TP Acl PDF

Travaux pratiques 5.5.
1 : listes de contrle daccs de base

Diagramme de topologie
Table dadressage
Priphrique
R1
R2
R3
Comm1
Interface
Adresse IP
Masque de
sous-rseau
Fa0/0
192.168.10.1
255.255.255.0
Fa0/1
192.168.11.1
255.255.255.0
S0/0/0
10.1.1.1
255.255.255.252
Fa0/1
192.168.20.1
255.255.255.0
S0/0/0
10.1.1.2
255.255.255.252
S0/0/1
10.2.2.1
255.255.255.252
Lo0
209.165.200.225
255.255.255.224
Fa0/1
192.168.30.1
255.255.255.0
S0/0/1
10.2.2.2
255.255.255.252
Vlan1
192.168.10.2
255.255.255.0
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs.
Ce document contient des informations publiques Cisco.
Passerelle
par dfaut
192.168.10.1
Page 1 sur 11
CCNA Exploration
Accs au rseau sans fil : listes de contrle daccs (ACL)
Travaux pratiques 5.5.1 : listes de contrle daccs de base
Comm2
Vlan1
192.168.11.2
255.255.255.0
192.168.11.1
Comm3
Vlan1
192.168.30.2
255.255.255.0
192.168.30.1
PC1
Carte rseau
192.168.10.10
255.255.255.0
192.168.10.1
PC2
Carte rseau
192.168.11.10
255.255.255.0
192.168.11.1
PC3
Carte rseau
192.168.30.10
255.255.255.0
192.168.30.1
Serveur Web
Carte rseau
192.168.20.254
255.255.255.0
192.168.20.1
Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes :
Concevoir des listes de contrle daccs nommes standard et tendues
Appliquer des listes de contrle daccs nommes standard et tendues
Tester des listes de contrle daccs nommes standard et tendues
Rsoudre les problmes lis aux listes de contrle daccs nommes standard et tendues
Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer la scurit dun rseau de base
laide des listes de contrle daccs. Vous appliquerez des listes de contrles d'accs standard et
tendues.
Tche 1 : prparation du rseau

tape 1 : cblage dun rseau similaire celui du diagramme de topologie
Vous pouvez utiliser nimporte quel routeur disponible durant les travaux pratiques, pourvu quil dispose
des interfaces requises, comme illustr sur le diagramme de topologie.
Remarque : ces travaux pratiques ont t dvelopps et tests laide de routeurs 1841. Si vous utilisez
les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparatront
diffremment. Certaines commandes peuvent tre diffrentes ou ne pas exister sur danciens routeurs
ou des versions du systme IOS antrieures la version 12.4.
tape 2 : suppression des configurations existantes sur les routeurs
Tche 2 : excution des configurations de routeur de base

Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2 et Comm3
en respectant les consignes suivantes :
Configurez le nom d'hte du routeur conformment au diagramme de topologie.
Dsactivez la recherche DNS.
Configurez un mot de passe class pour le mode dexcution privilgi.
Configurez une bannire de message du jour.
Configurez un mot de passe cisco pour les connexions de consoles.
Configurez un mot de passe pour les connexions de terminaux virtuels (vty).
Page 2 sur 11
CCNA Exploration
Configurez des adresses IP et des masques sur tous les priphriques.
Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les rseaux.
Configurez une interface en mode boucl sur R2 pour simuler le FAI.
Configurez des adresses IP pour linterface VLAN 1 sur chaque commutateur.
Configurez chaque commutateur avec la passerelle par dfaut approprie.
Vrifiez l'intgralit de la connectivit IP laide de la commande ping.
Tche 3 : configuration dune liste de contrle daccs standard

