Vous êtes sur la page 1sur 8

TP 11.2.

2b Listes de contrle d'accs tendues simples

1-8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.2b Copyright 2003, Cisco Systems, Inc.
Objectif
Configurer des listes de contrle daccs tendues pour filtrer le trafic rseau/rseau, hte/rseau et
rseau/hte.

Scnario
Une socit spcialise dans le marketing dispose de deux sites. Le bureau principal se trouve
Birmingham (BHM). La socit dispose par ailleurs dune agence Gadsden (GAD).
Ladministrateur charg des tlcommunications pour les deux sites a besoin de concevoir et de
mettre en uvre des listes de contrle daccs afin damliorer la scurit et les performances. Sur
le site de Birmingham, on distingue deux groupes dutilisateurs du rseau. Lun de ces groupes est
charg de ladministration, lautre de la production. Ils sont connects des rseaux distincts. Les
deux rseaux sont interconnects laide dun routeur.
Le site Gadsden est un rseau dextrmit ; il comporte seulement un rseau local (LAN).

tape 1 Configuration de base des routeurs et des htes


a. Connectez les routeurs et les htes comme indiqu dans le schma. Dfinissez tous les
paramtres de base des routeurs : nom d'hte, mot de passe enable, accs Telnet et interfaces.
Utilisez le schma et les tableaux ci-dessus titre de rfrence.
Note : Le routeur BHM ncessite deux interfaces Ethernet
b. Configurez tous les routeurs de la manire suivante :

BHM#show running-config

<informations ignores>

hostname BHM
!
enable secret class
!
interface FastEthernet0/0
ip address 192.168.1.17 255.255.255.240
!
interface Serial0
ip address 172.16.1.2 255.255.255.0
clock rate 56000
!
interface FastEthernet0/1
ip address 192.168.1.33 255.255.255.240
!
router rip
network 172.16.0.0
network 192.168.1.0
!
line vty 0 4
password cisco
login
!
end

BHM#
GAD#show running-config

<informations ignores>

!
hostname GAD
!
enable password class

2-8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.2b Copyright 2003, Cisco Systems, Inc.
!
interface FastEthernet0
ip address 172.16.2.1 255.255.255.0
!
interface Serial0
ip address 172.16.1.1 255.255.255.0
!
router rip
network 172.16.0.0
!
line vty 0 4
password cisco
login
!
no scheduler allocate
end

GAD#

c. Configurez les htes en utilisant les informations appropries dfinies prcdemment. Avant
dappliquer une liste de contrle d'accs, il est important de vrifier laccessibilit entre les
systmes.
Vrifiez l'accessibilit en envoyant, depuis chaque systme, une requte ping tous les systmes et
tous les routeurs.
d. Chacun des htes doit tre capable denvoyer une requte ping aux autres htes et aux
interfaces de routeurs. Si des requtes ping envoyes certaines interfaces chouent, le
problme doit tre localis et corrig. Vrifiez systmatiquement les connexions de la couche
physique qui est lorigine de la plupart des problmes de connectivit. Ensuite, vrifiez les
interfaces de routeur. Assurez-vous que ces dernires ne sont pas dsactives, mal configures
et que RIP est correctement configur. Enfin, noubliez pas que les htes doivent avoir des
adresses IP valides ainsi que des passerelles par dfaut spcifies.
e. Maintenant que l'infrastructure est en place, vous devez scuriser l'interrseau.
tape 2 Empchez les utilisateurs du groupe Production d'accder au rseau Gadsden
a. Selon la politique de la socit, seul le groupe Administration doit pouvoir accder au site
Gadsden. Le groupe Production ne doit pas y avoir accs.
b. Configurez une liste de contrle d'accs tendue qui autorise le groupe Administration accder
au site Gadsden. Vous devez en revanche en interdire l'accs au groupe Production.
c. Une analyse minutieuse rvle qu'il serait prfrable d'utiliser une liste de contrle d'accs
tendue et de l'appliquer l'interface de sortie S0 sur le routeur BHM.
Remarque : N'oubliez pas qu'une fois la liste de contrle d'accs configure, le routeur traite les
instructions qu'elle contient dans l'ordre de leur cration. Il n'est pas possible de rorganiser une
liste de contrle d'accs, ni mme d'ignorer, de modifier ou de supprimer des instructions dans
une liste de contrle d'accs numrote. C'est pourquoi il peut s'avrer utile de crer la liste
dans un diteur de texte, Bloc-notes par exemple, puis de coller les commandes au niveau du
routeur, plutt que de les entrer directement.
d. Prcisez les lments suivants :

