Tutoriel : Routage inter-Vlan avec règles de filtrage

Situation initiale :

L’administrateur souhaite sécuriser le serveur web de l’entreprise. Il va alors séparer le serveur des utilisateurs en créant deux VLAN, un pour le serveur WEB et le poste de l’administrateur et l’autre pour les utilisateurs. Nous allons ensuite faire du routage inter VLAN avec règles de filtrage pour ne permettre qu’un accès simple aux utilisateurs à l’intranet hébergé par le serveur web.

Nous sommes sur du matériel CISCO ; commutateur 2960 catalyst et routeur

 routage_acl

Déroulement de l’activité

 –         Adressage

–          Câblage

–          Configuration VLAN

–          Configuration protocole VTP (802.1Q)

–          Configuration Routeur

–          Règles de filtrage

 

Création des 2 VLANs :

switch # vlan database

switch# vlan 10 name rouge

switch# vlan 11 name vert

 

Association avec les VLANs crées avec les ports du commutateur :

switch(conf-t): int fa 0/1

switch(conf-t): switchport access vlan 10

switch(conf-t): no sh

switch(conf-t): int fa 0/2

switch(conf-t): switchport access vlan 11

switch(conf-t): no sh

switch(conf-t): int fa 0/11

switch(conf-t): switchport mode trunk

switch(conf-t): no sh

sur le 2eme switch: faire de même avec interface 0/3 et 0/4

Vérifier avec la commande : show vlan brief

Avec Wireshark, vérifier que  l’ARP passe d’un routeur à l’autre.

 

Ajouter la liaison VTP avec le routeur :

Switch(conf-t) : int fa 0/23

Switch(conf-t): switchport mode trunk

 

Sur le routeur créer l’interface virtuelle pour faire communiquer les 2 VLAN :

Routeur(conf-t): int fa 0/0

Routeur(conf-t) : no ip address

Routeur(conf-t): no sh

Routeur(conf-t): int fa 0/0.1

Routeur(conf-t): encapsulation dot1Q 10

Routeur(conf-t): ip address 10.10.0.254 255.255.0.0

Routeur(conf-t): no sh

Routeur(conf-t): int fa 0/0.2

Routeur(conf-t): encapsulation dot1Q 11

Routeur(conf-t): ip address 10.11.0.254 255.255.0.0

Commande show run

 

Configuré sur chaque poste la passerelle.

Puis ouvrir les navigateurs et http://10.10.0.1

Vérifier que la page web est consultable sur chaque poste.

 

Ajout des règles de filtrages :

Routeur(conf-t) : access-list 101 permit tcp any host 10.10.0.1 eq www

Routeur(conf-t) : access-list 102permit tcp host 10.10.0.1 any established

 

Routeur(conf-t):  int fa 0/0.1

Routeur(conf-t) : ip access-group 102 in

Routeur(conf-t): ip-access group 101 out

 

Routeur(conf-t):  int fa 0/0.2

Routeur(conf-t) : ip access-group 101 out

Routeur(conf-t): ip access-group 101 in

 

Commande : Show access-list

Tester que le ping ne passé pas entre le serveur et le client mais que l’intranet passé.

 

Situation finale :

Nous avons bien isolé le serveur web, personne ne peux le ping ou faire autre chose a part le poste de l’administrateur qui est dans le même VLAN. Et seul l’intranet est accessible grâce au filtrage uniquement des requêtes http.

 

Télécharger la documentation technique :

Doc routage avec ACL

 

Télécharger la version rédigée , PTI BTS IG ARLE :

PTI routage acl

 

Si vous avez des questions n’hésitez pas à laisser un commentaire

 

3 commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *