<\/p>\n\n\n\n
<\/p>\n\n\n\n <\/p>\n\n\n\n \/<\/p>\n\n\n\n <\/p>\n\n\n\n Le mot de passe utilis\u00e9 est pwd<\/p>\n\n\n\n Le login pour ssh est admin et pwd en mot de passe<\/p>\n\n\n\n <\/p>\n\n\n\n R\u00e9seaux :<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Plan d’adressage :<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Dessous les fichiers de config extrait de Cisco packet tracer un petit peu remastoris\u00e9 pour les rendre plus compact<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Pour le routeur R2, configuration minimale :<\/p>\n\n\n\n <\/p>\n\n\n\n Nota, S2 n’est pas configur\u00e9 et sert de switch simple.<\/p>\n\n\n\n En test :<\/p>\n\n\n\n >> si vous voulez vous amuser, vous pouvez modifier les ACL pour que le laptop0 admin puisse faire des ping sur le r\u00e9seau interne.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Ce lab met en \u0153uvre une architecture classique compos\u00e9e de :<\/p>\n\n\n\n L\u2019objectif est de reproduire une infrastructure r\u00e9aliste avec s\u00e9paration des usages et exposition contr\u00f4l\u00e9e d\u2019un service.<\/p>\n\n\n\n Le switch S1 segmente le r\u00e9seau en plusieurs VLAN :<\/p>\n\n\n\n Chaque port est affect\u00e9 \u00e0 un VLAN via :<\/p>\n\n\n\n Le lien entre S1 et R1 est un trunk :<\/p>\n\n\n\n Cela permet de transporter plusieurs VLAN sur un seul lien physique.<\/p>\n\n\n\n Le routage est r\u00e9alis\u00e9 sur R1 avec des sous-interfaces :<\/p>\n\n\n\n Chaque VLAN poss\u00e8de :<\/p>\n\n\n\n Exemple :<\/p>\n\n\n\n Deux m\u00e9canismes sont utilis\u00e9s :<\/p>\n\n\n\n Permet aux r\u00e9seaux internes d\u2019acc\u00e9der \u00e0 Internet en utilisant l\u2019adresse WAN du routeur.<\/p>\n\n\n\n Permet de publier le serveur web interne :<\/p>\n\n\n\n Cela signifie :<\/p>\n\n\n\n Le serveur DMZ est donc accessible depuis Internet.<\/p>\n\n\n\n R\u00f4le :<\/p>\n\n\n\n Objectif :<\/p>\n\n\n\n Exemple :<\/p>\n\n\n\n Autorise les utilisateurs \u00e0 acc\u00e9der au serveur web.<\/p>\n\n\n\n Le serveur web est plac\u00e9 dans le VLAN 30 :<\/p>\n\n\n\n Objectifs :<\/p>\n\n\n\n R1 envoie le trafic vers R2 (Internet simul\u00e9) :<\/p>\n\n\n\n R2 renvoie vers R1 :<\/p>\n\n\n\n Le switch utilise :<\/p>\n\n\n\n Objectif :<\/p>\n\n\n\n Important :<\/p>\n\n\n\n SSH est activ\u00e9 sur les \u00e9quipements :<\/p>\n\n\n\n Cela permet une administration s\u00e9curis\u00e9e du r\u00e9seau.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Cette rubrique explique le r\u00f4le des ACL dans le lab Packet Tracer. Une ACL appliqu\u00e9e en entr\u00e9e sur une interface filtre les paquets qui arrivent par cette interface.<\/p>\n\n\n\n L\u2019ACL-WAN filtre les connexions venant d\u2019Internet.