Scribd Logo
Importer

Bienvenue sur Scribd !

  • Corrig Du TD ACLs

    Transféré par

    Iman Elotmani
    170 vues4 pages
    jk

    Titre original

    Corrig_du_TD_ACLs_

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    jk

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    170 vues4 pages

    Corrig Du TD ACLs

    Transféré par

    Iman Elotmani
    jk

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    ENSA Agadir A.

    U : 2019-2020

    TD : Les ACLs (corrigé)


    Exercice 1 :
    1) (1,2) : Permettre aux utilisateurs du réseau LAN de l’entreprise d’accéder au serveur
    HTTP local.
    (3,4) : Permettre aux utilisateurs du réseau LAN de l’entreprise d’accéder au serveur
    DNS local.
    (5,6) : Permettre aux utilisateurs externes (utilisateurs d’Internet) d’accéder au serveur
    HTTP local de l’entreprise.
    (7,8) : Permettre aux utilisateurs du réseau LAN de l’entreprise d’accéder aux
    serveurs HTTP externes (situés sur Internet).
    2)
    Paquet Règle correspondante Action
    P1 9 Refusé
    P2 3 Accepté
    P3 5 Accepté
    P4 9 Refusé
    P5 6 Accepté

    3)
    R-config# access-list 111 permit tcp any gt 1024 172.16.0.1 eq 80
    R-config# access-list 111 permit tcp any gt 1024 any eq 80

    Remarque : Les deux règles doivent exister dans la même access-list (numéro 111) qui
    sera appliquée le plus proche de la source (S0/0) sur le flux entrant (in) qui vient de
    l’extérieur.
    R-config# interface S0/0
    R-config-if# ip access-group 111 in

    Exercice 2 :
    1)
    a. D
    b. A
    2)
    a. D
    b. Elle doit être définie sur l’interface S 0/0
    c. R-config# interface S0/0
    R-config-if# ip access-group 101 in
    3)
    a. Restreindre uniquement l’accès Telnet ou l’accès à distance à partir du réseau
    192.168.34.0 vers le réseau 17223.0.0

    -1-
    ENSA Agadir A.U : 2019-2020

    b. 192.168.34.0 0.0.0.255 : toutes les machines source du réseau 192.168.34.0 de


    classe C
    172.23.0.0 0.0.255.255 : toutes les machines source du réseau 172.23.0.0 de
    classe B

    Exercice 3 :
    1) La première ligne permet de refuser tous sauf 80 (21 sera refusé). La deuxième ligne
    permet de refuser tous sauf 21 (80 sera refusé)  tout trafic sera refusé avant d’arriver
    à la ligne 3 ou règle 3.
    2) ACL correcte (changement sont écrites en rouge) :

    Router(config)#access-list 105 permit tcp host 192.168.1.5 any eq 80


    Router(config)#access-list 105 permit tcp host 192.168.1.5 any eq 21
    Router(config)#access-list 105 deny ip host 192.168.10.5 any
    Router(config)#access-list 105 permit ip any any
    Router(config)#interface ethernet 1
    Router(config-if)#access-group 105 in

    Exercice 4 :
    1) Oui
    2) Oui
    3) Non
    4) 10.0.0.0/8 (penser à résumer toutes les adresses réseau pour pouvoir les remplacer par
    une seule adresse réseau)
    5) Router(config)# access-list 15 permit 192.168.20.1 0.0.0.254

    Explication : le dernier octet est réservé pour identifier les machines du réseau
    192.168.20.0 et le dernier bit du dernier octet est le seul bit pour vérifier la parité de
    l’identificateur de la machine (dernier_bit = 1 : nombre impair ; dernier_bit = 0 :
    nombre pair). Pour passer seulement le trafic des machines impaires du réseau
    192.168.20.0, on devra vérifier la correspondance de la valeur du dernier bit du dernier
    octet en plus des trois premiers octets en choisissant 0.0.0.11111110 comme masque
    générique c.à.d 0.0.0.254. Par la suite, changer l’adresse réseau 192.168.20.0 par
    192.168.20.1 pour pouvoir faire la correspondance juste avec les machines impaires
    du réseau 192.168.20.0.

    N.B :
    Un masque générique est une chaîne de 32 chiffres binaires utilisés par le routeur pour
    déterminer quels bits de l'adresse examiner afin d'établir une correspondance.
    Les masques génériques et les masques de sous-réseau diffèrent dans leur méthode de
    mise en correspondance des 1 et des 0 binaires. Les masques génériques respectent les
    règles suivantes pour faire correspondre les chiffres binaires 1 et 0 :

    -2-
    ENSA Agadir A.U : 2019-2020

     Bit 0 de masque générique : permet de vérifier la valeur du bit correspondant dans


    l'adresse.

     Bit 1 de masque générique : permet d'ignorer la valeur du bit correspondant dans


    l'adresse.

    Exercice 5 :
    1)

    Routeur 1 Routeur 2 Routeur 3


    Permettre aux utilisateurs internes et
    externes d’accéder aux serveurs http, Telnet, X X X
    et SMTP du LAN1
    Permettre à la machine administrateur
    d’accéder aux différents LAN x x
    Permettre aux utilisateurs du LAN 1
    d’accéder à Internet
    X

    2) ACK =1 (established) permet de configurer les ACL pour n'autoriser que les
    connexions établies et refuser tout le trafic provenant du réseau externe.

    Rappel sur l’établissement des connexions TCP :

    SYN : pour établir une connexion (demande : SYN=1 et ACK=0, acceptation :


    SYN=1 et ACK=1)
    -3-
    ENSA Agadir A.U : 2019-2020

    3)
    Routeur1(config)#access-list 105 permit tcp any gt 1023 host 193.95.33.6 eq 23
    Routeur1(config)#access-list 105 permit tcp any gt 1023 host 193.95.33.7 eq 25
    Routeur1(config)# interface S0
    Routeur1(config-if) ip access-group 105 in

    Routeur1(config)#access-list 106 permit tcp host 193.95.33.6 eq 23 any gt 1023


    Routeur1(config)#access-list 106 permit tcp host 193.95.33.7 eq 25 any gt 1023
    Routeur1(config)# interface E0
    Routeur1(config-if) ip access-group 106 in

    -4-

    Vous aimerez peut-être aussi