BHM#conf terminal
Entrez les commandes de configuration (une par ligne). Terminez avec
CNTL/Z.
BHM(config)#access-list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0
0.0.0.255

3-8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.2b Copyright 2003, Cisco Systems, Inc.
e. Cette instruction dfinit une liste de contrle d'accs tendue appele 100 . Elle interdit
l'accs IP tous les utilisateurs sur le rseau 192.168.1.32 192.168.1.47 s'ils tentent d'accder
au rseau 172.16.2.0. Bien qu'il soit possible de dfinir une liste plus gnrale, celle-ci pourrait
autoriser les utilisateurs du groupe Production accder d'autres sites (ventuellement
disponibles) via l'interface S0.
f. N'oubliez pas qu'il existe un refus global implicite la fin de chaque liste de contrle d'accs.
Vous devez maintenant vous assurer que le groupe Administration peut accder au rseau
Gadsden. Vous pourriez tre plus restrictif, mais autorisez simplement tout autre type de trafic.
Entrez les instructions suivantes :

BHM(config)#access-list 100 permit ip any any

g. prsent, il faut appliquer la liste de contrle daccs une interface. Vous pourriez appliquer la
liste au trafic destin l'interface Fa0/1 du rseau de production. Toutefois, en cas de fort trafic
entre le rseau d'administration et le rseau de production, le routeur devrait vrifier chacun des
paquets. Cela risquerait d'entraner une surcharge inutile au niveau du routeur. Vous devez donc
appliquer la liste de contrle d'accs tout trafic externe passant par l'interface S0 du routeur
BHM.
Prcisez les lments suivants :

BHM(config)#interface s0
BHM(config-if)#ip access-group 100 out

h. Utilisez la commande show running-config pour vrifier la syntaxe de la liste de contrle


d'accs. Voici les instructions valides devant figurer dans la configuration :

interface Serial0
ip access-group 100 out

<informations ignores>

access-list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255


access-list 100 permit ip any any

i. La commande show access-lists est galement trs utile. Elle gnre des informations
similaires celles-ci :

BHM#show access-lists
Extended IP access list 100
deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
permit ip any any

j. La commande show access-lists affiche galement des compteurs qui indiquent le nombre
de fois o la liste a t utilise. Aucun compteur n'est prsent ici car aucune vrification
correspondante n'a encore t effectue.
Remarque : Utilisez la commande clear access-list counters pour rinitialiser les compteurs
de listes de contrle daccs.
k. Testez la liste de contrle daccs en vrifiant laccessibilit au rseau Gadsden partir des
htes dadministration et de production.

4-8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.2b Copyright 2003, Cisco Systems, Inc.
Lhte de production (B) peut-il envoyer une requte ping lhte Gadsden (D) ? _____________
Lhte de production (C) peut-il envoyer une requte ping lhte Gadsden (D) ? _____________
Lhte d'administration (A) peut-il envoyer une requte ping lhte Gadsden (D) ? ____________
Lhte de production (B) peut-il envoyer une requte ping lhte d'administration (A) ? ________
Lhte de production (B) peut-il envoyer une requte ping linterface srie du routeur
Gadsden ? _____________________
l. Les htes de production (B) et (C) doivent pouvoir envoyer des requtes ping lhte
d'administration (A) et l'interface srie du routeur Gadsden. Toutefois, ils ne doivent pas
pouvoir envoyer de requtes ping l'hte Gadsden (D). Le routeur doit dans ce cas renvoyer un
message indiquant Destination inaccessible .
Excutez la commande show access-lists. Quel est le nombre de correspondances ?
________________
Remarque : La commande show access-lists affiche le nombre de correspondances par
ligne. Par consquent, le nombre de correspondances deny peut paratre surprenant, mais il
faut savoir que les requtes ping correspondent l'instruction deny et l'instruction
permit .
m. Pour mieux comprendre le fonctionnement de la liste de contrle d'accs, continuez utiliser
rgulirement la commande show access-lists.

