Bien souvent en entreprise et bien que cela soit la base de la base niveau sécu, nous devons séparer chaque type de ressource dans un VLAN. Dans le cas de serveurs par exemple, ces derniers doivent êtres dans un réseau propre avec politique de filtrage adaptée à l'accès et à l'utilisation du serveur (réguler l'accès à Internet, autoriser certaines machines / utilisateurs / réseaux à accéder aux ressources du serveurs...).

L'objectif de ce guide sera de présenter un mode opératoire qui consistera à monter un réseau autour d'un VLAN. Plus précisément, nous allons créer une interface Trunk qui se chargera de diffuser les VLANs créés sur le Switch. Ensuite, puisque nous utiliseront VMware VCSA, nous nous chargerons de créer les interfaces dédiées aux VLANS créés (création de vSwitch). Puis, pour terminer, nous allons créer l'interface VLAN sur le firewall Stormshield SNS et ainsi que les différentes règles de filtrage de base afin d 'accéder à Internet.

Avant de commencer

Afin de mieux organiser les choses, il est plus recommander en entreprise comme chez vous pour des labs ou des maquettes de répertorier toutes votre infrastructure. Plus précisément, il est avantageux de mieux recenser les différents réseaux, machines, serveurs au sein d'un classeur Excel, par exemple, et d'y inscrire toutes les informations de votre infrastructure.

Généralement, dans une matrice de flux, nous y retrouverons les éléments de bases tel que :

• Le nom de la machine,
• Une description des services applicatifs, des ressources accessibles et disponibles,
• Son adresse IP,
• Son interface réseau physique rattachée à la machine,
• L'ID du VLAN et le nom du VLAN,
• Le nom du firewall (si vous en avez plusieurs),
• Version du système d'exploitation.

Le fait de réaliser des documents de ce type est la base en entreprise. Prenez le temps de poser les choses et de recenser chacune des machines, chaque réseau de créé et je vous garantie que ça vous simplifiera la vie

Configuration sur le Switch (Cisco IOS)

Il est nécessaire ensuite de créer l'interface sur le Cisco afin de diffuser le VLAN. Les commandes sont réalisées sur un switch Cisco (l'équivalent des commandes pour d'autres constructeurs sont facilement accessibles sur Internet ).

Création du VLAN

Se connecter en mode privilégié sur le switch Cisco :

SW001>en
  *> Password:***********
SW001#conf t

Création du VLAN (ex : création VLAN avec l'ID 10 ; nom = vlan_id_10) :

SW001(config)#vlan 10
SW001(config-vlan)#name vlan_id_10
SW001(config-vlan)#no sh
	*%VLAN 308 is not shutdown.*
SW001(config-vlan)#

Ici, on ne renseigne pas d'adresse IP pour l'interface du switch.

On affecte le VLAN ID 10 créé à une interface du Switch :

SW001(config)#interface fastEthernet 1/0/28
SW001(config-if)#switchport access vlan 10
SW001(config-if)#no sh

Nous allons ici affecter à l'interface 28 (la dernière interface du Switch 28 ports) le VLAN 10. On active en plus de cela l'interface avec la commande no shutdown.

Création de l'interface Trunk

Un Trunk est un lien direct entre deux équipements, le plus souvent entre deux switchs configurés de telle sorte à y faire circuler des trames Ethernet modifiées comportant des informations relatives au VLAN sur lequel elles transitent. En effet, l’avantage de cette solution est ainsi de faire passer l’ensemble des VLANs sur le switch distant.

Prenons l’exemple de deux switchs sont reliés l’un à l’autre, chacun ayant été configuré avec 2 VLANs : le VLAN 1 et le VLAN 2.

Le but ici est que le trafic du VLAN1 de gauche puisse circuler sur le VLAN1 de droite et idem pour le VLAN2. Afin que cela soit possible, il faut configurer la liaison entre les deux switchs en « Trunk » … ou plus précisément configurer une encapsulation dot1Q des trames lorsqu’elles transitent sur le lien de sorte que le switch qui la reçoit peut ensuite la relayer dans le bon VLAN.

