Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH

INTRODUCTION : RACL VS VACL Une VACL Contient des régles, chacune ayant un numéro de séquence. Pour chacune de
ces règles on doit identifier le trafic correspondant à l’aide de « match », à laquelle onfait
correspondre une « action » qui peut être l’une des trois suivantes :
• Forward: le trafic est traité normalement.(Laisser passer)
- On peut ajouter le mot « vlan » pour rediriger le trafic vers une autre vlan.
- On peut ajouter le mot « capture » pour capturer le trafic.
• Drop : rejeter le trafic.
- On peut ajouter le mot « log » pour journaliser le trafic vers un serveur Syslog.
• Redirect : le trafic est redirigé vers une interface spécifique. (Jusqu’à 5 interfaces)
- On peut intercepter le trafic et le rediriger vers une interface SPAN.
Commandes : Application de VACL à un vlan
vlan filter map_name vlan-list vlan_list | interface

RACL : VACL : - VLAN access-maps peut s’appliquer à plusieurs vlans.

Les ACLs classiques (Access Control A la différence de RACL qui s’applique sur
Lists) appelées RACL (Router-based un routeur, et qui ne peuvent que filtrer
ACL) Permet de filtrer le trafic qui qu’entre les VLAN, les VACL permettent EXEMPLE PRATIQUE : FILTRAGE COUCHE 3
circule d’un réseau à un autre, par de filtrer le trafic au sein d’un même TP : on veut isoler le serveur : empêcher le PCA et PCB d’accéder au serveur.
exemple dans le cas de VLAN : il VLAN : elle permet d’autoriser ou non la
permet de filtrer le trafic qui est propagation d’une trame ou bien la
routé d’un VLAN à l’autre. rediriger vers une interface spécifique. Etape 1 :
Les VACL s’appliquent sur les switches. (1) - Créer une access-list qui autorise le trafic depuis PC1
et PC2 vers le serveur. Ce trafic sera rejeté par la
AVANTAGES DE VACL suite.
Parmi les Avantages des VACL on peut citer :
- Filtrer le trafic au sein de même vlan, ou entre plusieurs vlans.
- Supporte le filtrage Couche 2 (mac access-list) ou Couche 3 ( ip access-list). (2) Switch(config)# ip access-list extended NOT-TO-SERVER
- Capturer le trafic afin de le superviser par un logiciel client (Comme SPAN (3)) Switch(config-ext-nacl)# permit ip host [Link] host [Link]
- Supporte la journalisation du trafic. Switch(config-ext-nacl)# permit ip host [Link] host [Link]
- Intercepter le trafic d’un vlan et le rediriger vers une interface spécifique. Switch(config-ext-nacl)# exit
- Permet d’isolation pour une meilleur gestion et protection des ressources (Comme
PVLAN (3))
Etape 2 : on crée une VACL telle que :
PRINCIPE DE FONCTIONNEMENT - Tout trafic correspondant au NOT-TO-SERVER sera rejeté.
- Tout autre trafic sera autorisé.
Commandes : Déclaration et configuration de VACL. Switch(config)#vlan access-map VACL 10
vlan access-map map_name 0 -65535 (default sequence is 10, 20, etc.) Switch(config-access-map)#match ip address NOT-TO-SERVER
Switch(config-access-map)#action drop
match ip address ip_acl_name | mac address mac_acl_name
Switch(config-access-map)#exit
action drop | forward | redirect Switch(config)#vlan access-map VACL-1 20
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
(1) Exemple : Cisco Catalyst 6500
(2) Example : on peut filtrer le trafic de Couche 3 et laisser le trafic de couche 2. Etape 3 : On applique la VACL crée sur le vlan 10
(3)
SPAN : Permet de copier le trafic et l’envoyer vers une destination pour l’analyser. Switch(config)#vlan filter VACL vlan-list 10
(4)
PVLAN : Permet de gérer les vlans ( Privé , communauté ) .Consulter le cours. [PVLAN-CCNP]
Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH
VACL : REDERIGER LE TRAFIC VLAN CAPTURE PORT
VACL peut être configuré afin de rediriger des types de trafics vers des différents Capture port : est une fonctionnalité similaire au port destination de SPAN, il permet de
capturer le trafic afin de le superviser par un logiciel client (Exemples : Snort , Wireshark).
interfaces.(maximum 5 interfaces).
On peut capturer le trafic de plusieurs vlans avec un seul port.