<\/p>\n\n\n\n Elle permet uniquement les connexions HTTP et HTTPS vers l\u2019adresse publique du routeur. Ces flux sont ensuite redirig\u00e9s par NAT\/PAT vers le serveur web en DMZ.<\/p>\n\n\n\n Cette ACL est appliqu\u00e9e aux VLAN 10, 20 et 30.<\/p>\n\n\n\n Elle autorise les VLAN 10 et 20 \u00e0 acc\u00e9der au serveur web en HTTP. Comme elle est aussi appliqu\u00e9e au VLAN 30, elle limite les flux initi\u00e9s par le serveur. Le serveur peut r\u00e9pondre \u00e0 des connexions d\u00e9j\u00e0 \u00e9tablies, mais ne peut pas initier librement des connexions vers les VLAN internes.<\/p>\n\n\n\n Cette ACL est appliqu\u00e9e au VLAN 99.<\/p>\n\n\n\n Elle autorise le r\u00e9seau d\u2019administration \u00e0 acc\u00e9der aux r\u00e9seaux internes du lab.<\/p>\n\n\n\n Le VLAN 99 peut donc administrer les \u00e9quipements et acc\u00e9der aux VLAN n\u00e9cessaires. Les r\u00e8gles ACL sont lues de haut en bas. Dans ce lab, des Pour v\u00e9rifier o\u00f9 une ACL est appliqu\u00e9e :<\/p>\n\n\n\n Ce lab montre une architecture s\u00e9curis\u00e9e simple :<\/p>\n\n\n\n Les ACL permettent de limiter les communications au strict n\u00e9cessaire et de r\u00e9duire les risques de mouvement lat\u00e9ral entre les zones r\u00e9seau.![\"\"](\"https:\/\/eryann.fr\/wp-content\/uploads\/2026\/05\/731ae7a1-9a04-4a5f-8202-4493fead5434-1024x683.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/eryann.fr\/wp-content\/uploads\/2026\/05\/Capture-decran-2026-05-03-163235-1024x429.png\")
<\/figure>\n\n\n\nVLAN<\/th> R\u00e9seau<\/th> Plage utilisable<\/th> Broadcast<\/th><\/tr><\/thead> VLAN 10<\/td> 10.0.0.0\/26<\/td> 10.0.0.1 \u2192 10.0.0.62<\/td> 10.0.0.63<\/td><\/tr> VLAN 20<\/td> 10.0.0.64\/26<\/td> 10.0.0.65 \u2192 10.0.0.126<\/td> 10.0.0.127<\/td><\/tr> VLAN 30 (DMZ)<\/td> 10.0.0.128\/26<\/td> 10.0.0.129 \u2192 10.0.0.190<\/td> 10.0.0.191<\/td><\/tr> VLAN 99 (Admin)<\/td> 10.0.0.192\/26<\/td> 10.0.0.193 \u2192 10.0.0.254<\/td> 10.0.0.255<\/td><\/tr> WAN<\/td> 16.0.0.0\/24<\/td> 16.0.0.1 \u2192 16.0.0.254<\/td> 16.0.0.255<\/td><\/tr> INTERNET<\/td> 192.168.0.0\/24<\/td> 192.168.0.1 \u2192 192.168.0.254<\/td> 192.168.0.255<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Zone<\/th> VLAN<\/th> \u00c9quipement<\/th> Interface<\/th> Adresse IP<\/th> Masque<\/th> Passerelle<\/th><\/tr><\/thead> WAN<\/td> –<\/td> R1<\/td> G0\/0<\/td> 16.0.0.1<\/td> 255.255.255.0<\/td> –<\/td><\/tr> WAN<\/td> –<\/td> R2<\/td> G0\/0\/1<\/td> 16.0.0.2<\/td> 255.255.255.0<\/td> –<\/td><\/tr> LAN1<\/td> VLAN 10<\/td> R1<\/td> G0\/1.10<\/td> 10.0.0.62<\/td> 255.255.255.192<\/td> –<\/td><\/tr> LAN1<\/td> VLAN 10<\/td> PC user<\/td> –<\/td> 10.0.0.x<\/td> 255.255.255.192<\/td> 10.0.0.62<\/td><\/tr> LAN2<\/td> VLAN 20<\/td> R1<\/td> G0\/1.20<\/td> 10.0.0.126<\/td> 255.255.255.192<\/td> –<\/td><\/tr> LAN2<\/td> VLAN 