ACL Routeur Cisco

bluescreen89 Messages postés 21 Statut Membre -  
bluescreen89 Messages postés 21 Statut Membre -
Bonjour,

Je suis actuellement en train d'essayer de configurer un routeur Cisco 877. Je préviens tout de suite que je n'ai que quelques connaissances en matière de configuration de routeur Cisco.

Je tente donc de configurer deux VLAN sur le routeur avec chacun un DHCP et une plage d'adresses spécifique. Le DHCP est fonctionnel mais je dois également placer des ACL entre les deux VLAN.

Mon VLAN 1 doit pouvoir communiquer avec le VLAN 2 mais l'inverse n'est pas possible sauf s'il s'agit d'une réponse à une requête émise par le VLAN 1.

J'ai essayé différentes configurations mais impossible d'arriver à un résultat correct.
Avec les ACL que j'ai mis en place, je ne peux même pas faire un pijg sur ma passerelle (1.254) depuis le VLAN 1 mais cela fonctionne depuis le VLAN 2 (2.254).
Je vous joins ma config actuelle en espérant que vous puissiez m'aider.

Router#sh running-config
Building configuration...

Current configuration : 1629 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
dot11 syslog
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.0 192.168.1.15
ip dhcp excluded-address 192.168.2.0 192.168.2.15
!
ip dhcp pool Gestion
network 192.168.1.0 255.255.255.0
dns-server 192.168.1.1
default-router 192.168.1.254
!
ip dhcp pool Formation
network 192.168.2.0 255.255.255.0
dns-server 192.168.1.1
default-router 192.168.2.254
!
!
ip reflexive-list timeout 120
!
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
shutdown
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
ip access-group inbound in
ip access-group outbound out
!
interface Vlan2
ip address 192.168.2.254 255.255.255.0
ip access-group 100 in
ip access-group 100 out
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip access-list extended inbound
permit tcp any 192.168.1.0 0.0.0.255 established
permit icmp any 192.168.1.0 0.0.0.255 echo-reply
ip access-list extended outbound
permit tcp 192.168.1.0 0.0.0.255 any
permit icmp 192.168.1.0 0.0.0.255 any echo
!
access-list 100 permit ip any any
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
login
!
scheduler max-task-time 5000
end

Router#

12 réponses

  1. ciscowarrior
     
    Peux-tu faire un sh version pour savoir quel IOS tu as.
    Si tu as l'IOS qui le supporte tu peux implémenter Zone Based Firewall sur le routeur et je te posterai une config.

    Alain
    0
  2. bluescreen89 Messages postés 21 Statut Membre
     
    Voici le résultat du sh version

    Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(15)T9, RELEASE SOFTWARE (fc5)
    Technical Support: https://www.cisco.com/c/en/us/support/index.html
    Copyright (c) 1986-2009 by Cisco Systems, Inc.
    Compiled Wed 29-Apr-09 05:52 by prod_rel_team

    ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

    Router uptime is 5 hours, 35 minutes
    System returned to ROM by power-on
    System image file is "flash:c870-advsecurityk9-mz.124-15.T9.bin"

    This product contains cryptographic features and is subject to United
    States and local country laws governing import, export, transfer and
    use. Delivery of Cisco cryptographic products does not imply
    third-party authority to import, export, distribute or use encryption.
    Importers, exporters, distributors and users are responsible for
    compliance with U.S. and local country laws. By using this product you
    agree to comply with applicable laws and regulations. If you are unable
    to comply with U.S. and local laws, return this product immediately.

    A summary of U.S. laws governing Cisco cryptographic products may be found at:
    https://pepd.cloudapps.cisco.com/legal/export/pepd/Search.do

    If you require further assistance please contact us by sending email to
    export@cisco.com.

