Exemples de paramètrage ACL VLAN niveau 3 DES-3828 Exemples de paramètrage ACL VLAN niveau 3 Par Yves REMY 10 Aout 2006
Exemple d’architecture VLAN: VID1 VID2 VID3 Vlan default 1-8 & ports 27-28 tagged Adresse IP 192.168.1.1/24. Serveur IP: 192.168.1.250/24 2. Vlan 2 “toto” 9-16 Adresse IP 192.168.10.1/24. 3. Vlan 3 “titi” 17-24 Adresse IP 172.16.0.1/16 Serveur
Introduction: Nous souhaitons réaliser le paramétrage des « Access List » pour les VLANs de Niveau 3, correspondant au schéma proposé. Nous avons préalablement créer les 3 VLANS de l’exemple (sinon consulter la documentation «Exemple_DES-3828_VLAN_N3 » ) et nous désirons que: Tout le monde ait accès au serveur (IP:192.168.1.250/24). Que chaque Vlan ne puisse pas communiquer avec les autres. Soit les membres du vlan1 communiquent qu’ avec les membres du VLAN1. Soit les membres du vlan2 communiquent qu’ avec les membres du VLAN2. Soit les membres du vlan3 communiquent qu’ avec les membres du VLAN3.
ETAPE 1: « on doit spécifier une adresse ip au DES-3828 ». Procédure: Connectez un PC au switch via un câble série. Lancez un émulateur de terminal (minicom sous linux, ou Hyper Terminal sous Windows),le configurer en 9600 8 N1.
Sauvez ensuite la modification, (commande:save) Spécifiez une adresse IP sur le commutateur: Saisissez la commande suivante à l’invite de commande : DES-3828# config ipif System ipaddress xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy (les x représentent l’adresse IP et les Y le masque de sous réseau). Sauvez ensuite la modification, (commande:save)
ETAPE 2: « Connexion sur l’interface WEB » Procédure: Lancez votre Navigateur Internet en précisant l’adresse http://192.168.1.1 Par défaut, il n’y a pas de « Nom de l’utilisateur » ni « Mot de passe »
Une fois connecté l’ Interface web ci-dessous s’affiche:
Une fois vos créations de VLANs Terminées, vous pouvez faire une vérification rapide de l’attribution des ports pour chaque VLAN.
ETAPE 3: « on affecte une adresse IP aux différents VLANs ». Procédure: Sélectionnez « L3 Features »et cliquez sur « IP Interfaces Setting ». Cliquez ensuite sur « Add » pour créer une nouvelle Interface IP.
Précisez le nom de l’interface. Spécifiez l’adresse IP ainsi que le masque de sous réseau. Précisez Le nom du VLAN (le même que celui créer dans « Static VLAN Entry »). Sélectionnez « Enable » et faîtes « Apply ».
vous pouvez faire une vérification rapide de l’attribution des adresses IP pour chaque VLAN.
ETAPE 4: « Création des Access List ». Sélectionnez « ACL »et cliquez sur « Access Profile Table » Cliquez ensuite sur « Add Profile» pour créer une nouvelle règle.
ETAPE 5 : « Création d’un Profile». Spécifiez un « Profile ID » Sélectionnez « IP » pour le « Type ». Cliquez ensuite sur « Apply» pour valider.
Spécifiez un « Profile ID » Sélectionnez « IP » pour le « Type » de règle à créer. Cliquez ensuite sur « Apply» pour valider.
Maintenant que l’on a crée un « Profile » on va ajouter une règle: ETAPE 6 : « Création d’une règle de filtrage». Maintenant que l’on a crée un « Profile » on va ajouter une règle: Sélectionnez le « Profile ID » créé. Cliquez ensuite sur « Add» pour ajouter une règle.
Sélectionnez le « Profile ID » créé. Cliquez ensuite sur « Add Rule» pour ajouter une règle.
Sauvegardez votre paramétrage
Vous devez Redémarrez ensuite votre commutateur.
Petite astuce pratique: Vous pouvez rédiger vos lignes de commandes sous Word et lancer une session Hyper terminal ou console pour faire un copie/coller de votre configuration…
Le mode console permet aussi en quelques lignes, de faire le même paramétrage: # ACL: # Tout le monde ait accès au serveur (IP:192.168.1.250/24). create access_profile ip source_ip_mask 255.255.255.0 profile_id 1 config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.250 port 1-28 permit create access_profile ip destination_ip_mask 255.255.255.0 profile_id 2 config access_profile profile_id 2 add access_id 1 ip destination_ip 192.168.1.250 port 1-28 permit #Protection inter-VLAN: # Que chaque Vlan ne puisse pas communiquer avec les autres create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 3 config access_profile profile_id 3 add access_id 9 ip source_ip 192.168.10.0 destination_ip 192.168.10.0 port 9-16 permit create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0 profile_id 4 config access_profile profile_id 4 add access_id 17 ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 17-24 permit #On interdit les autres réseaux: create access_profile ip source_ip_mask 0.0.0.0 profile_id 5 config access_profile profile_id 5 add access_id 1 ip source_ip 0.0.0.0 port 1-28 permit save reboot