20<\/td> PC user<\/td> –<\/td> 10.0.0.x<\/td> 255.255.255.192<\/td> 10.0.0.126<\/td><\/tr> DMZ<\/td> VLAN 30<\/td> R1<\/td> G0\/1.30<\/td> 10.0.0.190<\/td> 255.255.255.192<\/td> –<\/td><\/tr> DMZ<\/td> VLAN 30<\/td> Serveur web<\/td> –<\/td> 10.0.0.129<\/td> 255.255.255.192<\/td> 10.0.0.190<\/td><\/tr> ADMIN<\/td> VLAN 99<\/td> R1<\/td> G0\/1.99<\/td> 10.0.0.254<\/td> 255.255.255.192<\/td> –<\/td><\/tr> ADMIN<\/td> VLAN 99<\/td> Switch S1<\/td> VLAN99<\/td> 10.0.0.194<\/td> 255.255.255.192<\/td> 10.0.0.254<\/td><\/tr> ADMIN<\/td> VLAN 99<\/td> Poste admin<\/td> –<\/td> 10.0.0.x<\/td> 255.255.255.192<\/td> 10.0.0.254<\/td><\/tr> INTERNET<\/td> –<\/td> R2<\/td> G0\/0\/0<\/td> 192.168.0.1<\/td> 255.255.255.0<\/td> –<\/td><\/tr> INTERNET<\/td> –<\/td> PC externe<\/td> –<\/td> 192.168.0.4<\/td> 255.255.255.0<\/td> 192.168.0.1<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n ! ################################\n! # Switch S1\n! ################################\n\n!\nservice password-encryption\nhostname S1\nenable secret 5 $1$mERr$hC1uXYrHXKKdh8\/JQHjjK\/\n!\n!\n!\nip ssh version 2\nip ssh time-out 60\nno ip domain-lookup\nip domain-name eryann.lan\n!\nusername admin secret 5 $1$mERr$hC1uXYrHXKKdh8\/JQHjjK\/\n\n! \ncrypto ke generate rsa\n\nline vty 0 15\n exec-timeout 5 0\n login local\n transport input ssh\n\n\n!\nspanning-tree mode pvst\nspanning-tree extend system-id\n!\ninterface FastEthernet0\/1\n switchport access vlan 10\n switchport mode access\n switchport port-security\n switchport port-security mac-address sticky \n switchport port-security violation restrict \n switchport port-security mac-address sticky 0000.0C62.961A\n!\ninterface FastEthernet0\/2\n switchport access vlan 10\n switchport mode access\n switchport port-security\n switchport port-security mac-address sticky \n switchport port-security violation restrict \n switchport port-security mac-address sticky 0003.E447.17DC\n!\ninterface FastEthernet0\/3\n switchport access vlan 20\n switchport mode access\n switchport port-security\n switchport port-security mac-address sticky \n switchport port-security violation restrict \n switchport port-security mac-address sticky 0002.4AA1.2EDB\n!\ninterface FastEthernet0\/4\n switchport access vlan 30\n switchport mode access\n switchport port-security\n switchport port-security mac-address sticky \n switchport port-security violation restrict \n!\ninterface FastEthernet0\/5\n switchport access vlan 99\n switchport mode access\n switchport port-security\n switchport port-security mac-address sticky \n switchport port-security violation restrict \n switchport port-security mac-address sticky 000A.4160.1000\n!