Précédent : 2017-11-09 / 420-R63-MA / Infrastructure réseau 2
VTP[]
3 modes :
- mode serveur ;
- mode client ;
- mode transparant.
Configuration[]
Partie Trunk[]
S1(config-if)# switchport mode trunk
Partie VTP[]
S1(config)# vtp domain ccna S1(config)# vtp version 2 S1(config)# vtp mode server|client|transparent S1(config)# vtp password cisco
Partie VLAN
vlan 10 name Students ...
Commutateur niveau 3[]
[Ang.] Multilayer switch
Configuration d'un interface avec un routeur[]
Configuration de l'interface[]
Sur les switch niveau 3 seulement !
S1(config)# interface g0/1 S1(config-if)# no switchport S1(config-if)# ip address 10.10.10.1 255.255.255.252 S1(config-if)# switchport trunk ensapsulation dot1q <― avant de mettre le port en mode trunk ! S1(config-if)# switchport mode trunk
Routage inter-VLAN au niveau du commutateur niveau 3[]
S1(config)# interface vlan 10 S1(config-if)# ip address 192.168.10.1 S1(config-if)# no shutdown S1(config-if)# interface vlan 20 S1(config-if)# ip address 192.168.20.1 S1(config-if)# no shutdown ... S1(config)# ip routing
Liste de contrôle d'accès (ACL)[]
ACL ― un ensemble des règles séquentielles appliquées sur les interfaces qui permet de filtrer les paquets.
Par défaut ― aucun ACL. Un ACL se fait au niveau de routeur. Objective : le filtrage des paquets par une séquence de règles.
ACL 1 | 10 ACE 1 | 20 ACE 2 | ... | 90 ACE 9 | deny any (invisible, par défaut !) v
L'application de règles se fait sur interface et sur un sens (direction : entrant, sortant), et par groupe.
Fonctions de ACL[]
- Limitent le trafic réseau pour accroître les performances réseau.
- Contrôlent le flux de trafic (diffusion des mises à jour de routage, etc)
- Fournissent un niveau de sécurité de base pour accès réseau.
- Filtrent le trafic en fonction de son type.
- Filtrent les hôtes poru autoriser ou refuser l'accès aux services.
Filtrage de paquets : standard et étendu[]
- ACL 1..99 : standards (IP source) ― se placent près de la destination ;
- ACL 100..199 : étendues (IP destination) ― se placent près de la source.
Plages supplamentaires (sur Sisco IOS 12.0.1+) ― ALC IPv4 étendués[]
- ACL 1300..1999 : standards (IP source)
- ...
Les listes de contrôle d'accès (ACL) standard filtrent les paquets uniquemenet à la couche 3 ! Les filtrage par ACL étendues se fait au niveau de couches 3 et 4.
Critère de filtrage (ACL standard) ― l'adresse IPv4.
Un masque générique[]
Signification de bits :
- 0 ― la valeur du bit d'adresse doit correspondre !
- 1 ― la valeur du bit d'adresse est ignorée
Les masques génériques = masques inverses (par rapport aux masques sous-réseau).
Calculation simplifiée de masque générique (soustraction)[]
Base : 255.255.255.255 Masque ordinaire : 255.255.255.0 Masque générique : 0 .0 .0 .255
Exemple d'application de masque[]
Adresse IP à traiter : 192.168.10 .0 | 11000000.10101000.00001010.00000000 Masque générique : 0 .0 .255.255 | 00000000.00000000.11111111.11111111 Adresse IP résultante: 192.168.0 .0 | 11000000.10101000.00000000.00000000
Cas spécifiques[]
- Masque générique d'un hôte : 0.0.0.0 = host
- Masque générique d'un réseau /24 : 0.0.0.255
- Masque générique de tout adresse : 255.255.255.255 = any
Attention ! ACL IPv6 n'utilise pas des masques génériques, mais plutôt la longueur de préfixe !
Configuration de ACL[]
En général :
R1(config)# access-list <numéro> remark <Remarque sur la règle> R1(config)# access-list <numéro> <permit/deny> <adresse réseau> <masque générique>
Exemples :
R1(config)# access-list 10 remark Permit un hoste R1(config)# access-list 10 permit host 192.168.10.10 ... R1(config)# access-list 20 remark Permit un sous-reseau R1(config)# access-list 20 permit 192.168.10.0 0.0.0.255
Vérification :
show access-lists <numéro>
Pour supprimer :
no access-list <numéro>
Attention ! C'est tout l'ACL qui sera supprimée (et pas une seule règle dans l'ACL <numero>) !
Pour appliquer un ACL sur une interface :
R1(config)# interface s0/0/0 R1(config-if)# ip access-group 1 out
ACL nommées[]
En général (mode ACL):
R1(config)# ip access-list [standard/extended] <name> R1(config-std-nacl)# deny host <adresse> ... R1(config-std-nacl)# permit any
En mode ACL on peut éffacer des règles d'une ACL, pas seulement l'ACL entière !
R1(config-std-nacl)# no deny host <adresse>
ou avec les numéros des lignes :
R1(config-std-nacl)# no 10
Aussi, on peut ajouter des règles numérotées :
R1(config-std-nacl)# 10 deny host <adresse>
Vérification des ACL[]
Les ACL qui s'appliquent sur un interface :
R1# show interface g0/0
Le contenu des ACL (avec les numéros de lignes et le statistique de matches) :
R1# show access-lists
Routage des paquets[]
- Réception
- ACL de l'interface d'entrée
- Routage
- ACL de l'interface de sortie
- Envoi