tape 3 Autorisez un utilisateur du groupe Production accder au rseau Gadsden


a. Vous recevez un appel d'un utilisateur du groupe Production (B). Cet utilisateur est charg
d'changer certains fichiers entre le rseau de production et le rseau Gadsden. Vous devez
modifier la liste de contrle d'accs pour l'autoriser accder au rseau Gadsden, tout en
refusant l'accs aux autres utilisateurs du rseau de production.
b. Configurez une liste de contrle d'accs tendue pour accorder cet utilisateur l'accs au
rseau Gadsden.
c. Il n'est malheureusement pas possible de rorganiser une liste de contrle d'accs, ni mme
d'ignorer, de modifier ou de supprimer des instructions dans une liste de contrle d'accs
numrote. Dans le cas des listes numrotes, toute tentative de suppression d'une instruction
entrane la suppression de l'intgralit de la liste.
d. Vous devez donc supprimer la liste de contrle d'accs tendue initiale et en crer une nouvelle.
Pour supprimer la liste 100, entrez les lments suivants :
BHM#conf t
Entrez les commandes de configuration (une par ligne). Terminez avec
CNTL/Z.
BHM(config)#no access-list 100

Utilisez la commande show access-lists pour vous assurer que la liste a t supprime.
e. Crez maintenant une nouvelle liste de contrle d'accs tendue. Le filtrage doit aller du
particulier au gnral. La premire ligne de la liste doit donc autoriser l'hte de production (B)
accder au rseau Gadsden. Les autres lignes doivent tre identiques celles de la liste
prcdente.
f. En vue du filtrage de l'hte de production (B), la premire ligne de la liste doit se prsenter
comme suit :

BHM(config)#access-list 100 permit ip host 192.168.1.34 172.16.2.0


0.0.0.255

La liste de contrle d'accs autorise donc l'hte de production (B) accder au rseau Gadsden.

5-8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.2b Copyright 2003, Cisco Systems, Inc.
g. prsent, interdisez aux autres htes de production l'accs au rseau Gadsden, et autorisez
l'accs tout autre hte. Reportez-vous l'tape prcdente pour la dfinition des deux lignes
suivantes de la configuration.
La commande show access-list affiche des informations similaires celles-ci :

BHM#show access-lists
Extended IP access list 100
permit ip host 192.168.1.34 172.16.2.0 0.0.0.255
deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255
permit ip any any
BHM#

h. Testez la liste de contrle daccs en vrifiant laccessibilit au rseau Gadsden partir des
htes dadministration et de production.
Lhte de production (B) peut-il envoyer une requte ping lhte Gadsden (D) ? _________________
Lhte de production (C) peut-il envoyer une requte ping lhte Gadsden (D) ? _________________

Lhte de production (B) doit maintenant pouvoir envoyer une requte ping lhte Gadsden (D). En
revanche, tous les autres htes de production (C) ne doivent pas pouvoir envoyer de requte ping
cet hte Gadsden (D). Le routeur doit ainsi renvoyer l'hte (C) un message indiquant Destination
inaccessible .

tape 4 Autorisez les utilisateurs du site Gadsden accder au serveur de paie du groupe
Administration
a. Le groupe Administration hberge le serveur de paie. Les utilisateurs du site Gadsden peuvent
avoir besoin d'un accs FTP et HTTP au serveur de paie afin de tlcharger des rapports de
paie.
b. Configurez une liste de contrle d'accs tendue pour accorder aux utilisateurs du site Gadsden
l'accs FTP et HTTP au serveur de paie uniquement. Ils doivent galement bnficier d'un
accs ICMP pour pouvoir envoyer des requtes ping au serveur. En revanche, ils ne doivent pas
pouvoir envoyer de requtes ping aux autres htes du rseau d'administration.
c. Pour viter tout trafic indsirable entre les sites, vous devez configurer une liste de contrle
d'accs tendue sur le routeur Gadsden.
d. Anticipez quun accs en mode privilgi au routeur GAD sera requis occasionnellement. Vous
devez donc configurer un accs Telnet ce dernier. Vous viterez ainsi d'avoir vous rendre
sur le site Gadsden pour la configuration.
e. tablissez une connexion Telnet avec le routeur Gadsden partir du routeur Birmingham et
passez en mode enable. Effectuez un dpannage, si ncessaire.
Remarque : L'un des piges les plus courants lors de la configuration de listes de contrle
d'accs sur des routeurs distants est de verrouiller l'accs ces derniers par inadvertance. Cela
ne constitue pas un problme si le routeur se trouve proximit (en local). En revanche, cela
peut devenir un problme critique si le routeur est situ dans une autre zone gographique.
f. C'est pourquoi il est vivement recommand d'excuter la commande reload in 30 sur le
routeur distant. De cette manire, le routeur distant se recharge automatiquement dans les
30 minutes suivant l'excution de cette commande. Si l'accs au routeur est verrouill, sa
configuration prcdente sera recharge, ce qui permettra l'administrateur d'accder de
nouveau au routeur. Utilisez la commande reload cancel pour dsactiver le rechargement
en attente.
g. Configurez une liste de contrle d'accs tendue pour autoriser l'accs FTP au serveur de paie.
Linstruction de la liste de contrle daccs doit tre similaire celle-ci :