\ninterface range FastEthernet0\/6-24\n switchport port-security mac-address sticky \n switchport port-security violation restrict \n shutdown\n!\ninterface FastEthernet0\/24\n switchport port-security mac-address sticky \n switchport port-security violation restrict \n shutdown\n!\ninterface GigabitEthernet0\/1\n switchport trunk allowed vlan 10,20,30,99\n switchport mode trunk\n!\ninterface GigabitEthernet0\/2\n shutdown\n!\ninterface Vlan1\n no ip address\n shutdown\n!\ninterface Vlan99\n ip address 10.0.0.194 255.255.255.192\n!\nip default-gateway 10.0.0.254\n!\n!\n!\nend\n\n<\/code><\/pre>\n\n\n\n! ################################\n! # Routeur R2\n! ################################\n\n!\nversion 15.1\nno service timestamps log datetime msec\nno service timestamps debug datetime msec\nservice password-encryption\n!\nhostname R1\n!\nenable secret 5 $1$mERr$hC1uXYrHXKKdh8\/JQHjjK\/\n\n!\nusername admin privilege 15 secret 5 $1$mERr$hC1uXYrHXKKdh8\/JQHjjK\/\n\n!\ncrypto ke generate rsa\n!\nip ssh version 2\nip ssh time-out 60\nno ip domain-lookup\nip domain-name eryann.lan\n!\n!\nline vty 0 15\n exec-timeout 5 0\n login local\n transport input ssh\n!\nspanning-tree mode pvst\n!\n!\ninterface GigabitEthernet0\/0\n ip address 16.0.0.1 255.255.255.0\n ip access-group ACL-WAN in\n ip nat outside\n duplex auto\n speed auto\n!\ninterface GigabitEthernet0\/1\n no ip address\n ip nat inside\n duplex auto\n speed auto\n!\ninterface GigabitEthernet0\/1.10\n encapsulation dot1Q 10\n ip address 10.0.0.62 255.255.255.192\n ip access-group ACL-LAN-USER-SERVER in\n ip nat inside\n!\ninterface GigabitEthernet0\/1.20\n encapsulation dot1Q 20\n ip address 10.0.0.126 255.255.255.192\n ip access-group ACL-LAN-USER-SERVER in\n ip nat inside\n!\ninterface GigabitEthernet0\/1.30\n encapsulation dot1Q 30\n ip address 10.0.0.190 255.255.255.192\n ip access-group ACL-LAN-USER-SERVER in\n ip nat inside\n!\ninterface GigabitEthernet0\/1.40\n no ip address\n shutdown\n!\ninterface GigabitEthernet0\/1.99\n encapsulation dot1Q 99\n ip address 10.0.0.254 255.255.255.192\n ip access-group ACL-LAN-ADMIN in\n ip nat inside\n!\ninterface Vlan1\n no ip address\n shutdown\n!\nip nat inside source static tcp 10.0.0.129 80 16.0.0.1 80 \nip nat inside source static tcp 10.0.0.129 443 16.0.0.1 443 \nip classless\nip route 0.0.0.0 0.0.0.0 16.0.0.2 \n!\nip flow-export version 9\n!\n!\nip access-list extended ACL-WAN\n permit tcp any host 16.0.0.1 eq www\n permit tcp any host 16.0.0.1 eq 443\n permit tcp 10.0.0.128 0.0.0.63 any established\n permit tcp any 10.0.0.0 0.0.0.255 established\n deny ip 10.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255\n deny ip any any\n\nip access-list extended ACL-LAN-ADMIN\n permit ip 10.0.0.192 0.0.0.63 10.0.0.0 0.0.0.255\n deny ip any any\n\nip access-list extended ACL-LAN-USER-SERVER\n permit tcp 10.0.0.0 0.0.0.63 host 10.0.0.129 eq www\n permit tcp 10.0.0.64 0.0.0.63 host 10.0.0.129 eq www\n permit tcp 10.0.0.128 0.0.0.63 any established\n deny ip 10.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255\n permit ip 10.0.0.0 0.0.0.63 any\n deny ip any any\n!\n!\n!\nend\n\n<\/code><\/pre>\n\n\n\n\n