Exemple Pratique : Exemple pratique : Capturer tout le trafic web des clients vlan 100 et 200
Dans ce TP , on veut rediriger le Switch(config)#ip access-list extend WEB-TRAFIC
trafic de VLAN99 ( WEB , TELNET Switch(config-ext-macl)#permit tcp any any eq 80
, UDP) vers les serveurs Switch(config)#vlan access-map VACL_HOST
(analyseurs ). Switch(config-access-map)#match ip address WEB-TRAFIC
Switch(config-access-map)#action forward capture
Switch(config)#vlan access-map VACL_HOST 99 (4)
Switch(config-access-map)#action forward
Etape 1 : Création des access-list pour chaque Trafic : Switch(config-access-map)#vlan filter VACL_HOST vlan-list 100,200
- Autoriser le trafic (WEB ,TELNET,UDP) Switch(config)#interface Fa3/30
Switch(config)# access-list 101 permit tcp any any eq www Switch(config-if)#switchport capture
Switch(config)# access-list 102 permit tcp any any eq telnet
Switch(config)# access-list 103 permit udp any any eq udp
VACL : JOURNALISATION (VLAN ACCESS-LOG)
• Seulement le trafic abandonné qui sera journalisé, la journalisation dépend du son
Etape 2 : Création de VACL : débit. Les journaux sont stockés dans la table Vlan Acess-log,lorsqu’elle est
- Créer VACL pour chaque trafic et le rediriger vers les interfaces des saturé[Link] nouveaux entrés sont abandonné[Link] table peut contenir 500 entrés par
serveurs analysuers. [Link] peut définir sa taille par la commande :
Switch(config)#vlan access-log maxflow Taille.
Switch(config)#vlan access-map DIV-3 10 Pour effacer a table il suffit de remplacer la taille par la valeur 0 .
Switch(config-access-map)#match ip address 101
Switch(config-access-map)#action redirect G6/26 • On peut spécifier quand la journalisation peut commencer (après un certain nombre de
Switch(config-access-map)#exit paquets, cette fonctionnalité est désactivée par défaut).
Switch(config)#vlan access-log threshold packet_count
Switch(config)#vlan access-map DIV-3 20
Switch(config-access-map)#match ip address 102 • On peut définir la fréquence limite de nombre des paquets par seconde (par défaut
Switch(config-access-map)#action redirect G6/27 2000 pps) qui peuvent être enregistré dans la table [Link] paquets qui ont une
Switch(config-access-map)#exit fréquence supérieure seront abandonnés
Switch(config)#vlan access-log ratelimit pps (0-5000)
Switch(config)#vlan access-map DIV-3 30
Switch(config-access-map)#match ip address 103
Switch(config-access-map)#action redirect G6/28
Diagnostique :
Switch(config-access-map)#exit Afficher de la configuration de la table , ratelimiter et threshold :
Switch#show vlan access-log config
Switch(config)#vlan access-map DIV-3 99
Switch(config-access-map)#action forward Afficher la Table de journalisation( id, src/dest ip , src/dest Port , nbr d’entrés.)
Switch(config-access-map)#exit Switch#show vlan access-log config
(4)
Si on ne spécifie pas le numéro de sequence 99 , tout autre trafic sera rejeté
Etape 3 : Appliquer la VACL sur le vlan 999 : VACL Pour Private-VLANs : Pour Filtrer un trafic ip, il faut appliquer VACL sur les vlans privés
primaire et secondaire.
Switch(config)#vlan filter DIV-3 vlan-list 999
Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH

