Fiche – Configuration d’un routeur Cisco avec VLAN, NAT, ACL et sécurisation SSH

Par /

Objectif

Cette configuration permet de :

  • Mettre en place un routage inter-VLAN
  • Configurer le NAT pour l’accès Internet
  • Sécuriser l’administration du routeur en SSH
  • Autoriser l’accès au serveur 10.0.0.100
  • Autoriser l’accès au VLAN 10le vlan 10 est pluto m
  • Publier un serveur web interne 10.0.0.2
  • Bloquer le VLAN 30 vers Internet
  • Interdire tout le reste via ACL

1. Configuration de base du routeur

Nom du routeur et domaine

hostname R1
ip domain name eryann.bzh

Sécurisation des mots de passe

service password-encryption

enable secret motDePasseFort
username admin secret MotDePasseFort

2. Configuration des interfaces

Interface WAN (Internet)

interface GigabitEthernet0/0/0
 ip address 192.168.40.126 255.255.255.0
 ip nat outside
 no shutdown

Interface trunk vers le switch

interface GigabitEthernet0/0/1
 no ip address
 no shutdown

3. Configuration des VLANs

VLAN 10

interface GigabitEthernet0/0/1.10
 encapsulation dot1Q 10
 ip address 10.0.0.1 255.255.255.224
 ip helper-address 10.0.0.100
 ip nat inside
 ip access-group VLAN10-IN in

VLAN 20

interface GigabitEthernet0/0/1.20
 encapsulation dot1Q 20
 ip address 10.0.0.33 255.255.255.224
 ip helper-address 10.0.0.100
 ip nat inside
 ip access-group VLAN20-IN in

VLAN 30

interface GigabitEthernet0/0/1.30
 encapsulation dot1Q 30
 ip address 10.0.0.65 255.255.255.224
 ip helper-address 10.0.0.100
 ip nat inside
 ip access-group VLAN30-IN in

VLAN 40

interface GigabitEthernet0/0/1.40
 encapsulation dot1Q 40
 ip address 10.0.0.97 255.255.255.224
 ip helper-address 10.0.0.100
 ip nat inside
 ip access-group VLAN40-IN in

4. Configuration du NAT Internet

ACL NAT

ip access-list standard NAT
 permit 10.0.0.0 0.0.0.127

Activation du PAT (NAT overload)

ip nat inside source list NAT interface GigabitEthernet0/0/0 overload

Route par défaut

ip route 0.0.0.0 0.0.0.0 192.168.40.1

5. Publication du serveur web interne

Redirection du port 80 externe vers 10.0.0.2

ip nat inside source static tcp 10.0.0.2 80 interface GigabitEthernet0/0/0 80

Cette règle permet d’accéder au serveur web depuis Internet via l’adresse publique du routeur.

6. Sécurisation SSH

Génération des clés RSA

crypto key generate rsa

Taille recommandée :

1024

Activation SSH v2

ip ssh version 2

Configuration des lignes VTY

line vty 0 15
 login local
 transport input ssh
 exec-timeout 5 0

Désactivation Telnet

Le Telnet est désactivé grâce à :

transport input ssh

7. Configuration des ACL de sécurité

Objectifs

RègleAutorisation
Tous les VLANAccès au serveur 10.0.0.100
Tous les VLANAccès au VLAN 10
VLAN 10Internet
VLAN 20Internet
VLAN 40Internet
VLAN 30Internet interdit
Tout le resteRefusé

ACL VLAN 10

ip access-list extended VLAN10-IN

 remark Acces serveur
 permit ip any host 10.0.0.100

 remark Acces VLAN 10
 permit ip any 10.0.0.0 0.0.0.31

 remark Internet
 permit ip any any

 deny ip any any

ACL VLAN 20

ip access-list extended VLAN20-IN

 remark Acces serveur
 permit ip any host 10.0.0.100

 remark Acces VLAN 10
 permit ip any 10.0.0.0 0.0.0.31

 remark Internet
 permit ip any any

 deny ip any any

ACL VLAN 30

ip access-list extended VLAN30-IN

 remark Acces serveur
 permit ip any host 10.0.0.100

 remark Acces VLAN 10
 permit ip any 10.0.0.0 0.0.0.31

 remark Blocage Internet
 deny ip any any

ACL VLAN 40

ip access-list extended VLAN40-IN

 remark Acces serveur
 permit ip any host 10.0.0.100

 remark Acces VLAN 10
 permit ip any 10.0.0.0 0.0.0.31

 remark Internet
 permit ip any any

 deny ip any any

8. Sauvegarde de la configuration

Sauvegarde immédiate

copy running-config startup-config

9. Vérifications utiles

Vérifier les interfaces

show ip interface brief

Vérifier le NAT

show ip nat translations

Vérifier les ACL

show access-lists

Vérifier SSH

show ip ssh

11. Configuration du switch Cisco

Objectif

Cette configuration permet :

  • La création des VLAN
  • Le paramétrage des ports access et trunk
  • La sécurisation des ports
  • La limitation des attaques réseau
  • Le raccordement de plusieurs équipements sur différents ports VLAN