! ################################\n! # Routeur R2\n! ################################\n\n!\nversion 16.6.4\nno service timestamps log datetime msec\nno service timestamps debug datetime msec\nno service password-encryption\n!\nhostname R2\n!\n!\nip cef\nno ipv6 cef\n!\n!\nspanning-tree mode pvst\n!\n!\ninterface GigabitEthernet0\/0\/0\n ip address 192.168.0.1 255.255.255.0\n duplex auto\n speed auto\n!\ninterface GigabitEthernet0\/0\/1\n ip address 16.0.0.2 255.255.255.0\n duplex auto\n speed auto\n!\ninterface GigabitEthernet0\/0\/2\n no ip address\n duplex auto\n speed auto\n!\ninterface Vlan1\n no ip address\n!\nip classless\nip route 0.0.0.0 0.0.0.0 16.0.0.1 \n!\nip flow-export version 9\n!\n!\n!\nline con 0\n!\nline aux 0\n!\nline vty 0 4\n login\n!\n!\nend\n\n<\/code><\/pre>\n\n\n\n\n
Explication du fonctionnement du lab<\/h1>\n\n\n\n
Architecture g\u00e9n\u00e9rale<\/h2>\n\n\n\n
- un switch L2 (S1) pour la segmentation r\u00e9seau
- un routeur R1 pour le routage inter-VLAN, NAT\/PAT et filtrage
- un routeur R2 simulant Internet
- un serveur web plac\u00e9 en DMZ<\/code><\/pre>\n\n\n\n
\n\n\n\nSegmentation r\u00e9seau (VLAN)<\/h2>\n\n\n\n
VLAN 10 : utilisateurs
VLAN 20 : utilisateurs
VLAN 30 : serveurs (DMZ)
VLAN 99 : administration<\/code><\/pre>\n\n\n\nswitchport access vlan X<\/code><\/pre>\n\n\n\nswitchport mode trunk<\/code><\/pre>\n\n\n\n
\n\n\n\nRoutage inter-VLAN (router-on-a-stick)<\/h2>\n\n\n\n
interface g0\/1.10
encapsulation dot1Q 10
ip address 10.0.0.62 255.255.255.192<\/code><\/pre>\n\n\n\n\n
VLAN 10 \u2192 gateway : 10.0.0.62
VLAN 20 \u2192 gateway : 10.0.0.126
VLAN 30 \u2192 gateway : 10.0.0.190
VLAN 99 \u2192 gateway : 10.0.0.254<\/code><\/pre>\n\n\n\n
\n\n\n\nNAT \/ PAT<\/h2>\n\n\n\n
PAT dynamique (sortant)<\/h3>\n\n\n\n
LAN\/DMZ \u2192 Internet<\/code><\/pre>\n\n\n\nPAT statique (port forwarding)<\/h3>\n\n\n\n
ip nat inside source static tcp 10.0.0.129 80 16.0.0.1 80
ip nat inside source static tcp 10.0.0.129 443 16.0.0.1 443<\/code><\/pre>\n\n\n\n16.0.0.1:80 \u2192 10.0.0.129:80
16.0.0.1:443 \u2192 10.0.0.129:443<\/code><\/pre>\n\n\n\n
\n\n\n\nFiltrage avec ACL<\/h2>\n\n\n\n
ACL c\u00f4t\u00e9 WAN<\/h3>\n\n\n\n
ip access-list extended ACL-WAN
permit tcp any host 16.0.0.1 eq www
permit tcp any host 16.0.0.1 eq 443
deny ip any any<\/code><\/pre>\n\n\n\n\n
\n\n\n\nACL c\u00f4t\u00e9 LAN<\/h3>\n\n\n\n
\n
permit tcp 10.0.0.0 0.0.0.63 host 10.0.0.129 eq www<\/code><\/pre>\n\n\n\n