6-8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.2b Copyright 2003, Cisco Systems, Inc.
GAD(config)#access-list 110 permit tcp any host 192.168.1.18 eq ftp

Grce cette ligne, tous les htes du rseau Gadsden peuvent bnficier dun accs FTP au
serveur de paie ladresse 192.168.1.18.
Plutt que d'utiliser le mot cl any , quel lment est-il possible de dfinir ?
_________________________________________________________________________________________
Plutt que d'utiliser le mot cl host , quel lment est-il possible de dfinir ?
_________________________________________________________________________________________
Plutt que d'utiliser le mot cl ftp , quel lment est-il possible de dfinir ?
_________________________________________________________________________________________

h. Configurez maintenant la ligne suivante de la liste de contrle d'accs afin d'autoriser l'accs
HTTP au serveur de paie. Linstruction de la liste de contrle daccs doit tre similaire celle-
ci :

GAD(config)#access-list 110 permit tcp any host 192.168.1.18 eq www

Grce cette ligne, tous les htes du rseau Gadsden peuvent bnficier dun accs FTP au
serveur de paie ladresse 192.168.1.18.

Plutt que d'utiliser le mot cl www, quel lment est-il possible de dfinir ?
_________________________________________________________________________________________

i. Configurez maintenant la ligne suivante de la liste de contrle d'accs afin d'autoriser l'accs
ICMP au serveur de paie. Linstruction de la liste de contrle daccs doit tre similaire celle-
ci :

GAD(config)#access-list 110 permit icmp any host 192.168.1.18

Grce cette ligne, tous les htes du rseau Gadsden peuvent envoyer une requte ping au
serveur de paie ladresse 192.168.1.18.
j. Enfin, aucun utilisateur du site Gadsden ne doit pouvoir accder aux autres htes du rseau
d'administration. Il peut s'avrer judicieux d'inclure une instruction deny , mme si cela n'est
pas obligatoire. L'ajout de cette instruction constitue un rappel utile et facilite la lecture de la liste
de contrle d'accs. Linstruction de la liste de contrle daccs doit tre similaire celle-ci :

GAD(config)#access-list 110 deny ip any 192.168.1.16 0.0.0.15

k. prsent, il faut appliquer la liste de contrle daccs une interface. Pour viter tout trafic
indsirable, vous devez appliquer la liste de contrle d'accs au trafic externe passant par
l'interface S0 du routeur Gadsden.
Prcisez les lments suivants :

GAD(config)#interface s0
GAD(config-if)#ip access-group 110 out

7-8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.2b Copyright 2003, Cisco Systems, Inc.
l. Testez la liste de contrle daccs en vrifiant laccessibilit au serveur de paie partir d'un hte
Gadsden (D).
Lhte Gadsden (D) peut-il envoyer une requte ping au serveur de paie ? ___________________
Lhte Gadsden (D) peut-il envoyer une requte ping l'hte (A) ? __________________________
L'hte Gadsden doit tre capable denvoyer une requte ping au serveur de paie uniquement. Le
routeur doit toutefois renvoyer le message Destination inaccessible lorsque l'hte tente d'envoyer
une requte ping l'hte d'administration (D).

tape 5 Dcrivez par crit la liste de contrle d'accs


a. Toute administration rseau doit comporter une documentation. Utilisez le fichier texte cr pour
la configuration et ajoutez-y des commentaires. Ce fichier doit galement contenir les
informations gnres par les commandes show access-lists et show ip interface.
b. Le fichier doit tre sauvegard avec le reste de la documentation rseau. La convention
d'attribution de noms doit reflter la fonction du fichier et indiquer la date de mise en uvre.
c. Ce TP sur les listes de contrle daccs tendues est termin.
d. Lorsque vous avez termin, effacez la configuration de dmarrage sur les routeurs, retirez les
cbles et les adaptateurs, puis rangez-les. Enfin, dconnectez-vous et mettez le routeur hors
tension.

8-8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.2b Copyright 2003, Cisco Systems, Inc.

Vous aimerez peut-être aussi