Un réseau qui fonctionne ne suffit pas : il faut aussi décider qui a le droit de parler à qui, et permettre aux adresses privées internes de sortir vers Internet. Ces deux besoins correspondent à deux outils que tout administrateur Huawei doit maîtriser : les listes de contrôle d’accès, qui filtrent le trafic selon des règles, et la traduction d’adresses, qui transforme les adresses privées en une adresse publique partagée. Dans ce tutoriel, vous empêchez le réseau « invités » d’atteindre les serveurs de l’entreprise, puis vous donnez à tout le réseau interne un accès à Internet, le tout sur le routeur R-Gateway.
🎯 Ce que vous allez apprendre
- Distinguer une liste de contrôle d’accès de base d’une liste avancée, et savoir laquelle utiliser.
- Écrire des règles de filtrage et les appliquer dans le bon sens sur une interface.
- Comprendre pourquoi la traduction d’adresses est indispensable pour accéder à Internet.
- Configurer la traduction d’adresses en mode simple, puis avec une réserve d’adresses publiques.
🛠️ Ce que vous allez construire
Vous appliquez deux politiques sur R-Gateway. D’abord une règle de sécurité : les postes du réseau invités (192.168.30.0/24) pourront sortir vers Internet mais seront empêchés d’atteindre les serveurs (192.168.20.0/24). Ensuite, une règle de traduction : toutes les adresses privées internes seront converties en l’adresse publique du routeur pour communiquer avec l’extérieur. Au terme du tutoriel, vous saurez à la fois cloisonner finement un réseau et l’ouvrir vers Internet — deux gestes au cœur de la sécurité réseau.
Prérequis
- Un routeur avec une interface interne et une interface vers l’extérieur, dans le simulateur. Voir l’installation d’eNSP.
- La configuration d’interfaces et de VLAN, vue dans le tutoriel sur les VLAN.
- Niveau : intermédiaire. ⏱️ Temps estimé : 55 minutes.
Étape 1 — Comprendre les deux familles de listes d’accès
Une liste de contrôle d’accès, ou ACL, est une suite de règles que le routeur évalue dans l’ordre pour décider d’autoriser ou de rejeter un paquet. VRP distingue deux familles principales par leur numéro. Les listes de base, numérotées de 2000 à 2999, filtrent uniquement sur l’adresse source : « ce paquet vient-il de tel réseau ? ». Les listes avancées, numérotées de 3000 à 3999, filtrent sur des critères bien plus riches : adresse source, adresse destination, protocole, numéros de port. Pour bloquer un flux précis entre deux réseaux, il faut donc une liste avancée.
Un point capital à comprendre dès le début : les règles d’une ACL sont évaluées de haut en bas, et la première qui correspond s’applique — les suivantes sont ignorées. L’ordre des règles est donc déterminant. On place les règles spécifiques avant les règles générales, sinon une règle large risque d’attraper un paquet avant que la règle précise n’ait pu agir.
✅ Point d’étape — Vous savez qu’une liste de base (2000-2999) filtre sur la source seule, qu’une liste avancée (3000-3999) filtre sur source et destination, et que les règles s’évaluent dans l’ordre.
Étape 2 — Écrire une liste avancée de filtrage
Notre objectif : interdire au réseau invités d’atteindre les serveurs, tout en laissant passer le reste de son trafic. C’est un filtrage entre deux réseaux précis, donc une liste avancée. On la crée en vue système avec la commande acl suivie d’un numéro dans la plage avancée, puis on y ajoute des règles.
[R-Gateway] acl 3000
[R-Gateway-acl-adv-3000] rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[R-Gateway-acl-adv-3000] rule 10 permit ip source 192.168.30.0 0.0.0.255
[R-Gateway-acl-adv-3000] quitAnalysons les deux règles. La première, numéro 5, rejette (deny) tout paquet IP venant du réseau invités à destination du réseau serveurs. La seconde, numéro 10, autorise (permit) tout le reste du trafic venant des invités. L’ordre est crucial : la règle de rejet, plus spécifique, vient avant la règle d’autorisation, plus générale. Si on les inversait, la règle permissive attraperait tout et le blocage ne servirait à rien. On numérote par pas de 5 pour pouvoir insérer des règles plus tard sans tout renuméroter. Les masques génériques 0.0.0.255 désignent ici des réseaux entiers en /24, selon la même logique inversée que pour OSPF.
✅ Point d’étape — La liste 3000 contient une règle de rejet ciblée suivie d’une règle d’autorisation générale.
display acl 3000affiche les deux règles dans le bon ordre.
Étape 3 — Appliquer la liste sur une interface
Une ACL définie ne filtre rien tant qu’on ne l’a pas appliquée à un endroit précis et dans un sens précis. On l’applique sur une interface, en choisissant la direction : « inbound » filtre les paquets qui entrent dans l’interface, « outbound » ceux qui en sortent. Le choix du sens est une source d’erreur classique. Ici, le trafic des invités entre dans le routeur par l’interface du réseau invités ; on filtre donc à l’entrée de cette interface.