Commandes CISCO : Dans ce TP , on veut que :

- Objectif 1 : PC1 ne puisse pas utiliser le serveur HTTP (Filtrage TCP )
Déclaration de VACL :
Switch(config)#vlan access-map NOM-VACL 10 [N° de séquence : optionnel] - Objectif 2 : PC0 et PC1 ne puisse pas se communiquer (Filtrage MAC)

Spécifier le critére de VACL [Depend de l’acl de depart] :

Switch(config-access-map)#match ip/ipv6 address ( selon flux ip/ipv6)
Solution Suggérée :
Switch(config-access-map)#match mac address ( selon l’adresse MAC ) Etape 1 : Créer des ACL étendues :
- Access-list qui permet au PC1 d’utiliser le serveur http.
- Access-list qui permet au PC0 et PC1 de se communiquer.
Spécifier l’action appliqué au trafic correspond àl l’ACL :
Switch(config-access-map)#action forward ( autoriser le trafic) Switch(config)#access-list 101 permit tcp host [Link] host [Link] eq 80
Switch(config-access-map)#action redirect ( Rediriger le trafic vers une interface ) Switch(config)#mac access-list extended ACL1
Switch(config-access-map)#action forward capture ( Capturer le Trafic ) Switch(config-ext-macl)#permit host 00E0.F71E.AEE7 host 0090.2191.9EC3
Switch(config-access-map)#action drop ( Abandonner le trafic) Switch(config-ext-macl)#permit host 0090.2191.9EC3 host 00E0.F71E.AEE7
Switch(config-access-map)#action drop log (Avec génération de message log) Switch(config-ext-macl)#exit

Appliquer VACL au Vlan : Etape 2 : L’objectif 1 : on crée une VACL-1

Switch(config)#vlan filter map-name vlan-list 100 [ un seul vlan ] - Tout trafic correspondant au ACL 101 sera rejeté.
Switch(config)#vlan filter map-name vlan-list 30-40 [ interval ] - Tout autre trafic sera laissé passer.
Switch(config)#vlan filter map-name vlan-list 30 , 40 [ plusieurs Vlans ] Switch(config)#vlan access-map VACL-1
Switch(config-access-map)#match ip address 101
Journalisation : Pour Définir : Switch(config-access-map)#action drop
La taille de table VACL Log (500 par defaut) : Switch(config-access-map)#exit
Switch(config)#vlan access-log maxflow Taille. (0-2048) Switch(config)#vlan access-map VACL-1
La fréquence des paquets/s : (2000 par defaut) Switch(config-access-map)#action forward
Switch(config)#vlan access-log ratelimit pps (0-5000) Switch(config-access-map)#exit
La quantité des paquet a partir du quels la journalisation commence :
Switch(config)#vlan access-log threshold packet_count Etape 3 : L’objectif 2 : on crée une VACL-2
- Tout trafic correspondant au accces-list ACL 1 sera rejeté.
Diagnostique : - Tout autre trafic sera laissé passer.
Switch#show vlan access-map Switch(config)#vlan access-map VACL-1 10
Switch#show vlan filter vlan 100 Switch(config-access-map)#match mac address ACL1
Switch#show vlan filter access-map VACL-2 Switch(config-access-map)#action drop
Switch(config-access-map)#exit
Switch(config)#vlan access-map VACL-1 20
Exemple Pratique : Switch(config-access-map)#action forward
Switch(config-access-map)#exit

Etape 4 : On applique les VACL crées sur le vlan 100

Switch(config)#vlan filter VACL-1 vlan-list 100
Switch(config)#vlan filter VACL-2 vlan-list 100