    Cisco 877 (MPC8272) processor (revision 0x400) with 118784K/12288K bytes of memory.
    Processor board ID FCZ132561KF
    MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
    4 FastEthernet interfaces
    1 ATM interface
    128K bytes of non-volatile configuration memory.
    24576K bytes of processor board System flash (Intel Strataflash)

    Configuration register is 0x2102
    0
    1. ciscowarrior
       
      no ip access-list extended inbound
      no access-list 100 permit ip any any
      access-list 199 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
      ip inspect log drop-pkt
      zone security VLAN1
      zone security VLAN2
      class-map type inspect VLAN1_CLASS
      match ip address 199
      policy-map type inspect VLAN1_POLICY
      class type inspect VLAN1_CLASS
      inspect
      zone-pair security VLAN1_VLAN2 source VLAN1 destination VLAN2
      service-policy type inspect VLAN1_POLICY
      interface Vlan1
      ip address 192.168.1.254 255.255.255.0
      no ip access-group inbound in
      no ip access-group outbound out
      zone-member security VLAN1
      interface Vlan2
      ip address 192.168.2.254 255.255.255.0
      no ip access-group 100 in
      no ip access-group 100 out
      zone-member security VLAN2

      Attention il faudra mettre les autres interfaces dans des zones sinon tu ne pourras pas communiquer entre ces interfaces et l'interface vlan 1 et l'interface vlan2

      Tu peux aussi implémenter CBAC au lieu de ZBF:
      ip inspect log drop-pkt
      ip inspect name MYPOLICY icmp
      ip inspect name MYPOLICY tcp
      ip inspect name MYPOLICY udp
      no ip access-list extended inbound
      no access-list 100 permit ip any any
      access-list 199 deny ip any any
      access-list 198 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
      interface Vlan1
      ip address 192.168.1.254 255.255.255.0
      no ip access-group inbound in
      no ip access-group outbound out
      ip access-group 198 in
      ip inspect MYPOLICY in
      interface Vlan2
      ip address 192.168.2.254 255.255.255.0
      no ip access-group 100 in
      no ip access-group 100 out
      ip access-group 199 in
      0
  3. bluescreen89 Messages postés 21 Statut Membre
     
    Tu peux juste m'expliquer un peu la config que tu m'as proposé s'il te plait ? Que je sache un peu ce que je fais.
    0
    1. ciscowarrior
       
      ce sont 2 implémentations d'un stateful firewall sur l'IOS.La première est la plus récente et la seconde la plus ancienne.
      Pour la première ou ZBFW ou zone based firewall: on met chaque interface L3 dans une zone, par défaut le traffic entre interfaces d'une même zone est permis mais pas le traffic interzone.
      On déclare donc une class-map pour classifier le traffic( qui matche une ACL) et on applique une policy-map pour ce traffic qui va inspecter celui-ci. ensuite on applique cette policy-map entre les deux zones et donc ici on va laisser passer le trafffic de vlan 1 vers vlan 2 et laisser passer le traffic de retour( puisque on a inspecté le traffic aller) mais le traffic de vlan 2 vers vlan 1 sera droppé.
      LA deuxième implémentation interdit le traffic de vlan 2 vers vlan 1 avec l'ACL et permet le traffic de vlan 1 vers vlan 2 et comme on l'inspecte alors on ouvre une brèche dans l'ACL appliqué sur vlan 2 qui va laisser passer le traffic retour vers vlan 1.
      0
  4. bluescreen89 Messages postés 21 Statut Membre
     
    Désolé pour ma réponse tardive, donc c'est fonctionnel. J'ai utilisé la deuxième config, celle sans les zones. Maintenant j'en profite pour te poser une deuxième question. Si mon VLAN 2 est connecté à Internet, est ce que par rapport aux ACLs mises en place, ça ne posera pas problèmes ? J'aurai en fait un deuxième routeur que je déclarerai dans une route pour que les requetes externes à mes deux VLAN.

    Ps j'ai du ajouter une ACL car les requêtes DHCP ne passaient pas mais c'est bon c'est résolu.

    Merci d'avance.
    0
    1. ciscowarrior Messages postés 810 Statut Membre 100
       
      Oui pour le DHCP j'y avais pensé , sorry :)
      Si ton vlan2 va vers l'extérieur alors tu devras changer l'access-list sur le vlan 1( le traffic que tu vas inspecter).
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. bluescreen89 Messages postés 21 Statut Membre
     
    Pourquoi changer l'ACL sur le VLAN 1 ?
    Il faudrait que je change l'ACL suivante :
    permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    de la manière suivante :

    permit ip 192.168.1.0 0.0.0.255 any

    Désolé j'ai pas trop compris le changement au niveau de l'inspection du traffic.
    0
    1. ciscowarrior Messages postés 810 Statut Membre 100
       
      tu ne peux inspecter que le traffic qui est permis par une ACL et si tu veux aller sur internet tu dois changer l'ACL sur le vlan 1 comme tu l'as fait.
      0
  7. brupala Messages postés 111127 Date d'inscription   Statut Membre Dernière intervention   14 437
     