[R-Gateway] interface GigabitEthernet0/0/2
[R-Gateway-GigabitEthernet0/0/2] traffic-filter inbound acl 3000
[R-Gateway-GigabitEthernet0/0/2] quitLa commande traffic-filter inbound acl 3000 applique la liste 3000 aux paquets entrant par cette interface. À partir de cet instant, tout paquet des invités vers les serveurs est rejeté, tandis que le reste passe. Pour valider, lancez depuis un poste invité un test vers un serveur : il doit échouer. Puis un test des invités vers une autre destination autorisée : il doit réussir. Cette double vérification confirme que la règle bloque ce qu’elle doit, sans bloquer ce qu’elle ne doit pas.
✅ Point d’étape — Le test invités vers serveurs échoue, les autres flux passent. La politique de sécurité est en place et vérifiée des deux côtés.
Étape 4 — Comprendre pourquoi la traduction d’adresses est nécessaire
Les réseaux internes utilisent des adresses dites privées — les plages en 192.168, 10 ou 172.16 — qui ne sont pas routables sur Internet. Aucun équipement public ne saura renvoyer une réponse vers 192.168.10.2, car cette adresse existe dans des millions de réseaux à la fois. La traduction d’adresses, ou NAT, résout ce problème en remplaçant, à la sortie du routeur, l’adresse privée source par l’adresse publique du routeur. Les réponses reviennent à cette adresse publique, et le routeur les redistribue au bon poste interne grâce à une table de correspondance qu’il maintient.
Sur notre maquette, l’interface tournée vers l’extérieur de R-Gateway porte une adresse publique fictive, par exemple 200.1.1.1. C’est cette adresse qui sera vue par Internet pour tout le trafic sortant, quel que soit le poste interne à l’origine. Cette technique, en plus d’économiser les rares adresses publiques, masque la structure interne du réseau, ce qui constitue un bénéfice de sécurité appréciable.
✅ Point d’étape — Vous comprenez que les adresses privées ne circulent pas sur Internet et que la traduction d’adresses les remplace par l’adresse publique du routeur à la sortie.
Étape 5 — Configurer la traduction en mode simple
La forme la plus simple de NAT s’appelle « Easy IP » : elle traduit toutes les adresses internes autorisées vers l’unique adresse de l’interface de sortie. On commence par une liste de base qui désigne quelles adresses internes ont le droit de sortir, puis on applique la traduction sur l’interface externe en y faisant référence.
[R-Gateway] acl 2000
[R-Gateway-acl-basic-2000] rule 5 permit source 192.168.0.0 0.0.255.255
[R-Gateway-acl-basic-2000] quit
[R-Gateway] interface GigabitEthernet0/0/1
[R-Gateway-GigabitEthernet0/0/1] nat outbound 2000
[R-Gateway-GigabitEthernet0/0/1] quitLa liste de base 2000 autorise toutes les adresses internes commençant par 192.168 (le masque générique 0.0.255.255 couvre cette large plage). La commande nat outbound 2000, appliquée sur l’interface de sortie, active la traduction : tout paquet autorisé par la liste 2000 verra son adresse source remplacée par celle de l’interface GigabitEthernet0/0/1. C’est aussi simple que cela. À partir de maintenant, les postes internes peuvent atteindre des destinations publiques, et leurs adresses privées n’apparaissent jamais à l’extérieur.
✅ Point d’étape — La traduction Easy IP est active.
display nat outboundmontre la liste 2000 associée à l’interface de sortie, avec le type « easyip ».
Étape 6 — Utiliser une réserve d’adresses publiques
Lorsqu’une entreprise dispose de plusieurs adresses publiques plutôt que d’une seule, on peut les regrouper dans une réserve pour mieux répartir la charge des connexions. On déclare alors un groupe d’adresses, puis on y fait référence dans la commande de traduction. Cette approche est utile sur des réseaux plus chargés, où une seule adresse publique pourrait devenir un goulot d’étranglement.
[R-Gateway] nat address-group 1 200.1.1.10 200.1.1.20
[R-Gateway] interface GigabitEthernet0/0/1
[R-Gateway-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
[R-Gateway-GigabitEthernet0/0/1] quitLa commande nat address-group 1 crée une réserve numérotée 1 contenant la plage d’adresses publiques de 200.1.1.10 à 200.1.1.20. La commande nat outbound 2000 address-group 1 traduit alors les adresses internes vers cette réserve plutôt que vers l’unique adresse de l’interface. Par défaut, la traduction conserve l’astuce des ports qui permet à plusieurs postes de partager une même adresse publique. Pour observer la table de correspondance en action, la commande display nat session all liste les traductions en cours, avec l’adresse interne d’origine et l’adresse publique utilisée.
✅ Point d’étape — Une réserve d’adresses publiques est configurée et référencée.
display nat session allrévèle les correspondances actives lorsqu’un poste interne communique vers l’extérieur.