- On peut effectuer un filtrage ip au lieu de mac pour empêcher la communication entre PC0 et PC1.
- On peut définir plusieurs critères dans une même VACL
- n° de séquence : permet de déterminer l’ordre de l’action en cas de plusieurs VACL (optionnel.).
- Les ACL et les VACL sont supportés seulement dans quelques Switch L3 : Catalyst 3560 , 3750x ,6500….
Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH

Exemple Pratique 1 : VACL pour Capturer le trafic Exemple Pratique 2 : VACL pour ISOLER LES ressources
Objectives de la configuration : En utilisant Objectives de la configuration : En utilisant les VACL
les VACL , nous allons faire en sorte que : , nous allons faire en sorte que :
Objectif 1 : Objectif 1 :
- Capturer le trafic [WEB] de vlan 100. - PC1 peut communiquer avec PC2 et PC3.
- Capturer le trafic [HTTPS] de vlan 200. - PC2 et PC3 ne peuvent pas communiquer entre eux.
Objectif 2 : Objectif 2 : (Isoler le serveur )
- Empêcher la communication entre vlan 100 et 200. - Les PC de vlan 100 ne peuvent pas communiquer
avec le serveur.
Solution Suggérée :
1- Etape 1 :
- Deux ACLs étendues : pour autoriser le trafic WEB de vlan 100 et HTTPS de vlan 200. Solution Suggérée :
- Créer une ACL étendue pour autoriser le trafic entre vlan 100 et vlan 200.
1- Etape 1 :
Switch(config)#ip access-list extended WEB-TRAFIC ACLs étendues PC : pour autoriser la communication entre PC1 et PC2 , PC1 et PC3.
Switch(config-ext-nacl)#permit tcp [Link] [Link] any eq 80 ACL étendue 101 : pour autoriser le trafic entre les PC de vlan 100 vers le serveur.
Switch(config-ext-nacl)#exit
Switch(config)#ip access-list extended HTTPS-TRAFIC Switch(config)#ip access-list extended PC
Switch(config-ext-nacl)#permit tcp [Link] [Link] any eq 443 Switch(config-ext-nacl)#permit ip host [Link] host [Link]
Switch(config-ext-nacl)#exit Switch(config-ext-nacl)#permit ip host [Link] host [Link]
Switch(config-ext-nacl)#exit
Switch(config)#ip access-list extended VLAN100-200
Switch(config-ext-nacl)#permit tcp [Link] [Link] [Link] [Link] Switch(config)#access-list 101 permit ip any host [Link]
Switch(config-ext-nacl)#permit tcp [Link] [Link] [Link] [Link]
Switch(config-ext-nacl)#exit 2- Etape 2 : On va créer Deux VACL nommé PC-VACL et NOT-TO-SERVER :
PC-VACL : Tout trafic correspondant au accès-list créé (PC) sera abandonné.
2- Etape 2 : Tout autre trafic sera laissé passer.
- VACL_CAPTURE : afin de capturer le trafic correspondant au ACL crée dans NOT-TO-SERVER : Tout trafic correspondant au accès-list créé (PC) sera abandonné.
l’étape 1. Autre trafic sera laissé sans capture. Tout autre trafic sera laissé passer.
- VACL_BLOQUE : Tout trafic entre vlan 100 et 200 sera abandonné. Switch(config)#vlan access-map PC-VACL 10
Switch(config)#vlan access-map VACL_CAPTURE Switch(config-access-map)#match ip address PC
Switch(config-access-map)#match ip address WEB-TRAFIC Switch(config-access-map)#action drop
Switch(config-access-map)#match ip address HTTPS-TRAFIC Switch(config-access-map)#exit
Switch(config-access-map)#action forward capture Switch(config)#vlan access-map PC-VACL 20
Switch(config)#vlan access-map VACL_HOST 99 Switch(config-access-map)#action forward
Switch(config-access-map)#action forward Switch(config-access-map)#exit
Switch(config-access-map)#exit
Switch(config)#vlan access-map NOT-TO-SERVER
Switch(config)#vlan access-map VACL_BLOQUE Switch(config-access-map)#match ip address 101
Switch(config-access-map)#match ip address VAN100-200 Switch(config-access-map)#action drop
Switch(config-access-map)#action drop Switch(config-access-map)#exit
Switch(config)#vlan access-map VACL_BLOQUE 99 Switch(config)#vlan access-map NOT-TO-SERVER
Switch(config-access-map)#action forward Switch(config-access-map)#action forward
Switch(config-access-map)#exit Switch(config-access-map)#exit

