Une VACL est une liste d'accès appliquée sur un ou plusieurs vlans. Forcement …. C'est dans le nom.
Elle a comme particularité d'être bi-directionnelle, on ne configure pas de in ou de out à l'instar d'une ACL classique configurée sur une interface physique.
L'utilité de la chose est bien entendue de pouvoir autoriser ou interdire du trafic entre vlan. On va me dire : un vlan est déjà une segmentation de réseau, un utilisateur dans un vlan 2 ne peut communiquer avec un autre dans un vlan 3. C'est vrai tant que l'on utilise des vlans de niveau 2 mais dès qu'une gateway est configurée via une interface vlan 2 par exemple, le commutateur va automatiquement forwarder le trafic entre les vlans de niveau 3.
Pour éviter cela, il est possible de :
- Configurer des ACL sur notre commutateur de niveau 3. Ce n'est pas évident avec les sens de trafic. De plus les données auront eu le temps de consommer de la bande passante sur notre réseau avant d'être rejetté par la gateway, on a connu mieux ….
- Configurer des PACL, oui mais pas là, ça marche surtout pour qqls stations en utilisant des @ MAC.
- Configurer des VACL: c'est la solution ! Nous allons configurer celles-ci sur les commutateurs de niveau 2 SW1 et SW2. Le trafic sera alors checké au plus près de l'utilisateur ce qui est mieux pour la sécurité et l'utilisation de notre réseau.
Certains administrateurs utilisent un vlan d'administration, les VACL permettent de rendre étanche celui-ci vis à vis des différents vlans utilisateurs.
Voici pour le pourquoi du comment, voyons maintenant comment configurer ces VACL.
Première étape : le trie du trafic.
J'attire l'attention du lecteur sur le fait que cette étape, c'est vraiment la base de toute configuration dite avancée : sans cela, pas de route-map, pas de QoS, …Nous allons voir dans les quelques lignes qui vont suivre comment trier le trafic intéressant ... ou pas !
Le trafic est trié grâce à des … ACL. Le plus important à mon sens est de comprendre cela :
ALLOW : le traffic match
DENY : le trafic ne match pas
Attention : un flux deny n'est pas forcement dropé par le commutateur.
On peut
utiliser des ACL standard ou étendu, la profondeur du check est au
choix de l'administrateur.
Dans
le cas d une configuration complexe mélangeant PACL, VACL et ACL, le
commutateur applique les priorités suivantes :
PACL plus
fort que VACL plus fort que ACL.
Création du vlan access-map
Exemple :
Vlan
access-map VACL_TEST 10
Match
ip address Nom_de_l_ACL
Action
drop
Vlan
access-map VACL_TEST 20
Action
forward
Si le test
est positif, c'est à dire si le trafic match l ACL, il est dropé,
sinon il est autorisé.
Application sur les vlans
La dernière
étape de la création de la liste d accès est l'application aux
vlans. On reprend notre VACL TEST :
Vlan
filter VACL_TEST vlan-list 2
J'applique
l access-map VACL_TEST sur le vlan 2.
En clair,
le trafic provenant ou se dirigeant vers le vlan 2 qui vérifie '
access-map est dans notre cas dropé.
Exemples
Suivant les
exigences du réseau il faudra jouer avec les deny et les allow dans
nos ACL, comme vous avez vu précédemment, ceux sont ces termes qui
jouent sur l'application ou non de la règle sur le trafic.
ip
access-list exten Visioconference_ACL
deny
ip 100.19.114.0 0.0.0.255 any
deny
ip 100.19.122.0 0.0.0.255 any
deny
ip 100.19.134.0 0.0.0.255 any
permit
ip any any
vlan
access-map Visioconference 10
match
ip address Visioconference_ACL
action
drop
vlan
access-map Visioconference 20
action
forward
vlan filter
Visioconference vlan-list 4
Quel est le
résultat de cet ensemble de commandes pour le vlan 4 ?
Tout d
abord on peut voit 3 adresses avec le paramètre deny, elles ne
matcheront donc pas.
La commande
permit ip any any signifie tout le trafic, quelque soit la source et
la destination.
On en
déduit que tout le trafic sauf si il a une source correspondant aux
trois adresses deny sera dropé par le commutateur.
A savoir si on aurait pu prendre le problème à l'envers, c 'est à dire tout autoriser et dropper simplement le trafic provenant ou allant vers ces trois adresses ? La réponse est OUI, chacun doit appliquer sa propre logique pour pouvoir si retrouver ....
Conclusion
Les VACL
sont un outil puissant qui peut rendre le troubleshooting intéressant
… à s'en arracher les cheveux.
La chose
doit être bien planifiée et pensée, ne pas la configurer à la
légère sous peine de faire de gros dégâts sur le réseau.
La chose
vraiment importante dans ce topique est la notion de trie de trafic.
Le prochain topique qui concernera le routage s'appuiera grandement
dessus.
Bon clic a
tous,
Aucun commentaire:
Enregistrer un commentaire