how-to-install-and-manage Help

Maquette Eve-ng

Nous avons conçu et déployé une infrastructure réseau complète et simulée sous EVE-NG, permettant de reproduire les composants essentiels d’un système d'information hybride d'entreprise : connectivité multi-sites, redondance, routage inter-AS, pare-feux, haute disponibilité, supervision et services critiques.

Cette maquette vise à simuler un environnement réaliste, résilient et sécurisé, intégrant plusieurs sites géographiques (Paris, Lyon, Cloud), interconnectés via différents FAI (ISP1 et ISP2), chacun jouant un rôle dans une architecture BGP multi-AS.

Infrastructure

Screenshot 2025-07-22 181455.png

Configuration basique

Nous allons commencer par faire la configuration basique des routeurs en les nommant, déclarer leurs réseaux ainsi que leur protocole de routages interne :

VPS

en conf t hostn VPS int e0/0 ip address 45.88.180.137 255.255.255.252 no sh ip route 0.0.0.0 0.0.0.0 45.88.180.138 do wr

R-Cloud

en conf t hostn R-Cloud int s1/0 ip addr 10.3.0.2 255.255.255.252 no sh int s1/1 ip addr 10.3.0.6 255.255.255.252 no sh int e0/0 ip addr 45.88.180.138 255.255.255.252 no sh no keep do wr

ISP-1

en conf t hostn ISP-1 int s1/0 ip addr 10.0.0.2 255.255.255.252 no sh int s1/1 ip addr 10.1.0.1 255.255.255.252 no sh int s1/2 ip addr 10.0.0.34 255.255.255.252 no sh int s2/0 ip addr 10.3.0.1 255.255.255.252 no sh do wr

ISP-2

en conf t hostn ISP-2 int s1/0 ip addr 10.1.0.2 255.255.255.252 no sh int s1/1 ip addr 10.0.0.26 255.255.255.252 no sh int s1/2 ip addr 10.0.0.38 255.255.255.252 no sh int s2/0 ip addr 10.3.0.5 255.255.255.252 no sh do wr

À l’intérieur de chaque site, nous avons choisi le protocole OSPF (Open Shortest Path First) pour le routage dynamique intra-site. OSPF est un protocole de type IGP (Interior Gateway Protocol) bien adapté aux environnements LAN complexes :

  • Il permet une convergence rapide,

  • Il supporte les hiérarchies de zones (ici, tout est en Area 0),

  • Il est compatible avec la plupart des équipements industriels.

OSPF assure la redondance des liens, la découverte automatique des routes internes et facilite la gestion des routes loopback utilisées dans l’iBGP.

R-Paris-1

en conf t hostn R-Paris-1 int s1/0 ip addr 10.0.0.1 255.255.255.252 no sh int s1/1 ip addr 10.0.0.9 255.255.255.252 no sh int s1/2 ip addr 10.0.0.13 255.255.255.252 no sh int s1/3 ip addr 10.0.0.5 255.255.255.252 no sh int e0/0 ip ospf network point-to-point ip addr 192.168.1.1 255.255.255.0 no sh router ospf 1 network 10.0.0.4 0.0.0.3 area 0 network 10.0.0.8 0.0.0.3 area 0 network 10.0.0.12 0.0.0.3 area 0 network 192.168.1.0 0.0.0.255 area 0 do wr

R-Paris-2

en conf t hostn R-Paris-2 int s1/0 ip addr 10.0.0.17 255.255.255.252 no sh int s1/1 ip addr 10.0.0.25 255.255.255.252 no sh int s1/2 ip addr 10.0.0.14 255.255.255.252 no sh int s1/3 ip addr 10.0.0.21 255.255.255.252 no sh int e0/0 ip ospf network point-to-point ip addr 192.168.2.1 255.255.255.0 no sh router ospf 1 network 10.0.0.12 0.0.0.3 area 0 network 10.0.0.16 0.0.0.3 area 0 network 10.0.0.20 0.0.0.3 area 0 network 192.168.2.0 0.0.0.255 area 0 do wr

R-Lyon-1

en conf t hostn R-Lyon-1 int s1/0 ip addr 10.0.0.29 255.255.255.252 no sh int s1/1 ip addr 10.0.0.10 255.255.255.252 no sh int s1/2 ip addr 10.0.0.33 255.255.255.252 no sh int s1/3 ip addr 10.0.0.22 255.255.255.252 no sh int e0/0 ip ospf network point-to-point ip addr 192.168.3.1 255.255.255.0 no sh router ospf 1 network 10.0.0.20 0.0.0.3 area 0 network 10.0.0.8 0.0.0.3 area 0 network 10.0.0.28 0.0.0.3 area 0 network 192.168.3.0 0.0.0.255 area 0 do wr