Quand on parle d’encapsulation, on doit forcément faire appel à un protocole. Utilisé de nos jours, le protocole dot1Q (norme IEEE 802.1Q) le protocole standard défini par l’IEEE. Le dot1Q aura pour mission d’insérer un tag supplémentaire dans l’entête de la trame Ethernet et uniquement sur les VLANs autres que le VLAN natif. Pour rappel, le VLAN natif est celui utilisé par les protocoles comme CDP par exemple pour s’échanger les informations.

Si une agrégation est effectuée par un Trunk sur une seule et unique interface du switch raccordée au firewall, il ne sera pas nécessaire de rajouter manuellement les VLANs à l'interface (recommandé).

Cependant, si vous souhaitez réaliser la configuration d'une interface Trunk, voici la procédure suivante :

SW001#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW001(config)#interface GigabitEthernet1/0/6
SW001(config-if)#description Trunk FW SNS
SW001(config-if)#switchport trunk encapsulation dot1q
SW001(config-if)#switchport mode trunk
SW001(config-if)#no sh

On peux vérifier les différentes interfaces Trunk avec show interfaces trunk :

SW001#show interfaces trunk

Port    Mode       Encapsulation Status    Native vlan
Gi1/0/2   on        802.1q     trunking   1
Gi1/0/48  on        802.1q     trunking   1

Port    Vlans allowed on trunk
Gi1/0/2   1-4094
Gi1/0/48  1-4094

Port    Vlans allowed and active in management domain
Gi1/0/2   1,101,120,122,124,126,128,130,140,200,202,204,206,208,210,212,214,216,218,222,300-302,304,306,308
Gi1/0/48  1,101,120,122,124,126,128,130,140,200,202,204,206,208,210,212,214,216,218,222,300-302,304,306,308

Port    Vlans in spanning tree forwarding state and not pruned
Gi1/0/2   1,101,120,122,124,126,128,130,140,200,202,204,206,208,210,212,214,216,218,222,300-302,304,306,308
Gi1/0/48  1,101,120,122,124,126,128,130,140,200,202,204,206,208,210,212,214,216,218,222,300-302,304,306,308
SW001#

On n'oublie pas de réaliser l'enregistrement de la configuration (copy running-config startup-config) :

SW001(config)#exit
SW001#cop r s
	*Destination filename [startup-config]?
	*Building configuration...
	[OK*]*
SW001#

À noter que le VLAN doit être créé uniquement sur le switch au préalable (Cisco, HP, Extreme Networks, Cambium...). Le firewall ne publie pas le VLAN (on garde ce rôle pour le Switch ) !

Création du "DSwitch" avec VMware

Passons dès à présent à la configuration complète afin d'accueillir nos différentes interfaces rattachées aux VLANs créés sur le Switch Cisco.

Créer le "Distributed Switch" (DSwitch) sur le VCSA

Afin de proposer aux VM le réseau VLAN, il est important de créer un switch virtuel distribué afin de permettre la distribution des VLANs par le biais de plusieurs interfaces virtuelles dédiées.

Dans Mise en réseau, sélectionnez votre Datacenter (ici : VemoTech) et effectuer un clic droit, puis Distributed Switch > Nouveau Distributed Switch :

Choisissez un nom pour le "DSwitch", et spécifiez la version ESXi de celui-ci :

Les fonctionnalités et améliorations des Distributed switch en version 6.6.0 est intéressant comme l’apprentissage MAC, mais encore en version 6.5.0 l’améliorations de la mise en miroir du port et en version 6.0.0 la prise en charge du « Network I/O Control version 3 » et de l’écoute IGMP/MLD.

Si jamais dans le futur, vous réalisez une upgrade du VCSA, une migration de la version du "DSwitch" sera nécessaire

On souhaite avoir, par défaut, 4 liaisons montantes, on laisse actif le contrôle réseau E/S et on décoche l’option « Créer un groupe de ports par défaut » : nous créerons plus tard manuellement nos groupes de ports :

Et voilà ! Notre "DSwitch" est désormais créé :

Ajouter le DSwitch sur le(s) serveur(s) ESXi

Il est nécessaire de faire connaitre de "DSwitch" créé sur le vCenter aux différents serveurs ESXi. Effectuez un clic droit sur le "DSwitch" créé en question, puis « Ajouter et gérez des hôtes » :

Dans ce cas de figure, on souhaite ajouter un serveur ESXi 6.7. Sélectionnez l’option « Ajouter des hôtes » :

Cliquez ensuite sur « Nouveaux hôtes » afin d’ajouter le(s) serveur(s) ESXi qui recevrons le DSwitch :

Sélectionnez une liaison montante qui sera rattachée. Cette liaison sera la carte réseau (NIC) du serveur connecté au Switch, pour l'agrégation des VLANs avec le Trunk.

