :
• Les bits sont à 0 : le routeur doit comparer ces bits ;
• Les bits sont à 1 : le routeur ne doit pas tenir compte de ces bits (don’t
care bits).
u Retour à l’exemple précédent : on souhaite filtrer la plage d’adresses 172.16.0.0/24.
• Il faut examiner les trois premiers octets ;
• Le masque générique est donc : 0.0.0.255 ;
• L’instruction correspondante est :
access-list 10 deny 172.16.0.0 0.0.0.255
• Le masque générique est donc le complément à 1 du masque de réseau !

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 24

III.5 – les ACL étendues sur un routeur
CISCO
u Une ACL étendue filtre (notamment) sur les adresses IP source et destination, sur le protocole et les
numéros de port.
u L’instruction est de la forme :
access-list numéro de la liste {deny|permit} protocole source masque-source [operateur
[port]] destination masque-destination [operateur [port]][established][log]
u Le champ protocole permet de spécifier le protocole (IP, TCP, UDP).
u L’opérateur sur les ports peut prendre les valeurs lt (less than), gt (greater than), eq (equal), neq
(not equal) ou range (inclusiverange).
u Le champ optionnel established permet de désigne les connexionsTCP établies, tandis que log
permet de référencer l’exécution des instructions dans un journal (fichier log).

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 25

III.6 – Localisation d’une liste d’accès

u Chaque ACL doit être configurée sur le routeur et sur l’interface sur laquelle elle aura le plus
d’impact et la plus grande efficacité.

• Une ACL étendue doit être placée le plus proche possible de la source, afin de générer
le moins possible de trafic « inutile » (qui sera filtré), et de filtrer le plus tôt possible.

• Au contraire, une ACL standard, puisqu’elle ne spécifie pas d’adresse de destination, doit
être placée le plus proche possible de la destination ; sinon, on risque de détruire les
datagrammes trop tôt.

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 26

III.7- Les ACL nommées

u Une ACL numérotée peut se composer de plusieurs instructions. Mais la

seule façon de la modifier est de la supprimer : no access-list number, puis
de la redéfinir. Il est impossible de modifier/supprimer une seule règle.
u Les ACLs nommées identifient les ACL standards et étendues par des noms,
plutôt que par des nombres :
• Identifier plus intuitivement une ACL ;
• Configurer plusieurs ACL standards et plusieurs ACL étendues dans un
routeur pour un protocole donné ;
• Supprimer des règles (instructions) individuelles au lieu de toute l'ACL.
• Et c’est la seule possibilité en IPv6 !
u Définition d’une ACL nommée :
ip access-list {standard | extended} name

IUT de la REUNION - GRONDIN Olivier - Routage Dynamique 27