Les listes de contrle daccs standard ne peuvent filtrer le trafic quen fonction de ladresse IP source.
Il est gnralement recommand de configurer une liste de contrle daccs standard aussi proche que
possible de la destination. Dans cette tche, vous allez configurer une liste de contrle daccs standard.
La liste de contrle daccs est conue pour bloquer le trafic provenant du rseau 192.168.11.0/24
correspondant la salle de travaux pratiques des participants, et ce afin de lempcher daccder des
rseaux locaux sur R3.
Cette liste est applique en entre, sur linterface srie de R3. Noubliez pas que chaque liste de contrle
daccs comporte une instruction deny all implicite. Cette dernire bloque tous les trafics qui ne
correspondent aucune instruction de la liste. Cest la raison pour laquelle il est ncessaire d'ajouter
linstruction permit any la fin de la liste.
Avant de configurer et dappliquer cette liste, veillez vrifier la connectivit depuis PC1 (ou linterface
Fa0/1 sur R1) vers PC3 (ou linterface Fa0/1 sur R3). Les tests de connectivit doivent aboutir avant
dappliquer cette liste.
tape 1 : cration de la liste de contrle daccs sur le routeur R3
En mode de configuration globale, crez une liste de contrle daccs standard nomme STND-1.
R3(config)#ip access-list standard STND-1
En mode de configuration de liste de contrle daccs standard, ajoutez une instruction charge de
refuser tous les paquets dont ladresse source est 192.168.11.0/24 et dajouter un message dans
la console pour chaque paquet correspondant.
R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log
Autorisez le reste du trafic.
R3(config-std-nacl)#permit any
tape 2 : application de la liste de contrle daccs
Appliquez la liste de contrle daccs STND-1 pour filtrer les paquets entrant dans R3, par le biais
de linterface srie 0/0/1.
R3(config)#interface serial 0/0/1
R3(config-if)#ip access-group STND-1 in
R3(config-if)#end
R3#copy run start
Page 3 sur 11
CCNA Exploration
tape 3 : test de la liste de contrle daccs

Avant de tester la liste de contrle daccs, assurez-vous que la console de R3 est visible. De cette
manire, vous pouvez visualiser les messages du journal de la liste daccs lorsque le paquet est refus.
Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. La liste
de contrle daccs tant conue pour bloquer le trafic dont ladresse source fait partie du rseau
192.168.11.0/24, le PC2 (192.168.11.10) ne peut normalement pas envoyer de requtes ping vers le PC3.
Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/1 sur R1,
vers linterface Fa0/1 sur R3.
R1#ping ip
Target IP address: 192.168.30.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.11.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.11.1
U.U.U
Success rate is 0 percent (0/5)
Le message suivant doit safficher sur la console de R3 :
*Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0
0.0.0.0 -> 192.168.11.1, 1 packet
En mode dexcution privilgi sur R3, lancez la commande show access-lists. Une sortie similaire la
suivante saffiche. Chaque ligne dune liste de contrle daccs possde un compteur associ, qui affiche
le nombre de paquets correspondants la rgle.
Standard IP access list STND-1
10 deny
192.168.11.0, wildcard bits 0.0.0.255 log (5 matches)
20 permit any (25 matches)
Lobjectif de cette liste tait de bloquer les htes du rseau 192.168.11.0/24. Tous les autres htes,
notamment ceux du rseau 192.168.10.0/24, doivent tre autoriss accder aux rseaux sur R3.
Effectuez un autre test depuis PC1 vers PC3 pour vrifier que ce trafic nest pas bloqu.
Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/0 sur R1,
vers linterface Fa0/1 sur R3.
R1#ping ip
Target IP address: 192.168.30.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.10.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Page 4 sur 11
CCNA Exploration
Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms
Tche 4 : configuration dune liste de contrle daccs tendue