12. Création des VLAN

configure terminal

vlan 10
 name ADMIN

vlan 20
 name USERS

vlan 30
 name IOT

vlan 40
 name WIFI

13. Configuration du trunk vers le routeur

Port connecté au routeur

Exemple : interface GigabitEthernet0/1

interface GigabitEthernet0/1
 description TRUNK_VERS_ROUTEUR
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,40
 no shutdown

14. Configuration des ports utilisateurs

VLAN 10 — Administration

Ports avec plusieurs équipements

Exemple :

  • PC administratifs
  • Imprimantes
  • Téléphones IP

Ports Fa0/1 à Fa0/6

interface range FastEthernet0/1 - 6
 description VLAN10_ADMIN
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 spanning-tree bpduguard enable
 switchport port-security
 switchport port-security maximum 3
 switchport port-security violation restrict
 switchport port-security mac-address sticky
 no shutdown

VLAN 20 — Utilisateurs

Ports utilisateurs classiques

Ports Fa0/7 à Fa0/16

interface range FastEthernet0/7 - 16
 description VLAN20_USERS
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
 spanning-tree bpduguard enable
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict
 switchport port-security mac-address sticky
 no shutdown

VLAN 30 — IoT / Caméras / Objets connectés

Ports Fa0/17 à Fa0/20

interface range FastEthernet0/17 - 20
 description VLAN30_IOT
 switchport mode access
 switchport access vlan 30
 spanning-tree portfast
 spanning-tree bpduguard enable
 switchport port-security
 switchport port-security maximum 5
 switchport port-security violation shutdown
 switchport port-security mac-address sticky
 no shutdown

VLAN 40 — WiFi / Bornes

Ports Fa0/21 à Fa0/24

interface range FastEthernet0/21 - 24
 description VLAN40_WIFI
 switchport mode access
 switchport access vlan 40
 spanning-tree portfast
 spanning-tree bpduguard enable
 switchport port-security
 switchport port-security maximum 10
 switchport port-security violation restrict
 switchport port-security mac-address sticky
 no shutdown

15. Sécurisation des ports inutilisés

Désactivation des ports non utilisés

interface range GigabitEthernet0/2 - 2
 shutdown
 description PORT_DESACTIVE

16. Protection contre les attaques réseau

Activation de Port Security

Fonctionnement

Le switch :

  • Apprend automatiquement les adresses MAC
  • Limite le nombre d’équipements
  • Bloque les équipements inconnus

Types de violations

ModeEffet
protectIgnore les paquets
restrictIgnore + log
shutdownCoupe le port

Protection BPDU Guard

Objectif

Empêcher un utilisateur de connecter un switch non autorisé.

spanning-tree bpduguard enable

Si un BPDU est reçu :

  • le port passe automatiquement en erreur (err-disabled)

Activation globale de PortFast

spanning-tree portfast default

Activation globale BPDU Guard

spanning-tree portfast bpduguard default

17. Sécurisation DHCP (DHCP Snooping)

Activation globale

ip dhcp snooping
ip dhcp snooping vlan 10,20,30,40

Autoriser le trunk vers le routeur DHCP

interface GigabitEthernet0/1
 ip dhcp snooping trust

18. Protection ARP (Dynamic ARP Inspection)

ip arp inspection vlan 10,20,30,40

Autoriser le trunk

interface GigabitEthernet0/1
 ip arp inspection trust

19. Protection contre les tempêtes réseau

Storm Control

interface range FastEthernet0/1 - 24
 storm-control broadcast level 5.00
 storm-control multicast level 5.00
 storm-control action shutdown

20. Sécurisation de l’accès au switch

Configuration SSH

Nom et domaine

hostname SW1
ip domain-name eryann.bzh

Utilisateur local

username admin secret MotDePasseFort
enable secret MotDePasseFort

Génération des clés RSA

crypto key generate rsa

Taille :

1024

Activation SSH

ip ssh version 2

Lignes VTY

line vty 0 15
 login local
 transport input ssh
 exec-timeout 5 0

21. Adresse IP de management du switch

Interface VLAN de gestion

interface vlan 10
 ip address 10.0.0.2 255.255.255.224
 no shutdown

Passerelle par défaut

ip default-gateway 10.0.0.1

22. Vérifications importantes

Vérifier les VLAN

show vlan brief

Vérifier le trunk

show interfaces trunk

Vérifier Port Security

show port-security
show port-security interface FastEthernet0/1

Vérifier les adresses MAC apprises

show mac address-table

Vérifier DHCP Snooping

show ip dhcp snooping

Vérifier SSH

show ip ssh

23. Sauvegarde de la configuration

copy running-config startup-config

24. Résultat final de l’architecture

VLANRéseauUsageInternet
VLAN 1010.0.0.0/27AdministrationOui
VLAN 2010.0.0.32/27UtilisateursOui
VLAN 3010.0.0.64/27IoTNon
VLAN 4010.0.0.96/27WiFiOui

25. Fichiers de configuration importants

Configuration active

running-config

Configuration sauvegardée

startup-config

Commandes utiles

show running-config
show vlan brief
show interfaces trunk
show port-security
show mac address-table
show spanning-tree
show ip ssh

Publications similaires

Retour en haut