R-Lyon-2

en conf t hostn R-Lyon-2 int s1/0 ip addr 10.0.0.30 255.255.255.252 no sh int s1/1 ip addr 10.0.0.18 255.255.255.252 no sh int s1/2 ip addr 10.0.0.37 255.255.255.252 no sh int s1/3 ip addr 10.0.0.6 255.255.255.252 no sh int e0/0 ip ospf network point-to-point ip addr 192.168.4.1 255.255.255.0 no sh router ospf 1 network 10.0.0.4 0.0.0.3 area 0 network 10.0.0.16 0.0.0.3 area 0 network 10.0.0.28 0.0.0.3 area 0 network 192.168.4.0 0.0.0.255 area 0 do wr

Sécurité

Bannière

La bannière MOTD (Message of the Day) est un message affiché à toute personne qui accède à l’équipement. Elle a une fonction juridique et dissuasive, informant que l’accès est réservé aux personnes autorisées, et que toute tentative d'accès non autorisé est passible de poursuites.

C’est une bonne pratique en cybersécurité pour toute infrastructure professionnelle.

en conf t banner motd ^C **************************************************************************** * THIS ACCESS IS RESTRICTED TO AUTHORIZED PERSONNEL * * * * This is a private networking system. * * Access is only by authorized employees or agents of the Company. * * * * Unauthorized access or use shall render the user liable * * to criminal and/or civil prosecution * **************************************************************************** ^C do wr

Mot de passe

La configuration des mots de passes inclut :

  • un mot de passe console (line con 0),

  • un mot de passe telnet/SSH (line vty 0 4),

  • et une clé chiffrée (enable secret) pour protéger l'accès privilégié (mode EXEC).

Cela permet de sécuriser l’accès local et distant à tous les équipements du réseau, élément essentiel dans un contexte d’entreprise.

en conf t enable secret Azerty11 line con 0 password Azerty11 login line vty 0 4 password Azerty11 login do wr

BGP

Le choix du protocole BGP (Border Gateway Protocol) repose sur sa capacité à gérer le routage inter-domaines (entre différents AS – Autonomous Systems). Dans notre infrastructure :

  • Chaque ISP (65100, 65200) représente un fournisseur d'accès distinct.

  • Le cloud (65300) est vu comme un datacenter externe.

  • Le cœur du réseau interne (Paris/Lyon) appartient à l'AS 65000.

Nous avons mis en place deux types de BGP :

  • eBGP entre les différents AS.

  • iBGP entre les routeurs internes du même AS (65000), utilisant les adresses de loopback pour plus de résilience.

Configuration eBGP

eBGP, ou BGP externe, est le protocole de routage utilisé pour échanger des routes entre différents systèmes autonomes (AS). Dans notre maquette, nous utilisons eBGP pour établir des connexions entre :

  • les routeurs internes (R-Paris, R-Lyon) appartenant à l'AS 65000,

  • les fournisseurs d'accès ISP-1 (AS 65100) et ISP-2 (AS 65200),

  • ainsi que le routeur cloud (AS 65300).

Le but est de simuler un environnement multi-opérateur où chaque site peut accéder à Internet ou à d'autres sites via différents FAI.

R-Cloud

en conf t router bgp 65300 neigh 10.3.0.1 remote-as 65100 neigh 10.3.0.5 remote-as 65200 netw 45.88.180.136 mask 255.255.255.252 do wr

ISP-1

en conf t router bgp 65100 neigh 10.3.0.2 remote-as 65300 neigh 10.1.0.2 remote-as 65200 neigh 10.0.0.1 remote-as 65000 neigh 10.0.0.33 remote-as 65000 do wr

ISP-2

en conf t router bgp 65200 neigh 10.3.0.6 remote-as 65300 neigh 10.1.0.1 remote-as 65100 neigh 10.0.0.25 remote-as 65000 neigh 10.0.0.37 remote-as 65000 do wr

R-Paris-1

en conf t router bgp 65000 neigh 10.0.0.2 remote-as 65100 netw 192.168.1.0 mask 255.255.255.0 do wr

R-Paris-2

en conf t router bgp 65000 neigh 10.0.0.26 remote-as 65200 netw 192.168.2.0 mask 255.255.255.0 do wr