Lorsque vous souhaitez bnficier dun contrle plus prcis, vous pouvez utiliser une liste de contrle
daccs tendue. Les listes de contrle daccs tendues peuvent filtrer le trafic en fonction dautres
critres que ladresse source. Ainsi, le filtrage peut tre bas sur le protocole, ladresse IP source,
ladresse IP de destination, le numro de port source et le numro de port de destination.
Une autre stratgie mise en place pour ce rseau indique que les priphriques du rseau local
192.168.10.0/24 ne peuvent accder quaux rseaux internes. Les ordinateurs de ce rseau local ne
sont pas autoriss accder Internet. Par consquent, ces utilisateurs ne doivent pas pouvoir accder
ladresse IP 209.165.200.225. Cette exigence sappliquant la source et la destination, il est
ncessaire dutiliser une liste de contrle daccs tendue.
Cette tche consiste configurer une liste de contrle daccs tendue sur R1, qui sera charge
dempcher le trafic en provenance dun priphrique du rseau 192.168.10.0 /24 daccder lhte
209.165.200.255 (lISP simul). Cette liste de contrle daccs sera applique en sortie de linterface
srie 0/0/0 de R1. Pour appliquer de faon optimale des listes de contrle daccs tendues, il est
conseill de les placer aussi prs que possible de la source.
Avant de commencer, vrifiez que vous pouvez envoyer une requte ping vers 209.165.200.225
depuis le PC1.
tape 1 : configuration dune liste de contrle daccs tendue nomme
En mode de configuration globale, crez une liste de contrle daccs tendue nomme EXTEND-1.
R1(config)#ip access-list extended EXTEND-1
Vous remarquerez que linvite du routeur change pour indiquer que le routeur est prsent en mode
de configuration de liste de contrle daccs tendue. partir de cette invite, ajoutez les instructions
ncessaires pour bloquer le trafic provenant du rseau 192.168.10.0 /24 destination de lhte.
Utilisez le mot cl host lors de la dfinition de la destination.
R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225
Noubliez pas que linstruction implicite deny all bloque lensemble du trafic si vous najoutez pas
dinstruction permit supplmentaire. Ajoutez linstruction permit pour vous assurer que dautres trafics
ne sont pas bloqus.
R1(config-ext-nacl)#permit ip any any
Dans le cas de listes de contrle daccs standard, la meilleure solution consiste placer la liste aussi
prs que possible de la destination. En revanche, les listes de contrle daccs tendues sont souvent
places prs de la source. La liste EXTEND-1 sera place sur linterface srie et filtrera le trafic sortant.
R1(config-if)#ip access-group EXTEND-1 out log
R1(config-if)#end
R1#copy run start
Page 5 sur 11
CCNA Exploration

partir de PC1, envoyez une requte ping linterface de bouclage du routeur R2. Ces tests doivent
chouer, car lensemble du trafic provenant du rseau 192.168.10.0 /24 est filtr lorsque la destination
est 209.165.200.225. Si la destination correspond une autre adresse, les envois de requtes ping
doivent aboutir. Pour le vrifier, envoyez des requtes ping vers R3 partir dun priphrique du
rseau 192.168.10.0/24.
Remarque : la fonctionnalit de la commande ping tendue sur R1 ne peut pas tre utilise pour tester
cette liste de contrle daccs car le trafic est issu de R1 et nest jamais test sur la liste de contrle
daccs applique linterface srie R1.
Vous pouvez effectuer une vrification approfondie en entrant la commande show ip access-list sur R1
aprs lenvoi de la requte ping.
R1#show ip access-list
Extended IP access list EXTEND-1
10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches)
20 permit ip any any
Tche 5 : contrle de laccs aux lignes vty par le biais dune liste de contrle daccs
standard
Il est gnralement conseill de restreindre laccs aux lignes vty du routeur pour ladministration distance.
Une liste de contrle daccs peut tre applique aux lignes vty afin de limiter laccs des htes ou des
rseaux spcifiques. Cette tche consiste configurer une liste de contrle daccs standard autorisant les
htes de deux rseaux accder aux lignes vty. Les autres htes se voient refuser laccs.
Vrifiez que vous pouvez tablir un accs Telnet vers R2 partir de R1 et de R3.
tape 1 : configuration de la liste de contrle daccs.
Configurez une liste de contrle daccs standard nomme sur R2 pour autoriser le trafic provenant des
rseaux 10.2.2.0/30 et 192.168.30.0/24. Refusez le reste du trafic. Attribuez la liste de contrle daccs
le nom Task-5.
R2(config)#ip access-list standard TASK-5
R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3
R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255
Accdez au mode de configuration de ligne pour les lignes vty 0 4.
R2(config)#line vty 0 4
Utilisez la commande access-class pour appliquer la liste de contrle daccs aux lignes vty , dans le
sens entrant. Vous remarquerez que cette commande diffre de la commande utilise pour appliquer des
listes de contrle daccs aux autres interfaces.
R2(config-line)#access-class TASK-5 in
R2(config-line)#end
R2#copy run start
Page 6 sur 11
CCNA Exploration

