VACL, liste d'accès appliquée à un vlan

Qu' es donc ? A quoi cela peut il servir ?

Une VACL est une liste d'accès appliquée sur un ou plusieurs vlans. Forcement …. C'est dans le nom.

Elle a comme particularité d'être bi-directionnelle, on ne configure pas de in ou de out à l'instar d'une ACL classique configurée sur une interface physique.


L'utilité de la chose est bien entendue de pouvoir autoriser ou interdire du trafic entre vlan. On va me dire : un vlan est déjà une segmentation de réseau, un utilisateur dans un vlan 2  ne peut communiquer avec un autre dans un vlan 3. C'est vrai tant que l'on utilise des vlans de niveau 2 mais dès qu'une gateway est configurée via une interface vlan 2 par exemple, le commutateur va automatiquement forwarder le trafic entre les vlans de niveau 3.

Pour éviter cela, il est possible de :

1. Configurer des ACL sur notre commutateur de niveau 3. Ce n'est pas évident avec les sens de trafic. De plus les données auront eu le temps de consommer de la bande passante sur notre réseau avant d'être rejetté par la gateway, on a connu mieux ….
2. Configurer des PACL, oui mais pas là, ça marche surtout pour qqls stations en utilisant des @ MAC.
3. Configurer des VACL: c'est la solution ! Nous allons configurer celles-ci sur les commutateurs de niveau 2 SW1 et SW2. Le trafic sera alors checké au plus près de l'utilisateur ce qui est mieux  pour la sécurité et l'utilisation de notre réseau.

Certains administrateurs utilisent un vlan d'administration, les VACL permettent de rendre étanche celui-ci vis à vis des différents vlans utilisateurs.



Voici pour le pourquoi du comment, voyons maintenant comment configurer ces VACL.

1. Première étape : le trie du trafic.

Cette première partie est sans aucun doute la plus délicate et difficile. Elle est en plus primordiale dans ce qui va suivre.
J'attire l'attention du lecteur sur le fait que cette étape, c'est vraiment la base de toute configuration dite avancée : sans cela, pas de route-map, pas de QoS, …Nous allons voir dans les quelques lignes qui vont suivre comment trier le trafic intéressant ... ou pas !

Le trafic est trié grâce à des … ACL. Le plus important à mon sens est de comprendre cela :
ALLOW : le traffic match
DENY : le trafic ne match pas

Attention : un flux deny n'est pas forcement dropé par le commutateur.

On peut utiliser des ACL standard ou étendu, la profondeur du check est au choix de l'administrateur.

Dans le cas d une configuration complexe mélangeant PACL, VACL et ACL, le commutateur applique les priorités suivantes :

PACL plus fort que VACL plus fort que ACL.

2. Création du vlan access-map

Le commutateur va checker un par un les vlan access-map jusqu’à  trouver une correspondance, si à la fin il n y a en pas, le trafic est droppé.

Exemple :

Vlan access-map VACL_TEST 10

Match ip address Nom_de_l_ACL

Action drop

Vlan access-map VACL_TEST 20

Action forward

Si le test est positif, c'est à dire si le trafic match l ACL, il est dropé, sinon il est autorisé.

3. Application sur les vlans

La dernière étape de la création de la liste d accès est l'application aux vlans. On reprend notre VACL TEST :

Vlan filter VACL_TEST vlan-list 2

J'applique l access-map VACL_TEST sur le vlan 2.

En clair, le trafic provenant ou se dirigeant vers le vlan 2 qui vérifie ' access-map est dans notre cas dropé.

4. Exemples

Suivant les exigences du réseau il faudra jouer avec les deny et les allow dans nos ACL, comme vous avez vu précédemment, ceux sont ces termes qui jouent sur l'application ou non de la règle sur le trafic.

ip access-list exten Visioconference_ACL

deny ip 100.19.114.0 0.0.0.255 any

deny ip 100.19.122.0 0.0.0.255 any

deny ip 100.19.134.0 0.0.0.255 any

permit ip any any

vlan access-map Visioconference 10

match ip address Visioconference_ACL

action drop

vlan access-map Visioconference 20

action forward

vlan filter Visioconference vlan-list 4

Quel est le résultat de cet ensemble de commandes pour le vlan 4 ?

Tout d abord on peut voit 3 adresses avec le paramètre deny, elles ne matcheront donc pas.

La commande permit ip any any signifie tout le trafic, quelque soit la source et la destination.

On en déduit que tout le trafic sauf si il a une source correspondant aux trois adresses deny sera dropé par le commutateur.

A savoir si on aurait pu prendre le problème à l'envers, c 'est à dire tout autoriser et dropper simplement le trafic provenant ou allant vers ces trois adresses ? La réponse est OUI, chacun doit appliquer sa propre logique pour pouvoir si retrouver ....

5. Conclusion

Les VACL sont un outil puissant qui peut rendre le troubleshooting intéressant … à s'en arracher les cheveux.

La chose doit être bien planifiée et pensée, ne pas la configurer à la légère sous peine de faire de gros dégâts sur le réseau.

La chose vraiment importante dans ce topique est la notion de trie de trafic. Le prochain topique qui concernera le routage s'appuiera grandement dessus.

Bon clic a tous,