\n\n\n\nDMZ (zone d\u00e9militaris\u00e9e)<\/h2>\n\n\n\n
10.0.0.128\/26<\/code><\/pre>\n\n\n\n\n
\n\n\n\nRoute par d\u00e9faut<\/h2>\n\n\n\n
ip route 0.0.0.0 0.0.0.0 16.0.0.2<\/code><\/pre>\n\n\n\nip route 0.0.0.0 0.0.0.0 16.0.0.1<\/code><\/pre>\n\n\n\n
\n\n\n\nS\u00e9curisation du switch<\/h2>\n\n\n\n
switchport port-security
switchport port-security mac-address sticky<\/code><\/pre>\n\n\n\n\n
\n
\n\n\n\nAcc\u00e8s distant s\u00e9curis\u00e9<\/h2>\n\n\n\n
ip ssh version 2
username admin secret ...<\/code><\/pre>\n\n\n\n
Les ACL permettent de filtrer les flux entre les VLAN, la DMZ, le r\u00e9seau d\u2019administration et Internet.<\/p>\n\n\n\nPositionnement des ACL<\/h2>\n\n\n\n
ACL-WAN : appliqu\u00e9e sur l\u2019interface WAN de R1
ACL-LAN-ADMIN : appliqu\u00e9e sur le VLAN 99
ACL-LAN-USER-SERVER : appliqu\u00e9e sur les VLAN 10, 20 et 30<\/code><\/pre>\n\n\n\nSch\u00e9ma logique des zones<\/h2>\n\n\n\n
INTERNET
|
| HTTP \/ HTTPS
|
16.0.0.1
+---------+
| R1 |
+---------+
|
Trunk 802.1Q
|
+---------+
| S1 |
+---------+
| | | |
VLAN10 VLAN20 VLAN30 VLAN99
Utilisateurs Utilisateurs DMZ Admin
10.0.0.0\/26 10.0.0.64\/26 10.0.0.128\/26 10.0.0.192\/26
| | | |
PC user PC user Serveur web Poste admin
10.0.0.129 10.0.0.194<\/code><\/pre>\n\n\n\nR\u00f4le de l\u2019ACL-WAN<\/h2>\n\n\n\n
ip access-list extended ACL-WAN
permit tcp any host 16.0.0.1 eq www
permit tcp any host 16.0.0.1 eq 443
permit tcp any any established
deny ip any any<\/code><\/pre>\n\n\n\n16.0.0.1:80 \u2192 10.0.0.129:80
16.0.0.1:443 \u2192 10.0.0.129:443<\/code><\/pre>\n\n\n\nR\u00f4le de l\u2019ACL-LAN-USER-SERVER<\/h2>\n\n\n\n
ip access-list extended ACL-LAN-USER-SERVER
permit tcp 10.0.0.0 0.0.0.63 host 10.0.0.129 eq www
permit tcp 10.0.0.64 0.0.0.63 host 10.0.0.129 eq www
permit tcp 10.0.0.128 0.0.0.63 any established
deny ip 10.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255
permit ip 10.0.0.0 0.0.0.63 any
deny ip any any<\/code><\/pre>\n\n\n\n
Elle emp\u00eache les communications directes entre VLAN internes.
Elle autorise le VLAN 10 \u00e0 sortir vers Internet.
Elle bloque le reste.<\/p>\n\n\n\nR\u00f4le de l\u2019ACL-LAN-ADMIN<\/h2>\n\n\n\n
ip access-list extended ACL-LAN-ADMIN
permit ip 10.0.0.192 0.0.0.63 10.0.0.0 0.0.0.255
deny ip any any<\/code><\/pre>\n\n\n\n
Tout autre trafic non pr\u00e9vu est bloqu\u00e9.<\/p>\n\n\n\nTableau des flux autoris\u00e9s et bloqu\u00e9s<\/h2>\n\n\n\n
