Cours Présenté par ………….. VLAN de Niveau 3 Cours Présenté par …………..
VLAN de Niveau 3 Sommaire: Qu’est ce qu’un VLAN? Définition. Les VLAN de niveau 3 Définition Questions Manipulation Les ACL Création d’ ACL
Qu’est ce qu’un VLAN? Définition: Les VLAN permettent de cloisonner le réseau en différents sous-réseau, reliés entre eux par des commutateurs. Ces commutateurs permettent d'organiser la visibilité entre les VLAN de manières assez souple.
Question ? La carte réseau d’un poste peut-elle être associée à plusieurs Vlan ? Si oui comment savoir à quel Vlan appartient une trame émise par une telle carte réseau ? Si non comment partager l’accès à des ressources communes entre différentes Vlan ? Une réponse serait des Vlan de niveau 3 mais alors qu’en est-il pour le niveau 1 et le niveau 2 ? Comment communiquer entre les Vlan ? L’étanchéité de la couche 2 implique de remonter jusqu’à la couche 3 pour l’échange entre Vlan. Cet échange peut donc être entièrement contrôlé.
Les VLAN de niveau 3 (NETWORK ADDRESS- BASED VLAN). On affecte une adresse de niveau 3 à un VLAN. L’appartenance d’une trame à un VLAN est alors déterminée par l’adresse de niveau 3 ou supérieur qu’elle contient (le commutateur doit donc accéder à ces informations). En fait, il s’agit à partir de l’association adresse niveau 3/VLAN d’affecter dynamiquement les ports des commutateurs à chacun des VLAN.
Les VLANs de niveau 3 (NETWORK ADDRESS- BASED VLAN). Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des VLAN en accédant aux informations de couche 3. Ceci est un fonctionnement moins rapide que le Vlan de niveau 2. Quand on utilise le protocole IP on parle souvent de Vlan par sous-réseau. Attribuer à chaque VLAN des plages d’adresses IP n’appartenant pas au même réseau.
Question ? Que ce passe t’il lorsque l’on créé les interfaces IP sur un commutateur ? Exemple début manipulation: Créer des VLANs et spécifier des Interfaces IP: Ping/ tracert/netstat.
Manipulations VID1 VID2 VID3 Nous allons définir trois VLANs avec leurs interfaces IP: VID1 VID2 VID3 Vlan default 1-8 Adresse IP 192.168.1.1/24. GW: 192.168.1.250/24 2. Vlan 2 “toto” 9-16 Adresse IP 192.168.10.1/24. 3. Vlan 3 “titi” 17-24 Adresse IP 172.16.0.1/16
Les ACLs Définition: Les “access list” filtrent le trafic réseau en contrôlant si des paquets routés sont transférés ou bloqués sur le(les) interface(s) du commutateur. Un commutateur peut examiner chaque paquet suivant ce que vous avez spécifié dans les “access lists”. Il est à noter que la sécurité est minimum, un utilisateur averti pourrait contourner les “access lists”. Les critères d’une “access list” sont : l’adresse de source du trafic, la destination du trafic, le niveau de protocole ou d’autres informations
Les ACL Pourquoi utiliser des “access list”: Il y a beaucoup de raisons pour configurer des “access list” : – Restreindre la mise à jour des tables de routage – Contrôler le flux du réseau – Et bien sûr limiter les accès aux réseaux ou à des services spécifiques du commutateur. Vous pouvez utiliser les “access list” pour fournir un niveau minimum de sécurité. Si aucune “acess list” n’est configurée, le trafic passe sans aucune restriction à travers le commutateur.
Les ACLs Création d’”access list”: La création d’une “access list” est une suite de critères avec les paramètres sources, destinations, ou types de protocole. Pour une “access list” donnée (un numéro unique ou un nom unique). vous pouvez avoir plusieurs entrées. Vous n’êtes pas limité dans la taille de la liste (juste par la mémoire) . Par contre, plus la liste est longue, plus elle prend du temps à être parcourue ( ! !). Exemple d’acl: # Tout le monde ait accès au serveur (IP:192.168.1.250/24). create access_profile ip source_ip_mask 255.255.255.0 profile_id 1 config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.250 port 1-28 permit
Les ACL A la fin de chaque “access list”, il y a une règle à rajouter “deny all”. Ce qui signifie que ce qui n’est pas spécifié est interdit. L’ordre des entrées dans l’ access-list est important, c’est la première règle qui satisfait qui est prise en compte. Lors de la modification d’une “access list”, il est difficile de la modifier. Il vous est impossible d’insérer une règle dans l’ acces list. La seule solution est d’effacer la liste et de la recréer. Vous pouvez aussi copier la liste en TFTP et ensuite la recharger en TFTP.
Les ACL « Création des Access List ». Sélectionnez « ACL »et cliquez sur « Access Profile Table » Cliquez ensuite sur « Add Profile» pour créer une nouvelle règle.
Les ACL « Création d’un profile ». Spécifiez un « Profile ID » Sélectionnez « IP » pour le « Type ». Cliquez ensuite sur « Apply» pour valider.
Les ACL Spécifiez un « Profile ID » Sélectionnez « IP » pour le « Type » de règle à créer. Cliquez ensuite sur « Apply» pour valider.
Les ACL Maintenant que l’on a créée un « Profile » on va ajouter une règle: Sélectionnez le « Profile ID » créé. Cliquez ensuite sur « Add» pour ajouter une règle.
Les ACL Sélectionnez le « Profile ID » créé. Cliquez ensuite sur « Add Rule» pour ajouter une règle.
Les ACL
Les ACL Petite astuce pratique: Vous pouvez rédiger vos lignes de commandes sous Word et lancer une session Hyper terminal ou console pour faire un copie/coller de votre configuration…
MERCI