tablissez une connexion Telnet avec R2 depuis R1. R1 ne comporte pas dadresse IP prsente dans
la plage dadresses rpertorie dans les instructions dautorisation de la liste de contrle daccs TASK-5.
Les tentatives de connexion sont censes chouer.
R1# telnet 10.1.1.2
Trying 10.1.1.2
% Connection refused by remote host
tablissez une connexion Telnet avec R2 depuis R3. Vous tes alors invit entrer le mot de passe des lignes vty.
R3# telnet 10.1.1.2
Trying 10.1.1.2 Open
CUnauthorized access strictly prohibited, violators will be prosecuted
to the full extent of the law.
User Access Verification
Password:
Pourquoi les tentatives de connexion partir dautres rseaux chouent-elles alors que ces rseaux
ne sont pas explicitement rpertoris dans la liste de contrle daccs ?
_________________________________________________________________________________
_________________________________________________________________________________
Tche 6 : dpannage des listes de contrle daccs

Lorsquune liste de contrle daccs est mal configure, applique une interface inadquate ou dans
un sens incorrect, le trafic rseau peut tre affect de manire imprvisible.
tape 1 : suppression dune liste de contrle daccs STND-1 partir de S0/0/1 de R3
Vous avez prcdemment cr et appliqu une liste de contrle daccs standard nomme sur R3.
Utilisez la commande show running-config pour afficher la liste de contrle daccs et sa position.
Vous devriez remarquer quune liste de contrle daccs appele STND-1 a t configure et applique
en entre de linterface srie 0/0/1. Souvenez-vous que cette liste a t conue pour empcher
lensemble du trafic dont ladresse source provient du rseau 192.168.11.0/24 daccder au rseau
local de R3.
Pour supprimer la liste de contrle daccs, accdez au mode de configuration dinterface de linterface
srie 0/0/1 de R3. Utilisez la commande no ip access-group STND-1 in pour supprimer la liste de
contrle daccs de linterface.
R3(config-if)#no ip access-group STND-1 in
Utilisez la commande show running-config pour vrifier que la liste de contrle daccs a bien t
supprime de linterface srie 0/0/1.
tape 2 : application de la liste de contrle daccs STND-1 en sortie de linterface S0/0/1
Pour comprendre limportance du sens de filtrage des listes de contrle daccs, appliquez nouveau
la liste STND-1 linterface srie 0/0/1. Cette fois, la liste de contrle daccs filtrera le trafic sortant et
non le trafic entrant. Pensez utiliser le mot cl out lors de lapplication de la liste de contrle daccs.
R3(config-if)#ip access-group STND-1 out
Page 7 sur 11
CCNA Exploration

Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. Vous pouvez
galement envoyer une requte ping tendue partir de R1. Vous remarquerez que cette fois, lenvoi de
requtes ping aboutit et que les compteurs de la liste de contrle daccs ne sont pas modifis. Pour le vrifier,
entrez la commande show ip access-list sur R3.
tape 4 : restauration de la configuration dorigine de la liste de contrle daccs
Supprimez la liste de contrle daccs applique en sortie et appliquez-la nouveau en entre.
R3(config-if)#no ip access-group STND-1 out
R3(config-if)#ip access-group STND-1 in
tape 5 : application de la tche TASK-5 linterface srie Serial 0/0/0 dentre de R2
R2(config-if)#ip access-group TASK-5 in
partir de R1 ou des rseaux qui y sont connects, essayez de communiquer avec un priphrique
connect R2 ou R3. Vous remarquerez que toutes les communications sont bloques, mais que cette
fois les compteurs de liste de contrle daccs ne sont pas incrments. Cela est d la prsence
dune instruction deny all (refuser tout) implicite la fin de chaque liste de contrle daccs.
Cette instruction deny bloque tous les trafics entrants de linterface srie Serial 0/0/0 provenant
dune autre source que R3. Cela a pour principale consquence que les routes provenant de R1 seront
supprimes de la table de routage.
Les messages similaires ce qui suit doivent safficher sur les consoles de R1 et R2. Notez que
la dsactivation de la relation de voisinage du protocole OSPF peut prendre un certain temps.
*Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1
on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired
Lorsque vous recevez ce message, excutez la commande show ip route sur R1 et R2 pour afficher
les routes ayant t supprimes de la table de routage.
Supprimez la liste de contrle daccs TASK-5 de linterface, puis enregistrez vos configurations.
R2(config-if)#no ip access-group TASK-5 in
R2(config)#exit
R2#copy run start
Page 8 sur 11
CCNA Exploration
Tche 7 : documentation des configurations des routeurs

