FANDOM


Précédent : 2017-11-09 / 420-R63-MA / Infrastructure réseau 2

VTP Edit

3 modes :

  • mode serveur ;
  • mode client ;
  • mode transparant.

Configuration Edit

Partie Trunk Edit

S1(config-if)# switchport mode trunk

Partie VTP Edit

S1(config)# vtp domain ccna
S1(config)# vtp version 2
S1(config)# vtp mode server|client|transparent
S1(config)# vtp password cisco

Partie VLAN

vlan 10
name Students
...

Commutateur niveau 3 Edit

[Ang.] Multilayer switch

Configuration d'un interface avec un routeur Edit

Configuration de l'interface Edit

Sur les switch niveau 3 seulement !

S1(config)# interface g0/1
S1(config-if)# no switchport
S1(config-if)# ip address 10.10.10.1 255.255.255.252
S1(config-if)# switchport trunk ensapsulation dot1q <― avant de mettre le port en mode trunk !
S1(config-if)# switchport mode trunk

Routage inter-VLAN au niveau du commutateur niveau 3 Edit

S1(config)# interface vlan 10
S1(config-if)# ip address 192.168.10.1
S1(config-if)# no shutdown
S1(config-if)# interface vlan 20
S1(config-if)# ip address 192.168.20.1
S1(config-if)# no shutdown
...
S1(config)# ip routing

Liste de contrôle d'accès (ACL) Edit

ACL ― un ensemble des règles séquentielles appliquées sur les interfaces qui permet de filtrer les paquets.

Par défaut ― aucun ACL. Un ACL se fait au niveau de routeur. Objective : le filtrage des paquets par une séquence de règles.

ACL 1
| 10 ACE 1
| 20 ACE 2
| ...
| 90 ACE 9
| deny any (invisible, par défaut !)
v

L'application de règles se fait sur interface et sur un sens (direction : entrant, sortant), et par groupe.

Fonctions de ACL Edit

  • Limitent le trafic réseau pour accroître les performances réseau.
  • Contrôlent le flux de trafic (diffusion des mises à jour de routage, etc)
  • Fournissent un niveau de sécurité de base pour accès réseau.
  • Filtrent le trafic en fonction de son type.
  • Filtrent les hôtes poru autoriser ou refuser l'accès aux services.

Filtrage de paquets : standard et étendu Edit

  • ACL 1..99 : standards (IP source) ― se placent près de la destination ;
  • ACL 100..199 : étendues (IP destination) ― se placent près de la source.

Plages supplamentaires (sur Sisco IOS 12.0.1+) ― ALC IPv4 étendués Edit

  • ACL 1300..1999 : standards (IP source)
  • ...

Les listes de contrôle d'accès (ACL) standard filtrent les paquets uniquemenet à la couche 3 ! Les filtrage par ACL étendues se fait au niveau de couches 3 et 4.

Critère de filtrage (ACL standard) ― l'adresse IPv4.

Un masque générique Edit

Signification de bits :

  • 0 ― la valeur du bit d'adresse doit correspondre !
  • 1 ― la valeur du bit d'adresse est ignorée

Les masques génériques = masques inverses (par rapport aux masques sous-réseau).

Calculation simplifiée de masque générique (soustraction) Edit

Base             : 255.255.255.255
Masque ordinaire : 255.255.255.0
Masque générique : 0  .0  .0  .255

Exemple d'application de masque Edit

Adresse IP à traiter : 192.168.10 .0   | 11000000.10101000.00001010.00000000
Masque générique     : 0  .0  .255.255 | 00000000.00000000.11111111.11111111
Adresse IP résultante: 192.168.0  .0   | 11000000.10101000.00000000.00000000

Cas spécifiques Edit

  • Masque générique d'un hôte : 0.0.0.0 = host
  • Masque générique d'un réseau /24 : 0.0.0.255
  • Masque générique de tout adresse : 255.255.255.255 = any

Attention ! ACL IPv6 n'utilise pas des masques génériques, mais plutôt la longueur de préfixe !

Configuration de ACL Edit

En général :

R1(config)# access-list <numéro> remark <Remarque sur la règle>
R1(config)# access-list <numéro> <permit/deny> <adresse réseau> <masque générique>

Exemples :

R1(config)# access-list 10 remark Permit un hoste
R1(config)# access-list 10 permit host 192.168.10.10
...
R1(config)# access-list 20 remark Permit un sous-reseau
R1(config)# access-list 20 permit 192.168.10.0 0.0.0.255

Vérification :

show access-lists <numéro>

Pour supprimer :

no access-list <numéro>

Attention ! C'est tout l'ACL qui sera supprimée (et pas une seule règle dans l'ACL <numero>) !

Pour appliquer un ACL sur une interface :

R1(config)# interface s0/0/0
R1(config-if)# ip access-group 1 out

ACL nommées Edit

En général (mode ACL):

R1(config)# ip access-list [standard/extended] <name>
R1(config-std-nacl)# deny host <adresse>
...
R1(config-std-nacl)# permit any

En mode ACL on peut éffacer des règles d'une ACL, pas seulement l'ACL entière !

R1(config-std-nacl)# no deny host <adresse>

ou avec les numéros des lignes :

R1(config-std-nacl)# no 10

Aussi, on peut ajouter des règles numérotées :

R1(config-std-nacl)# 10 deny host <adresse>

Vérification des ACL Edit

Les ACL qui s'appliquent sur un interface :

R1# show interface g0/0

Le contenu des ACL (avec les numéros de lignes et le statistique de matches) :

R1# show access-lists

Routage des paquets Edit

  1. Réception
  2. ACL de l'interface d'entrée
  3. Routage
  4. ACL de l'interface de sortie
  5. Envoi