3- Etape 3 : Appliquer les deux VCL crées au vlan 100 et 200 : 3- Etape 3 : Enfin, on vas appliquer cette VACL sur vlan 100 :
Switch(config)#vlan filter VACL_CAPTURE vlan-list 100,200 Switch(config)#vlan filter PC-VACL vlan-list 100
Switch(config)#vlan filter VACL_BLOQUE vlan-list 100,200 Switch(config)#vlan filter NOT-TO-SERVER vlan-list 100
Techniques des Réseaux Informatiques CCNP Switch - VACL Réalisé par : OUSSAMA NAZIH

Exemple Pratique 3 : FORMATION INE Exemple Pratique 4 : FORMATION INE

Travail Demandé : Travail Demandé :

• Permet au PC1 de réaliser un ping sur tout les PC sauf PC3. • PC1 et PC2 sont autorisés de se connecter en telnet l’un avec l’autre.
• PC2 et PC3 ne peuvent pas accéder en telnet sur chacun. • Tout autre trafic dans vlan 1 sera abandonné.
• Tout autre Traffic est autorisé.
Réponse :
Réponse : Étape 1 : Créer les Accès list : (ce trafic sera abandonné par la suite)
Étape 1 : Créer les Accès list : (ce trafic sera abandonné par la suite) - Abandonner la connexion en telnet entre PC1 et PC2.
- Permet au PC1 de réaliser un ping sur PC3. - Tout autre trafic dans vlan 1 sera autorisé
- Permet au PC2 et PC3 de se communiquer en telnet. Switch(config)#ip access-list extended ACL2
Switch(config)#ip access-list extended ACL1 Switch(config-ext-nacl)#deny tcp host [Link] host [Link] eq telnet
Switch(config-ext-nacl)#permit icmp host [Link] host [Link] echo Switch(config-ext-nacl)#deny tcp host [Link] host [Link] eq telnet
Switch(config-ext-nacl)#permit tcp host [Link] host [Link] eq telnet Switch(config-ext-nacl)#permit ip any any.
Switch(config-ext-nacl)#permit tcp host [Link] host [Link] eq telnet Switch(config-ext-nacl)#exit
Switch(config-ext-nacl)#exit
Étape 2 : Appliquer la VACL sur le VLAN 1 :
Étape 2 : Appliquer la VACL sur le VLAN 1 : - Tout le trafic correspondant au ACL ACL2 sera abondonné
- Tout le trafic correspondant au ACL ACL1 sera abandonné. - Tout autre Trafic dans vlan 1 sera abandonné.
- Tout autre Traffic sera Autorisé. Switch(config)#vlan access-map INE 10
Switch(config)#vlan access-map INE 10 Switch(config-access-map)#match ip address ACL2
Switch(config-access-map)#match ip address ACL1 Switch(config-access-map)#action drop
Switch(config-access-map)#action drop Switch(config)#vlan access-map INE 20
Switch(config)#vlan access-map INE 20 Switch(config-access-map)#action forward
Switch(config-access-map)#action forward Switch(config-access-map)#exit
Switch(config-access-map)#exit
Étape 3 : Appliquer la VACL sur le VLAN 1 :
Étape 3 : Appliquer la VACL sur le VLAN 1 : Switch(config)#vlan filter INE vlan-list 1
Switch(config)#vlan filter INE vlan-list 1