R-Lyon-1

en conf t router bgp 65000 neigh 10.0.0.34 remote-as 65100 netw 192.168.3.0 mask 255.255.255.0 do wr

R-Lyon-2

en conf t router bgp 65000 neigh 10.0.0.38 remote-as 65200 netw 192.168.4.0 mask 255.255.255.0 do wr

Configuration iBGP

Contrairement à eBGP, iBGP est utilisé pour l'échange de routes à l’intérieur d’un même AS. Dans notre infrastructure, tous les routeurs de l'AS 65000 sont interconnectés en iBGP. L’iBGP repose sur des interfaces loopback (Lo0) pour garantir la stabilité des sessions, même si une interface physique tombe. Pour assurer la connectivité entre ces loopbacks, nous utilisons OSPF, qui s’assure que les routes internes sont toujours disponibles.

L'iBGP permet à tous les routeurs internes de partager les routes reçues des ISP ou des clients, tout en gardant une vue cohérente de l’ensemble de l’AS.

R-Paris-1

en conf t int lo0 ip addr 172.16.100.1 255.255.255.255 no shut router ospf 1 network 172.16.100.1 0.0.0.0 area 0 router bgp 65000 neigh 172.16.100.2 remote-as 65000 neigh 172.16.100.2 update-source loopback0 neigh 172.16.100.2 next-hop-self neigh 172.16.100.3 remote-as 65000 neigh 172.16.100.3 update-source loopback0 neigh 172.16.100.3 next-hop-self neigh 172.16.100.4 remote-as 65000 neigh 172.16.100.4 update-source loopback0 neigh 172.16.100.4 next-hop-self do wr

R-Paris-2

en conf t int lo0 ip addr 172.16.100.2 255.255.255.255 no shut router ospf 1 network 172.16.100.2 0.0.0.0 area 0 router bgp 65000 neigh 172.16.100.1 remote-as 65000 neigh 172.16.100.1 update-source loopback0 neigh 172.16.100.1 next-hop-self neigh 172.16.100.3 remote-as 65000 neigh 172.16.100.3 update-source loopback0 neigh 172.16.100.3 next-hop-self neigh 172.16.100.4 remote-as 65000 neigh 172.16.100.4 update-source loopback0 neigh 172.16.100.4 next-hop-self do wr

R-Lyon-1

en conf t int lo0 ip addr 172.16.100.3 255.255.255.255 no shut router ospf 1 network 172.16.100.3 0.0.0.0 area 0 router bgp 65000 neigh 172.16.100.1 remote-as 65000 neigh 172.16.100.1 update-source loopback0 neigh 172.16.100.1 next-hop-self neigh 172.16.100.2 remote-as 65000 neigh 172.16.100.2 update-source loopback0 neigh 172.16.100.2 next-hop-self neigh 172.16.100.4 remote-as 65000 neigh 172.16.100.4 update-source loopback0 neigh 172.16.100.4 next-hop-self do wr

R-Lyon-2

en conf t int lo0 ip addr 172.16.100.4 255.255.255.255 no shut router ospf 1 network 172.16.100.4 0.0.0.0 area 0 router bgp 65000 neigh 172.16.100.1 remote-as 65000 neigh 172.16.100.1 update-source loopback0 neigh 172.16.100.1 next-hop-self neigh 172.16.100.2 remote-as 65000 neigh 172.16.100.2 update-source loopback0 neigh 172.16.100.2 next-hop-self neigh 172.16.100.3 remote-as 65000 neigh 172.16.100.3 update-source loopback0 neigh 172.16.100.3 next-hop-self do wr

Règles AS Transit

ISP-1

en conf t ip access-lis stand Paris1-65000 permit 196.168.1.0 0.0.0.255 ip access-lis stand Lyon1-65000 permit 196.168.3.0 0.0.0.255 router bgp 65100 neigh 10.0.0.1 distribute-list Paris1-65000 in neigh 10.0.0.33 distribute-list Lyon1-65000 in do clear ip bgp * do wr

ISP-2

en conf t ip access-lis stand Paris2-65000 permit 196.168.2.0 0.0.0.255 ip access-lis stand Lyon2-65000 permit 196.168.4.0 0.0.0.255 router bgp 65100 neigh 10.0.0.25 distribute-list Paris2-65000 in neigh 10.0.0.37 distribute-list Lyon2-65000 in do clear ip bgp * do wr

VYOS

VyOS est un système d'exploitation open source dédié au routage et à la sécurité réseau. Il fonctionne en ligne de commande, avec une syntaxe similaire à celle des équipements professionnels (Cisco, Juniper).

