M08:

Notions de base sur le

routage et la commutation
ENSEIGNÉ PAR : HICHAM BOURHIL
 Introduction
 Rappel sur l’adressage IP
 Configuration d’un routeur
 Routage
 IPv6
 Commutation (switching)
 Sécurité des équipements réseau
 Sécurité des commutateurs
Sécurité des ports

 Listes de contrôle d’accès (ACL)

IPv4
IPv6
 La sécurité des ports sur un commutateur permet de
restreindre et limiter l’accès seulement aux adresses
MAC autorisées.
 Pour déterminer statiquement l’adresse MAC autorisée:
 S1(config-if)# switchport port-security mac-address @mac

 Pour déterminer dynamiquement l’adresse MAC autorisée

(adresse MAC rémanente):
 S1(config-if)# switchport port-security mac-address sticky
 Pour activer la sécurité d’un port:
 S1(config-if)# switchport port-security

 Remarque: pour activer la sécurité d’un port, il faut d’abord

configurer ce port en mode « access » :
 S1(config-if)# switchport mode access

 Pour fixer le nombre maximum d’adresse MAC autorisées

(par défaut 1):
 S1(config-if)# switchport port-security maximum num
Les modes de violation de sécurité:
 Protect
 Restrict
 Shutdown (par défaut)
Pour configurer un mode de violation sur un port:
 Switch(config-if)# switchport port-security violation restrict

Pour afficher la sécurité d’un port:

 Switch# show port-security interface interface-id
 Les ACL (Access Control Lists) permettent de
filtrer des paquets suivant des critères définis par
l'utilisateur.

 Il existe 2 types d'ACL :

 Standard : uniquement sur les IP sources
 Etendue : sur quasiment tous les champs des en-têtes
IP, TCP et UDP
 Router(config)# access-list num {permit|deny}
{host @ip | @reseau wildcard | any}
(Le numéro est compris entre 1 et 99)
 access-list 10 deny host 192.168.1.5
 access-list 10 permit 192.168.1.0 0.0.0.255
 access-list 10 deny any

 Router(config)# access-list num remark description

 Access-list 10 remark ACL de la salle Cisco
 Pour afficher les ACL:
 R# show access-list [num]

 Pour effacer une ACL:

 R(config)# no access-list num

 Pour appliquer une ACL sur une interface:

 R(config)# interface fa0/0
 R(config-if)# ip access-group num { in | out }
 Port Service Protocole couche 4
20/21 FTP TCP
22 SSH TCP
23 Telnet TCP
25 SMTP TCP
53 DNS UDP
67 DHCP UDP
80 HTTP TCP
110 POP3 TCP
443 HTTPS TCP
 Port Port
Règle Action IP source IP dest Protocol
src dest

1 Accept 192.168.10.20 194.154.192.3 tcp any 25

2 Accept any 192.168.10.3 tcp any 80

3 Accept 192.168.10.0/24 any tcp any 80

4 Deny any any any any any

 Donnez les règles nécessaires du Pare-feu (Firewall) pour
permettre uniquement à un poste (10.1.1.1) à se connecter
à l’extérieur. Ce poste doit pouvoir accéder à tous les
serveurs en utilisant tous les protocoles sauf HTTP

Port Port
Règle Action IP source IP dest Protocol
src dest

1 Deny 10.1.1.1 any tcp any 80

2 Accept 10.1.1.1 any any any any

3 Deny any any any any any

 Donnez les règles nécessaires du Pare-feu (Firewall) pour
permettre au réseau (192.168.5.0/28) à se connecter à
l’extérieur à l’aide du protocole SSH, sauf le poste
192.168.5.10. Tous les autres réseaux doivent être bloqués.

Port Port
Règle Action IP source IP dest Protocol
src dest

1 Deny 192.168.5.10 Any Any Any Any

2 Accept 192.168.5.0 /28 Any Tcp Any 22

3 Deny Any Any Any Any Any

 access-list num {deny|permit} proto source [eq port]
destination [eq port]
(Le numéro est compris entre 100 et 199)

Exemples:
 access-list 105 permit udp 192.168.3.0 0.0.0.255 host
192.168.2.30 eq 53
 access-list 105 deny ip any any
1. Créez le schéma suivant :

2. Configurez un serveur Web (HTTP) et un serveur

DNS sur la machine Server1.
3. Configurez le routeur « Router0 » pour permettre
uniquement au postes PC1 et PC2 de se
connecter à l’extérieur. Le poste PC1 doit
pouvoir accéder seulement au protocole HTTP
et PC2 à tous les protocoles.

4. Appliquer l’ACL sur l’interface série.

 Port Port
Règle Action IP source IP dest Protocol
src dest

1 Permit 10.0.0.4 any Tcp Any 80

2 Permit 10.0.0.5 Any Any Any Any

3 Deny Any Any Any Any Any

1. Créez le schéma suivant :
2. Configurez une ACL standard pour que seul
le LAN3 puisse accéder au LAN1.

3. Configurez une ACL pour :

a) Autoriser seulement le réseau LAN1 à accéder
au serveur Web Serv2 uniquement
b) Autoriser seulement le réseau LAN2 à accéder
au serveur DNS Serv3 uniquement
c) Bloquer le reste du trafic vers le LAN3.
 R1(config)# ipv6 access-list nom
 R1(config-ipv6-acl)# {deny|permit} protocole
source [eq port] destination [eq port]

Exemples:
 R1(config)# ipv6 access-list ACL1
 R1(config-ipv6-acl)# permit ipv6 fc01::/16 host fc03::3
 R1(config-ipv6-acl)# permit tcp any fc03::/16 eq 22
 R1(config-ipv6-acl)# deny ipv6 any any
Pour appliquer une ACL sur une interface:
 R1(config-if)# ipv6 traffic-filter nom { in | out }

Exemples:
 R1(config-if)# ipv6 traffic-filter ACL1 out

Remarques:
 Il n’y a plus la notion d’ACL standard ou étendues
 Les ACL en IPv6 ne sont plus identifiées par des numéros,
mais par des nom.
 Pour afficher les ACL IPv6:
 R3# show ipv6 access-list nom

 Pour effacer une ACL IPv6:

 R3(config)# no ipv6 access-list nom
1. Créez le schéma suivant :

2. Configurez une ACL sur R1 pour permettre au LAN1 de

se connecter uniquement au service Web de Server0
et à toutes les machines en telnet.