    Salut,
    l'accès internet impliquera une autre access-list pour le nat, si il se fait par l'interface adsl de ce routeur.
    0
  8. bluescreen89 Messages postés 21 Statut Membre
     
    Non non l'accès à internet se fait via une autre passerelle. Je teste ma config et je vous fais un retour.
    0
  9. bluescreen89 Messages postés 21 Statut Membre
     
    Ci joint ma dernière conf, je réussis à faire des communications uniquement entre Vlan 1 vers VLAN 2 sauf réponse, mais je n'ai pas accès à internet, ni depuis le VLAN 2 qui est sur le même sous réseau que le modem routeur, ni depuis le vlan 1 (logique vu que le 2 n'y à pas accès non plus).

    J'ai tenté de mettre une route pour balancer toutes les requêtes "internet" vers l'adresse de mon modem routeur ( 192.168.1.254) mais ça ne fonctionne pas.

    Router#sh running-config
    Building configuration...

    Current configuration : 1587 bytes
    !
    version 12.4
    no service pad
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname Router
    !
    boot-start-marker
    boot-end-marker
    !
    !
    no aaa new-model
    !
    !
    dot11 syslog
    ip cef
    no ip dhcp use vrf connected
    ip dhcp excluded-address 192.168.1.0 192.168.1.15
    ip dhcp excluded-address 192.168.10.0 192.168.10.9
    !
    ip dhcp pool Gestion
    network 192.168.10.0 255.255.255.0
    dns-server 192.168.1.254
    default-router 192.168.10.1
    !
    !
    ip inspect log drop-pkt
    ip inspect name MYPOLICY icmp
    ip inspect name MYPOLICY tcp
    ip inspect name MYPOLICY udp
    ip reflexive-list timeout 120
    !
    !
    !
    !
    !
    archive
    log config
    hidekeys
    !
    !
    !
    !
    !
    interface ATM0
    no ip address
    shutdown
    no atm ilmi-keepalive
    dsl operating-mode auto
    !
    interface FastEthernet0
    shutdown
    !
    interface FastEthernet1
    !
    interface FastEthernet2
    switchport access vlan 2
    !
    interface FastEthernet3
    shutdown
    !
    interface Vlan1
    ip address 192.168.10.1 255.255.255.0
    ip access-group 198 in
    ip inspect MYPOLICY in
    !
    interface Vlan2
    ip address 192.168.1.1 255.255.255.0
    ip access-group inboundv2 in
    !
    ip default-gateway 192.168.1.254
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 192.168.1.254
    !
    no ip http server
    no ip http secure-server
    !
    ip access-list extended inboundv2
    permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps
    deny ip any any
    !
    access-list 198 permit ip 192.168.10.0 0.0.0.255 any
    !
    !
    !
    control-plane
    !
    !
    line con 0
    no modem enable
    line aux 0
    line vty 0 4
    login
    !
    scheduler max-task-time 5000
    end
    0
    1. ciscowarrior Messages postés 810 Statut Membre 100
       
      salut,

      c'est ton modem/routeur qui fait le NAT et le PPPoE ?
      comment es-tu relié à ce modem/routeur ? peux-tu poster une topo pour que l'on voit qui est connecté à quoi et comment.

      Alain
      0
  10. bluescreen89 Messages postés 21 Statut Membre
     
    Donc oui c'est mon modem/routeur qui s'occupe du NAT ainsi que du PPPOE.

    J'ai donc mon routeur Cisco avec ses 4 ports.

    Fa0 : shutdown
    Fa1 : vlan 1 : connecté sur switch 1
    Fa2 : vlan 2 ! connecté sur switch 2
    Fa3 : shutdown

    Modem/routeur : connecté sur switch 2
    0
    1. ciscowarrior Messages postés 810 Statut Membre 100
       
      donc tu connectes les ports L2 de ton routeur sur 2 switches différents et sur un de ceux-ci tu as aussi ton modem/routeur ?
      Quels types de switch ?