VyOS permet :

  • Le routage statique et dynamique (OSPF, BGP, etc.),

  • La gestion fine des interfaces réseau, des VLANs, du NAT,

  • La haute disponibilité via VRRP,

  • La sécurité via firewall stateful, IDS/IPS (Suricata), VPN, DHCP, DNS, etc.

Dans notre projet, VyOS est utilisé comme pare-feu de bordure au sein de chaque site. Chaque site dispose de deux VyOS configurés en redondance via VRRP.

Installation

documentation EVE-ng pour l'installation de VYOS

Configuration

VYOS-Paris-1

On va créer un fichier de configuration :

vi config-vyos-paris-1.sh

Voici son contenu par bloc :

  1. Configuration de base

#!/bin/vbash source /opt/vyatta/etc/functions/script-template configure # URL de mise a jour set system update-check url https://raw.githubusercontent.com/vyos/vyos-nightly-build/refs/heads/current/version.json # Configuration de base set system host-name RFW-VYOS-PARIS-1 set system option keyboard-layout fr set service ssh port 22

  1. Configuration des interfaces réseau

# Interfaces ## WAN set interfaces ethernet eth0 address 192.168.1.254/24 set interfaces ethernet eth0 description 'WAN' set protocols static route 0.0.0.0/0 next-hop 192.168.1.1 ## HA set interfaces ethernet eth1 address 10.10.100.1/29 set interfaces ethernet eth1 description 'HA-LINK' ## TRUNK VLANs set interfaces ethernet eth2 description 'LAN-TRUNK' set interfaces ethernet eth2 vif 10 address 10.10.10.254/24 set interfaces ethernet eth2 vif 10 description 'VLAN10 - SERVEURS' set interfaces ethernet eth2 vif 20 address 10.10.20.254/24 set interfaces ethernet eth2 vif 20 description 'VLAN20 - PC' set interfaces ethernet eth2 vif 30 address 10.10.30.254/24 set interfaces ethernet eth2 vif 30 description 'VLAN30 - ADMIN'

  1. NAT : Permet aux clients internes d'accéder à Internet en masquant leur IP avec celle de l’interface WAN

# NAT set nat source rule 100 source address 10.10.0.0/16 set nat source rule 100 outbound-interface name eth0 set nat source rule 100 translation address masquerade

  1. OSPF : permet de diffuser dynamiquement les routes de VyOS aux routeurs du backbone.

# OSPF set protocols ospf area 0 network 192.168.1.0/24 set protocols ospf area 0 network 10.10.100.0/29 set protocols ospf area 0 network 10.10.10.0/24 set protocols ospf area 0 network 10.10.20.0/24 set protocols ospf area 0 network 10.10.30.0/24 set protocols ospf interface eth0 network point-to-point set protocols ospf interface eth0 priority 1

  1. VRRP : permet de partager une adresse IP virtuelle entre les deux VyOS. Si l’un des pare-feux tombe, le second prend automatiquement le relais.

# VRRP sur VLANs set high-availability vrrp group VLAN10 interface eth2.10 set high-availability vrrp group VLAN10 vrid 10 set high-availability vrrp group VLAN10 address 10.10.10.1/24 set high-availability vrrp group VLAN10 priority 150 set high-availability vrrp group VLAN10 preempt-delay 60 set high-availability vrrp group VLAN10 track interface eth0 set high-availability vrrp group VLAN20 interface eth2.20 set high-availability vrrp group VLAN20 vrid 20 set high-availability vrrp group VLAN20 address 10.10.20.1/24 set high-availability vrrp group VLAN20 priority 150 set high-availability vrrp group VLAN20 preempt-delay 60 set high-availability vrrp group VLAN20 track interface eth0 set high-availability vrrp group VLAN30 interface eth2.30 set high-availability vrrp group VLAN30 vrid 30 set high-availability vrrp group VLAN30 address 10.10.30.1/24 set high-availability vrrp group VLAN30 priority 150 set high-availability vrrp group VLAN30 preempt-delay 60 set high-availability vrrp group VLAN30 track interface eth0 set high-availability vrrp sync-group MAIN member VLAN10 set high-availability vrrp sync-group MAIN member VLAN20 set high-availability vrrp sync-group MAIN member VLAN30