Cliquez sur le bouton « Attribuer une liaison montante » :

Définissez ensuite l’option d’attribution de la liaison sur « Automatique » :

Ignorez l’attribution des adaptateurs VMKernel. Ignorez également la migration du réseau des machines virtuelles existantes. Cliquez sur « Terminer » afin de prendre en compte les modifications.

En se rendant dans les propriétés du DSwitch, puis dans l’onglet « Hôtes », nous distinguons bien que le serveur ESXi est rattaché :

Création de l’interface Trunk de diffusion des VLANs créés sur le Switch

Il est nécessaire de créer une interface qui va permettre de distribuer les tags des VLAN créés sur le switch Cisco. Étant donné que nos VLAN seront créés sur le switch Cisco et que celui-ci dispose d’un port configuré en Trunk, il est nécessaire de créer une jonction VLAN afin de faire connaitre la plage des VLANs créés.

Sur la console VCSA, effectuez un clic droit sur le DSwitch précédemment créé afin de créer une nouvelle interface, puis « Groupe de ports distribués » puis « Nouveau groupe de ports distribués… » :

Spécifiez un nom d’interface qui permettra d’identifier le VLAN (ici « TRUNK »). Spécifiez comme type de VLAN « Jonction VLAN » et laissez la plage de jonctions VLAN par défaut.

Validez les modifications. Votre interface pour le Trunk est désormais créée !

Création de l'interface sur le VMware vCenter (VCSA)

Une fois que notre DSwitch a bien été créé & configuré, nous allons poursuivre dans la configuration de VMware, plus précisément la création de groupe de port sur le VCSA. Sur notre "Distributed Switch", clic droit + "Groupe de ports distribués" > "Nouveau groupe de ports distribués..."

Spécifiez le nom correspondant au nom du VLAN. Assurez vous de respectez la même syntaxe (même nom de l'interface en se référant toujours sur le classeur Excel (Matrice Réseaux) :

Renseignez l'ID du VLAN créé dans la partie VLAN > Type de VLAN = VLAN > ID du VLAN = 10 :

Terminer l'opération, l'interface est créée.

L’interface VLAN avec l'ID 10 a été créée sur le VCSA :

Création de l'interface VLAN sur le firewall

Avant tout, il est nécessaire de créer les interfaces qui seront trunkée sur une interface privée du pare-feu, qui cette dernière sera connectée au switch Cisco.

Rendez-vous dans CONFIGURATION > RÉSEAU > Interfaces, et la liste des interfaces du pare-feu apparait. Sélectionnez l’interface qui servira de Trunk (par exemple « trunk_agg ») et cliquez sur Ajouter > VLAN > Pour « trunk_agg » :

Renseignez le nom de l’interface VLAN, l’ID de ce VLAN et définissez l’interface comme étant interne au pare-feu (puisque dans notre cas nous souhaitons créer un réseau protégé qui sera distribué par le SNS). Dans la partie « Plan d’adressage », définissez l’adresse de passerelle du réseau.

Plusieurs informations à compléter :

• Nom de l'interface du VLAN (respectez le même nom) : ici vlan_id_10,
• Commentaire : descriptif de l'interface VLAN (ressources qui y'a derrière),
• Interface parente : "in",
• Identifiant : ID du VLAN (ici : 10),
• Cette interface est : INTERNE (car le trafic proviendra du firewall),
• Plan d'adressage fixe : @IP de la GW pour ce réseau + masque CIDR

Il est possible de créer d’autres VLAN sur une seule et même interface physique afin d’en faire un Trunk, avec une configuration supplémentaire à réaliser sur le Switch