      Alain.
      0
    2. bluescreen89 Messages postés 21 Statut Membre
       
      Exactement. Sur le switch relié au VLAN 2, j'ai mon modem/routeur.
      Deux switchs HP procurve 24 ports.
      0
    3. ciscowarrior Messages postés 810 Statut Membre 100
       
      Pourquoi n'as-tu pas directement relié le modem/routeur sur le port L2 de ton Cisco sans passer par un switch supplémentaire ? Tu ne devrais avoir que ce modem routeur sur ce vlan, non ?
      0
    4. bluescreen89 Messages postés 21 Statut Membre
       
      non il s'agit en fait d'un sous réseau filaire qui est accessible par toute personne présente dans les locaux, avec des postes ainsi qu'un serveur. Le réseau du VLAN 1 est un réseau privé dédié aux employés de l'entreprise.
      0
  11. bluescreen89 Messages postés 21 Statut Membre
     
    J'ai tenté une nouvelle config, en fait j'ai repris une de mes premières config qui est presque fonctionnelle à 100%. J'ai en fait inversé les interfaces sur lesquelles j'applique mes ACLs. Mes communications fonctionnent comme je le souhaite mais par contre j'ai accès à internet depuis le VLAN2 (qui est relié directement au modem) mais pas depuis le VLAN 1. Je ne réussis pas à contacter la passerelle de sortie internet depuis le VLAN1. Je vous joins ma conf actuelle.

    !
    interface FastEthernet0
    shutdown
    !
    interface FastEthernet1
    !
    interface FastEthernet2
    switchport access vlan 2
    !
    interface FastEthernet3
    shutdown
    !
    interface Vlan1
    ip address 192.168.10.1 255.255.255.0
    !
    interface Vlan2
    ip address 192.168.1.1 255.255.255.0
    !
    ip default-gateway 192.168.1.254
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 192.168.1.254
    !
    no ip http server
    no ip http secure-server
    !
    !
    !
    !
    control-plane
    !
    !
    line con 0
    no modem enable
    line aux 0
    line vty 0 4
    login
    !
    scheduler max-task-time 5000
    end
    0
    1. ciscowarrior
       
      je ne vois pas d'ACL dans cette config
      0
  12. bluescreen89 Messages postés 21 Statut Membre
     
    Erf, autant pour moi, mauvais fichier copié.

    Router#sh running-config
    Building configuration...

    Current configuration : 1727 bytes
    !
    version 12.4
    no service pad
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname Router
    !
    boot-start-marker
    boot-end-marker
    !
    !
    no aaa new-model
    !
    !
    dot11 syslog
    ip cef
    no ip dhcp use vrf connected
    ip dhcp excluded-address 192.168.1.0 192.168.1.15
    ip dhcp excluded-address 192.168.2.0 192.168.2.15
    !
    ip dhcp pool Gestion
    network 192.168.1.0 255.255.255.0
    dns-server 192.168.2.1
    default-router 192.168.1.254
    !
    ip dhcp pool Formation
    network 192.168.2.0 255.255.255.0
    dns-server 192.168.2.1
    default-router 192.168.2.254
    !
    !
    ip reflexive-list timeout 120
    !
    !
    !
    !
    !
    archive
    log config
    hidekeys
    !
    !
    !
    !
    !
    interface ATM0
    no ip address
    shutdown
    no atm ilmi-keepalive
    dsl operating-mode auto
    !
    interface FastEthernet0
    shutdown
    !
    interface FastEthernet1
    !
    interface FastEthernet2
    switchport access vlan 2
    !
    interface FastEthernet3
    shutdown
    !
    interface Vlan1
    ip address 192.168.1.254 255.255.255.0
    ip access-group 100 in
    ip access-group 100 out
    !
    interface Vlan2
    ip address 192.168.2.254 255.255.255.0
    ip access-group inboundfilters in
    ip access-group outboundfilters out

    !
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 192.168.2.1
    !
    no ip http server
    no ip http secure-server
    !
    ip access-list extended inboundfilters
    evaluate tcptraffic
    evaluate udptraffic
    evaluate icmptraffic
    deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
    permit ip any any

    ip access-list extended outboundfilters
    permit tcp any any reflect tcptraffic
    permit udp any any reflect udptraffic
    permit icmp any any reflect icmptraffic
    !
    access-list 100 permit ip any any
    !
    !
    !
    control-plane
    !
    !
    line con 0
    no modem enable
    line aux 0
    line vty 0 4
    login
    !
    scheduler max-task-time 5000
    end
    0
    1. ciscowarrior
       