  1. DHCP : VyOS distribue des adresses IP dynamiquement aux postes

# DHCP ## VLAN10 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 subnet-id '10' set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 option default-router 10.10.10.1 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 range 0 start 10.10.10.100 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 range 0 stop 10.10.10.200 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 option name-server 1.1.1.1 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 lease '86400' ## VLAN20 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 subnet-id '20' set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 option default-router 10.10.20.1 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 range 0 start 10.10.20.100 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 range 0 stop 10.10.20.200 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 option name-server 1.1.1.1 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 lease '86400' # VLAN30 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 subnet-id '30' set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 option default-router 10.10.30.1 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 range 0 start 10.10.30.100 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 range 0 stop 10.10.30.200 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 option name-server 1.1.1.1 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 lease '86400'

  1. Haute disponibilité du DHCP

# HA DHCP set service dhcp-server high-availability mode active-passive set service dhcp-server high-availability source-address 10.10.100.1 set service dhcp-server high-availability remote 10.10.100.2 set service dhcp-server high-availability name HADHCP set service dhcp-server high-availability status primary

  1. DNS Forwarding : VyOS joue le rôle de DNS relais local pour améliorer la performance et la sécurité des requêtes DNS

# DNS Forwarding set service dns forwarding name-server 1.1.1.1 set service dns forwarding listen-address 10.10.10.1 set service dns forwarding listen-address 10.10.20.1 set service dns forwarding listen-address 10.10.30.1 set service dns forwarding allow-from 10.10.10.0/24 set service dns forwarding allow-from 10.10.20.0/24 set service dns forwarding allow-from 10.10.30.0/24

  1. Stateful Firewall

# Firewall stateful set firewall global-options state-policy established action 'accept' set firewall global-options state-policy invalid action 'drop' set firewall global-options state-policy related action 'accept'

  1. Suricata – IDS : Suricata analyse le trafic réseau sur les interfaces critiques (WAN + VLANs) et génère des journaux (eve.json) pour l’audit de sécurité

# Suricata ## Interfaces set service suricata interface eth0 set service suricata interface eth2.10 set service suricata interface eth2.20 ## Groupe d'Adresses set service suricata address-group all-networks address 0.0.0.0/0 ## Groupe de Ports set service suricata port-group all-ports port 1-65535 ## Logging set service suricata log eve filename /var/log/suricata/eve.json set service suricata log eve filetype regular set service suricata log eve type alert set service suricata log eve type dns set service suricata log eve type http set service suricata log eve type flow commit save

Pour appliquer la configuration :

sudo chmod +x config-vyos-paris-1.sh sg vyattacfg -c ./config-vyos-paris-1.sh

Nous devons aussi effectuer cette commande :

update suricata

Pour récupérer les dernières règles de détection et s'assurer que Suricata fonctionne correctement.