🐞 Pièges fréquents
| Symptôme / erreur | Cause probable | Correctif |
|---|---|---|
| L’ACL ne bloque rien | Liste définie mais non appliquée, ou mauvais sens | Appliquer avec traffic-filter dans la bonne direction |
| L’ACL bloque tout le trafic | Règle permit manquante après les deny |
Ajouter une règle d’autorisation générale en fin de liste |
| Les règles s’appliquent dans le désordre | Règle générale placée avant la règle spécifique | Numéroter pour que le spécifique précède le général |
| Pas d’accès Internet malgré le NAT | Adresse interne absente de l’ACL référencée | Vérifier que la liste de base couvre bien le réseau source |
| Le retour des paquets se perd | Route de retour ou route par défaut manquante | Vérifier la table de routage et la route vers l’extérieur |
Concevoir une politique de filtrage cohérente
Écrire des règles isolées est facile ; concevoir une politique cohérente l’est moins, et c’est pourtant ce qui distingue un réseau bien tenu. Deux principes guident les professionnels. Le premier est le moindre privilège : on n’autorise que ce qui est nécessaire et on rejette le reste, plutôt que l’inverse. Le second est la lisibilité : des règles numérotées avec des intervalles, commentées dans la documentation du réseau, et regroupées par intention, se relisent et se corrigent bien plus facilement six mois plus tard.
La traduction d’adresses, de son côté, demande de la rigueur sur un point souvent négligé : le routage doit fonctionner avant que le NAT n’ait un sens. Un paquet ne peut être traduit puis envoyé que si le routeur sait par où l’envoyer. C’est pourquoi une route par défaut vers l’extérieur accompagne presque toujours une configuration de traduction. Penser ces éléments ensemble — routage, filtrage, traduction — plutôt qu’isolément est la marque d’une vision réseau mature, et c’est exactement ce que valide ce parcours.
✅ Récapitulatif
Vous savez désormais filtrer le trafic avec des listes de contrôle d’accès — en distinguant listes de base et avancées, en ordonnant correctement les règles et en les appliquant dans le bon sens — et donner un accès Internet à un réseau privé grâce à la traduction d’adresses, en mode simple comme avec une réserve d’adresses publiques. Ces deux compétences sont au cœur de la sécurité et de la connectivité de tout réseau d’entreprise. Avec elles, vous disposez de l’essentiel du socle technique attendu au niveau associé.
🧾 Aide-mémoire
| Commande | Rôle |
|---|---|
| acl 3000 | Créer une liste avancée (source + destination) |
| rule 5 deny ip source … destination … | Rejeter un flux entre deux réseaux |
| traffic-filter inbound acl 3000 | Appliquer une liste sur une interface |
| display acl 3000 | Afficher les règles d’une liste |
| acl 2000 | Créer une liste de base (source seule) |
| nat outbound 2000 | Traduire en mode simple (Easy IP) |
| nat address-group 1 … … | Déclarer une réserve d’adresses publiques |
| display nat session all | Voir les traductions en cours |
💪 À vous de jouer
Ajoutez une règle qui interdit au réseau invités d’utiliser le protocole de prise de main à distance (Telnet, port 23) vers le réseau employés, tout en laissant passer le reste. Placez-la avant la règle d’autorisation générale.
Voir une solution
[R-Gateway] acl 3000
[R-Gateway-acl-adv-3000] rule 7 deny tcp source 192.168.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 destination-port eq 23Le numéro 7 place cette règle entre le rejet vers les serveurs (5) et l’autorisation générale (10). Le critère destination-port eq 23 cible précisément Telnet ; tout le reste du trafic des invités vers les employés continue de passer.
Tutoriels liés
- Routage statique et OSPF sur un routeur Huawei — le routage doit fonctionner avant le filtrage et la traduction.
- VLAN et liaisons trunk sur un commutateur Huawei — d’où viennent les réseaux invités et serveurs filtrés ici.
🔝 Retour au guide d’ensemble : HCIA-Datacom : le parcours de certification réseau Huawei.
Ressources et références officielles
- Huawei — Configuration et application d’une liste avancée : support.huawei.com
- Huawei — Configuration de la traduction d’adresses sortante : support.huawei.com
FAQ
Liste de base ou liste avancée : comment choisir ?
Si vous ne filtrez que sur l’adresse source, une liste de base (2000-2999) suffit. Dès que vous devez tenir compte de la destination, du protocole ou d’un port, il faut une liste avancée (3000-3999).
Pourquoi l’ordre des règles compte-t-il autant ?
Parce que le routeur applique la première règle qui correspond et ignore les suivantes. Une règle générale placée trop tôt court-circuite les règles spécifiques qui la suivent.
Quelle différence entre Easy IP et une réserve d’adresses ?
Easy IP traduit tout vers l’unique adresse de l’interface de sortie. Une réserve permet de répartir la traduction sur plusieurs adresses publiques, utile quand on en possède plusieurs et que le trafic est important.
Le NAT suffit-il à sécuriser un réseau ?
Non. Il masque les adresses internes, ce qui aide, mais ne filtre pas le trafic entrant de façon fine. La sécurité repose sur la combinaison du filtrage par listes d’accès et, dans les réseaux plus exigeants, d’un pare-feu dédié.