Source<\/th> Destination<\/th> Port \/ protocole<\/th> Action<\/th> Explication<\/th><\/tr><\/thead> Internet<\/td> 16.0.0.1<\/td> TCP 80<\/td> Autoris\u00e9<\/td> Publication HTTP du serveur web<\/td><\/tr> Internet<\/td> 16.0.0.1<\/td> TCP 443<\/td> Autoris\u00e9<\/td> Publication HTTPS du serveur web<\/td><\/tr> Internet<\/td> LAN interne<\/td> Tous<\/td> Bloqu\u00e9<\/td> Protection des VLAN internes<\/td><\/tr> VLAN10<\/td> Serveur DMZ 10.0.0.129<\/td> TCP 80<\/td> Autoris\u00e9<\/td> Acc\u00e8s web utilisateur<\/td><\/tr> VLAN20<\/td> Serveur DMZ 10.0.0.129<\/td> TCP 80<\/td> Autoris\u00e9<\/td> Acc\u00e8s web utilisateur<\/td><\/tr> VLAN10<\/td> Internet<\/td> IP<\/td> Autoris\u00e9<\/td> Sortie Internet autoris\u00e9e<\/td><\/tr> VLAN20<\/td> Internet<\/td> IP<\/td> Bloqu\u00e9<\/td> Pas de r\u00e8gle d\u2019autorisation g\u00e9n\u00e9rale<\/td><\/tr> VLAN10<\/td> VLAN20<\/td> Tous<\/td> Bloqu\u00e9<\/td> Isolation inter-VLAN<\/td><\/tr> VLAN10<\/td> VLAN30 hors HTTP<\/td> Tous<\/td> Bloqu\u00e9<\/td> Acc\u00e8s limit\u00e9 au serveur<\/td><\/tr> VLAN20<\/td> VLAN30 hors HTTP<\/td> Tous<\/td> Bloqu\u00e9<\/td> Acc\u00e8s limit\u00e9 au serveur<\/td><\/tr> VLAN30 serveur<\/td> LAN interne<\/td> Tous<\/td> Bloqu\u00e9<\/td> Confinement de la DMZ<\/td><\/tr> VLAN30 serveur<\/td> R\u00e9ponses TCP<\/td> Established<\/td> Autoris\u00e9<\/td> R\u00e9ponses aux connexions existantes<\/td><\/tr> VLAN99 admin<\/td> R\u00e9seaux internes<\/td> IP<\/td> Autoris\u00e9<\/td> Administration du lab<\/td><\/tr> Autres flux<\/td> Tous<\/td> Tous<\/td> Bloqu\u00e9<\/td> S\u00e9curit\u00e9 par d\u00e9faut<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Sch\u00e9ma des flux<\/h2>\n\n\n\n
Internet
|
| autoris\u00e9 : TCP 80 \/ 443
v
16.0.0.1 sur R1
|
| NAT\/PAT
v
Serveur DMZ 10.0.0.129
VLAN10
| autoris\u00e9 : HTTP vers serveur
| autoris\u00e9 : sortie Internet
v
Serveur DMZ \/ Internet
VLAN20
| autoris\u00e9 : HTTP vers serveur
| bloqu\u00e9 : sortie Internet g\u00e9n\u00e9rale
v
Serveur DMZ
VLAN30 serveur
| autoris\u00e9 : r\u00e9ponses TCP \u00e9tablies
| bloqu\u00e9 : initiation vers LAN
v
LAN interne
VLAN99 admin
| autoris\u00e9 : acc\u00e8s aux r\u00e9seaux internes
v
VLAN10 \/ VLAN20 \/ VLAN30 \/ \u00e9quipements r\u00e9seau<\/code><\/pre>\n\n\n\nPoints importants<\/h2>\n\n\n\n
La premi\u00e8re r\u00e8gle qui correspond au trafic est appliqu\u00e9e.
Si aucune r\u00e8gle ne correspond, le trafic est bloqu\u00e9 par le deny implicite.<\/p>\n\n\n\ndeny ip any any<\/code> sont ajout\u00e9s explicitement pour rendre le filtrage plus visible lors des tests.<\/p>\n\n\n\nCommandes de v\u00e9rification<\/h2>\n\n\n\n
show access-lists
show ip interface brief
show ip nat translations
show ip nat statistics<\/code><\/pre>\n\n\n\nshow running-config | section interface<\/code><\/pre>\n\n\n\n\u00c0 retenir<\/h2>\n\n\n\n
VLAN utilisateurs s\u00e9par\u00e9s
Serveur isol\u00e9 en DMZ
Acc\u00e8s Internet filtr\u00e9
Administration s\u00e9par\u00e9e dans un VLAN d\u00e9di\u00e9
Publication web contr\u00f4l\u00e9e par NAT\/PAT<\/code><\/pre>\n\n\n\n