VYOS-Paris-2

vi config-vyos-paris-2.sh
#!/bin/vbash source /opt/vyatta/etc/functions/script-template configure # URL de mise a jour set system update-check url https://raw.githubusercontent.com/vyos/vyos-nightly-build/refs/heads/current/version.json # Configuration de base set system host-name RFW-VYOS-PARIS-2 set system option keyboard-layout fr set service ssh port 22 # Interfaces ## WAN set interfaces ethernet eth0 address 192.168.2.254/24 set interfaces ethernet eth0 description 'WAN' set protocols static route 0.0.0.0/0 next-hop 192.168.2.1 ## HA set interfaces ethernet eth1 address 10.10.100.2/29 set interfaces ethernet eth1 description 'HA-LINK' ## TRUNK VLANs set interfaces ethernet eth2 description 'LAN-TRUNK' set interfaces ethernet eth2 vif 10 address 10.10.10.253/24 set interfaces ethernet eth2 vif 10 description 'VLAN10 - SERVEURS' set interfaces ethernet eth2 vif 20 address 10.10.20.253/24 set interfaces ethernet eth2 vif 20 description 'VLAN20 - PC' set interfaces ethernet eth2 vif 30 address 10.10.30.253/24 set interfaces ethernet eth2 vif 30 description 'VLAN30 - ADMIN' # NAT set nat source rule 100 source address 10.10.0.0/16 set nat source rule 100 outbound-interface name eth0 set nat source rule 100 translation address masquerade # OSPF set protocols ospf area 0 network 192.168.2.0/24 set protocols ospf area 0 network 10.10.100.0/29 set protocols ospf area 0 network 10.10.10.0/24 set protocols ospf area 0 network 10.10.20.0/24 set protocols ospf area 0 network 10.10.30.0/24 set protocols ospf interface eth0 network point-to-point set protocols ospf interface eth0 priority 1 # VRRP sur VLANs set high-availability vrrp group VLAN10 interface eth2.10 set high-availability vrrp group VLAN10 vrid 10 set high-availability vrrp group VLAN10 address 10.10.10.1/24 set high-availability vrrp group VLAN10 priority 100 set high-availability vrrp group VLAN10 preempt-delay 60 set high-availability vrrp group VLAN10 track interface eth0 set high-availability vrrp group VLAN20 interface eth2.20 set high-availability vrrp group VLAN20 vrid 20 set high-availability vrrp group VLAN20 address 10.10.20.1/24 set high-availability vrrp group VLAN20 priority 100 set high-availability vrrp group VLAN20 preempt-delay 60 set high-availability vrrp group VLAN20 track interface eth0 set high-availability vrrp group VLAN30 interface eth2.30 set high-availability vrrp group VLAN30 vrid 30 set high-availability vrrp group VLAN30 address 10.10.30.1/24 set high-availability vrrp group VLAN30 priority 100 set high-availability vrrp group VLAN30 preempt-delay 60 set high-availability vrrp group VLAN30 track interface eth0 set high-availability vrrp sync-group MAIN member VLAN10 set high-availability vrrp sync-group MAIN member VLAN20 set high-availability vrrp sync-group MAIN member VLAN30 # DHCP - Backup ## VLAN10 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 subnet-id '10' set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 option default-router 10.10.10.1 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 range 0 start 10.10.10.100 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 range 0 stop 10.10.10.200 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 lease 86400 set service dhcp-server shared-network-name VLAN10 subnet 10.10.10.0/24 option name-server 1.1.1.1 ## VLAN20 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 subnet-id '20' set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 option default-router 10.10.20.1 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 range 0 start 10.10.20.100 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 range 0 stop 10.10.20.200 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 lease 86400 set service dhcp-server shared-network-name VLAN20 subnet 10.10.20.0/24 option name-server 1.1.1.1 ## VLAN30 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 subnet-id '30' set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 option default-router 10.10.30.1 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 range 0 start 10.10.30.100 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 range 0 stop 10.10.30.200 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 lease 86400 set service dhcp-server shared-network-name VLAN30 subnet 10.10.30.0/24 option name-server 1.1.1.1 # DHCP HA set service dhcp-server high-availability mode active-passive set service dhcp-server high-availability name HADHCP set service dhcp-server high-availability source-address 10.10.100.2 set service dhcp-server high-availability remote 10.10.100.1 set service dhcp-server high-availability status secondary # DNS Forwarding set service dns forwarding name-server 1.1.1.1 set service dns forwarding listen-address 10.10.10.1 set service dns forwarding listen-address 10.10.20.1 set service dns forwarding listen-address 10.10.30.1 set service dns forwarding allow-from 10.10.10.0/24 set service dns forwarding allow-from 10.10.20.0/24 set service dns forwarding allow-from 10.10.30.0/24 # Firewall stateful set firewall global-options state-policy established action 'accept' set firewall global-options state-policy invalid action 'drop' set firewall global-options state-policy related action 'accept' # Suricata ## Interfaces set service suricata interface eth0 set service suricata interface eth2.10 set service suricata interface eth2.20 ## Groupe d'Adresses set service suricata address-group all-networks address 0.0.0.0/0 ## Groupe de Ports set service suricata port-group all-ports port 1-65535 ## Logging set service suricata log eve filename /var/log/suricata/eve.json set service suricata log eve filetype regular set service suricata log eve type alert set service suricata log eve type dns set service suricata log eve type http set service suricata log eve type flow commit save

Pour appliquer la configuration :

sudo chmod +x config-vyos-paris-2.sh sg vyattacfg -c ./config-vyos-paris-2.sh

Nous devons aussi effectuer cette commande :

update suricata

Pour récupérer les dernières règles de détection et s'assurer que Suricata fonctionne correctement.

Configuration Switch L2

Switch-Paris

en conf t hostn SW1 vlan 10 name SERVEURS vlan 20 name PC vlan 30 name ADMIN exit interface e0/0 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 10,20,30 interface e0/1 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 10,20,30 int e0/2 switchport mode access switchport access vlan 10 int e0/3 switchport mode access switchport access vlan 20 do wr
Last modified: 22 July 2025
Environnement de developpementPRA/PCA