Configurations
Routeur 1
hostname R1
!
enable secret class
!
no ip domain lookup
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
no shutdown
!
ip address 192.168.11.1 255.255.255.0
no shutdown
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
ip access-group EXTEND-1 out
clockrate 64000
no shutdown
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0
!
ip access-list extended EXTEND-1
deny
ip 192.168.10.0 0.0.0.255 host 209.165.200.225
permit ip any any
!
banner motd ^CUnauthorized access strictly prohibited, violators will be
prosecuted to the full extent of the law.^
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
Routeur 2
hostname R2
!
enable secret class
!
no ip domain lookup
!
Page 9 sur 11
CCNA Exploration
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
ip address 192.168.20.1 255.255.255.0
no shutdown
!
ip address 10.1.1.2 255.255.255.252
no shutdown
!
ip address 10.2.2.1 255.255.255.252
clockrate 125000
no shutdown
!
router ospf 1
no auto-cost
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
network 209.165.200.224 0.0.0.31 area 0
!
ip access-list standard TASK-5
permit 10.2.2.0 0.0.0.3
permit 192.168.30.0 0.0.0.255
!
banner motd ^Unauthorized access strictly prohibited, violators will be
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
access-class TASK-5 in
password cisco
login
!
Routeur 3
hostname R3
!
enable secret class
!
no ip domain lookup
!
ip address 192.168.30.1 255.255.255.0
no shutdown
!
ip address 10.2.2.2 255.255.255.252
ip access-group STND-1 out
no shutdown
Page 10 sur 11
CCNA Exploration
!
router ospf 1
network 10.0.0.0 0.255.255.255 area 0
network 192.168.30.0 0.0.0.255 area 0
!
ip access-list standard STND-1
deny
192.168.11.0 0.0.0.255 log
permit any
!
banner motd ^Unauthorized access strictly prohibited, violators will be
!
line con 0
password cisco
logging synchronous
login
!
line vty 0 4
password cisco
login
!
end
Tche 8 : remise en tat

Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un
endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC
connects habituellement aux autres rseaux (rseau local de votre site ou Internet).
Page 11 sur 11

TP Acl PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

TP Acl PDF

Transféré par

Droits d'auteur :

Formats disponibles

Travaux pratiques 5.5.

1 : listes de contrle daccs de base

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Concevoir des listes de contrle daccs nommes standard et tendues

Appliquer des listes de contrle daccs nommes standard et tendues

Tester des listes de contrle daccs nommes standard et tendues

Tche 1 : prparation du rseau

Tche 2 : excution des configurations de routeur de base

Configurez le nom d'hte du routeur conformment au diagramme de topologie.

Dsactivez la recherche DNS.

Configurez un mot de passe class pour le mode dexcution privilgi.

Configurez une bannire de message du jour.

Configurez un mot de passe cisco pour les connexions de consoles.

Configurez un mot de passe pour les connexions de terminaux virtuels (vty).

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Configurez des adresses IP et des masques sur tous les priphriques.

Configurez une interface en mode boucl sur R2 pour simuler le FAI.

Configurez des adresses IP pour linterface VLAN 1 sur chaque commutateur.

Configurez chaque commutateur avec la passerelle par dfaut approprie.

Vrifiez l'intgralit de la connectivit IP laide de la commande ping.

Tche 3 : configuration dune liste de contrle daccs standard

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 3 : test de la liste de contrle daccs

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Data pattern [0xABCD]:

Tche 4 : configuration dune liste de contrle daccs tendue

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 3 : test de la liste de contrle daccs

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 3 : test de la liste de contrle daccs

Tche 6 : dpannage des listes de contrle daccs

Travaux pratiques 5.5.1 : listes de contrle daccs de base

tape 3 : test de la liste de contrle daccs

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Tche 7 : documentation des configurations des routeurs

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Tche 8 : remise en tat

Vous aimerez peut-être aussi