      Tu as changé d'implémentation maintenant en utilisant les reflexive ACLs, on peux savoir pourquoi ?
      0
    2. bluescreen89 Messages postés 21 Statut Membre
       
      Je voulais comprendre pourquoi les ACLs réflexives ne fonctionnaient pas. Et après avoir regardé des exemples un peu partout sur le net, j'ai commencé à me dire que j'avais inversé les ACLs, et c'était ça. Maintenant, cette config ou l'autre, le résultat est le même, je ne réussis pas à arriver au résultat espérer.
      0
    3. bluescreen89 Messages postés 21 Statut Membre
       
      Tu as une explication Ciscowarrior ? j'ai beau essayé diverses modifs dans mes ACLs, rien n'y fait, j'ai pas accès au net depuis mon VLAN 1.
      0
  13. brupala Messages postés 111127 Date d'inscription   Statut Membre Dernière intervention   14 437
     
    Salut,
    déjà il y a une erreur:

    ip dhcp pool Formation
    network 192.168.2.0 255.255.255.0
    dns-server 192.168.2.1
    default-router 192.168.2.254

    puis
    ip route 0.0.0.0 0.0.0.0 192.168.2.1


    Pourquoi faire passer la route par défaut des machines par ton routeur alors que c'est l'autre le bon.
    Tu as fabriqué une bonne grosse machine à ICMP redirect
    Par contre, il faudra sur ces PC une route statique pour venir sur ton réseau 1.0
    Je ne sais plus si on en a parlé, mais quel est cet autre routeur, pour internet ?
    est-il capable de natter un autre réseau (une autre plage d'adresse que celle de son lan (son lan est en 2.0 et l'autre plage en 1.0) ?
    Tout ça est à vérifier aussi, ou alors, fais un second étage de nat dans le 877 entre vlan1 et vlan2
    0
    1. bluescreen89 Messages postés 21 Statut Membre
       
      Bonjour,

      Alors si j'ai mis l'adresse de mon routeur Cisco comme adresse de passerrelle et uen autre différente pour la passerelle internet, c'est pour pouvoir faire communiuer mes deux VLANs. Je m'explique, j'avais tenté de mettre sur le VLAN 2 l'adresse du modem/routeur internet comme passerelle par défaut mais il m'était impossible par la suite de communiquer d'un VLAN à un autre.

      Concernant les communications entre les deux VLANs, elles sont comme je le souhaite avec les ACLs en place.

      Le routeur internet est un netgear dont je n'ai pas la référence, mais je sais qu'il fait du NAT.

      Ce que je ne réussis pas à comprendre c'est pourquoi je peux accéder au net depuis mon VLAN2 mais pas depuis le VLAN 1.

      Et pourquoi, si je suis dans le VLAN 1, je peux contacter un hôte du VLAN 2 ( serveur web par exemple) mais pas la passerelle internet.
      0
    2. brupala Messages postés 111127 Date d'inscription   Statut Membre Dernière intervention   14 437
       
      c'est ce que je t'explique:
      le routeur internet ne sait peut-etre pas nater (ou tout simplement router d'autres adresses que celles de son lan .
      déjà as tu une route statique dessus pour aller vers le réseau 1.0 ?
      Dans tous les cas, ton architecture réseau n'est pas saine, déjà sur la configuration du 2.0 avec ce reroutage des paquets sur le même lan, ça génére ds icmp redirect et des doublons de paquets inutiles.
      0
    3. bluescreen89 Messages postés 21 Statut Membre
       
      Alors le routeur peut faire du NAT. Je dis ça car si je fais des tests avec mes deux VLANs sans ACLs restrictives, j'ai le net sur les deux vlans. Le problème apparait après la mise en place des ACLs.

      Ensuite, je n'ai pas de route statique sur le routeur internet, je ne voyais pas le besoin d'en mettre une vu que il sait ou envoyer les paquets pour les vlan 1 alors pourquoi en mettre après la mise en place des ACLs. Ai-je raison ou non ?
      0
    4. ciscowarrior
       
      Non pas besoin de rajouter une route statique parce que tu as des ACLs mais Brupala a raison ta topo est bizarre.
      0
    5. bluescreen89 Messages postés 21 Statut Membre
       
      Je commence à trouver aussi. Et ce problème commence à m'enerver^^.
      0