Routage sur VLAN

Documentation technique

Pour créer notre réseau, nous avons à disposition deux switchs (un de niveau 2 et un autre de niveau 3) ainsi qu’un routeur.

Lien vers la documentation technique :

• Cisco 1841 - Guide de configuration
• Catalyst 2960 - Fiche technique
• Cisco Série 300 - Guide de démarrage rapide

Organisation du câblage

Pour une meilleure lisibilité, nous avons mis en place un code couleur pour identifier facilement les câbles. Chaque couleur représente une fonction spécifique :

• Rouge : Réseau Administratif
• Vert : Réseau Scolaire
• Bleu : Console Routeur
• Jaune : Console Switch

Création d'un plan papier

Pour visualiser physiquement notre réseau, il a été utile de dessiner un schéma.

Le schéma commence au réseau MAN (Mon adresse IP est 172.30.0.8, bien que le schéma n’ait pas encore été mis à jour).

• VLAN 8 : Administratif
• VLAN 108 : Scolaire
• IP réseau MAN : 172.30.0.8/16
• Réseau Scolaire : 172.26.8.0/24
• Réseau Administratif : 172.27.8.0/24

Création des machines client et serveur

Pour tester la communication entre les réseaux, deux machines virtuelles ont été créées : une dans le VLAN 8 (Réseau Scolaire) et une autre dans le VLAN 108 (Réseau Administratif). Chaque carte réseau possède deux ports Ethernet.

Pour faciliter la gestion sous HyperV, les switchs virtuels sont nommés en fonction de leur réseau et numéro de VLAN.

• Ethernet 1 -> Réseau Scolaire, VLAN 108
• Ethernet 2 -> Réseau Administratif, VLAN 8

Les deux machines virtuelles utilisent les systèmes suivants :

• Serveur Administratif : Windows Server 2020
• Serveur Scolaire : Windows 11

Configuration initiale des machines

Serveur Administratif

Client Scolaire

Connexion en mode série

Pour configurer le switch et le routeur, nous utilisons une connexion en mode série via le port de console, généralement accessible avec un câble bleu RJ45.

Configuration du Switch Cisco

Création des VLANs

1. Créer les deux VLANs et les appliquer aux interfaces concernées.

enable
conf t
hostname <nom_du_switch>

Ces commandes permettent de passer en mode privilégié et de renommer l'appareil.

vlan 8
vlan 108

La commande vlan crée un VLAN spécifique en fonction du numéro saisi (entre 1 et 4094).

Association des VLANs aux interfaces

• Interface range : Cette commande sélectionne les interfaces souhaitées (par exemple, 0-0 pour sélectionner plusieurs interfaces).
• Switchport access vlan : Associe un numéro de VLAN aux interfaces sélectionnées (ex : VLAN 108 sur les interfaces 1 à 12, et VLAN 8 sur les interfaces 13 à 24).

Configuration en mode Trunk

Une interface en mode trunk permet le passage de plusieurs VLANs sur un même lien.

switchport mode trunk

Cette commande active le mode trunk pour permettre le passage des paquets de tous les VLANs.

Configuration du Routeur Cisco

Adressage IP des interfaces

L'interface FastEthernet 0/1 est configurée pour accéder au réseau MAN où tous les réseaux sont routés.

interface FastEthernet 0/1
ip address 172.30.0.8 255.255.0.0
no shutdown

Cette configuration alloue l'adresse IP 172.30.0.8 à l’interface 0/1 et active l’interface.

Création des interfaces virtuelles pour les VLANs

Les interfaces virtuelles permettent de router les paquets entre VLANs spécifiques.

interface FastEthernet 0/0.8
encapsulation dot1Q 8
ip address 172.26.8.1 255.255.255.0
no shutdown

Le réseau 172.26.8.0/24 est destiné au réseau scolaire. Les paquets du VLAN 8 sont redirigés par cette interface virtuelle.

Ajout des routes et tests de connectivité

Les routes permettent de connaître les autres réseaux sur le MAN. Pour l’accès internet, toute IP non spécifique sera redirigée vers l’adresse de sortie, 172.30.0.40.

Un test de ping montre la connectivité entre réseaux. Ici, un ping d’une machine dans le réseau scolaire atteint bien 172.30.0.2.

Création des ACLs

Les règles de sécurité (Access Control Lists) permettent de bloquer ou d’accepter le trafic.

Création de l’ACL de sortie (OUTPUT)

ip access-list extended OUTPUT
permit icmp any any
permit tcp any any eq www
permit tcp any any eq 443
permit udp any any eq domain
deny ip any any

Ces règles contrôlent les paquets sortants, en acceptant les protocoles ICMP, HTTP, HTTPS et DNS, puis en bloquant tout le reste.

Création de l’ACL d’entrée (INPUT)

ip access-list extended INPUT
permit icmp any any
permit tcp any eq 80 any
permit tcp any eq 443 any
deny ip any any

Ces règles contrôlent les paquets entrants, permettant uniquement les connexions nécessaires.

Tests des ACLs

Test d'accès SSH

Test DNS

Test de ping externe

---

Ce document révisé devrait être plus clair et concis.