Scribd Logo
Importer

Bienvenue sur Scribd !

  • TP7 Acl

    Transféré par

    Oussama Simamri
    15 vues4 pages

    Titre original

    TP7-ACL

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    15 vues4 pages

    TP7 Acl

    Transféré par

    Oussama Simamri

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    TP

    ACL Etendue - Liste de Contrôle d’Accès

    Objectifs
    Il est parfois nécessaire de contrôler « finement » le trafic entre réseaux pour interdire ou
    filtrer les accès au réseau à protéger. Les listes de contrôle d’accès étendues ou EACL (Extend
    Access Control Lists) offrent un outil puissant pour contrôler le réseau. Elles permettent de
    filtrer, sur les interfaces du routeur, le flux des paquets entrant et sortant, en s’appuyant sur
    les IP source et/ou destination, les ports, les protocoles…

    Moyens nécessaires
     2 Routeurs CISCO 2600,
     2 Switchs,
     4 PC.

    Préparation
    La configuration de départ doit être établie de telle sorte que toutes les stations se
    « pinguent » entre-elles. Installez et configurez le réseau présenté ci-dessus. Paramétrez les
    adresses IP sur les interfaces des routeurs et les postes… Au besoin vous devrez donc
    réinitialiser routeurs et/ou switchs.
    Effacer la configuration du routeur
    S’il faut réinitialiser les routeurs, entrez les commandes suivantes :
    Router_1# erase startup-config
    Router_1# reload
    Activer le routage dynamique sur les routeurs
    Les routeurs doivent mettre en œuvre un service de routage (par exemple RIP - voir si besoin
    le TP sur le routage dynamique RIP). Les commandes sont en principe les suivantes :
    Routeur_1# conf t
    Routeur_1(config)# router rip
    Routeur_1(config-router)# network 200.100.100.0
    Routeur_1(config-router)# network 192.168.1.0
    Routeur_1(config-router)# end

    Travail à faire
    Visualiser la présence d’anciennes ACL
    Pour vérifier si d’anciennes ACL subsistent, entrez la commande suivante :
    Routeur1# show access-list (ou sh ac c’est plus rapide)
    Supprimer les ACL
    Si d’anciennes ACL subsistent il faut les désactiver au moyen des commandes suivantes :
    Routeur_1(config)# int fa 0/0 (interface à déconfigurer)
    Routeur_1(config-if)# no ip access-group 1 out (ou in selon l’affichage précédent)
    Routeur_1(config-if)# exit
    Routeur_1(config)# no access-list 1 permit any (ou une des ACL existantes)
    Vérifier la connectivité
    Avant de passer au filtrage par ACL vérifions que tout le monde communique bien avec tout le
    monde.
    1. Faites des ping entre PC pour vérifier que tout passe bien entre tous les postes.
    Créer une ACL étendue
    Nous allons créer une ACL de type étendue c'est-à-dire qui considère les notions de
    protocoles, adresses sources et destination et/ou port…
    L’objectif de notre EACL va être de bloquer les pings effectués sur le Poste A (192.168.1.1)
    mais exclusivement s’ils proviennent du Poste X (172.16.16.1). Dans les autres cas le ping
    doit passer…
    Rappelons la structure générique d’une ACL étendue :
    Router(config)# access-list numéro-de-liste {permit | deny } protocole adresse-
    source masque-source [opérateur] adresse-destination masque-destination [opérateur
    [port]] [established] [log]
    Les ACLs étendues utilisent un numéro unique (de 100 à 199).
    Un masque est associé à l’adresse IP à tester. Les chiffres 1 et 0 sont utilisés pour indiquer la
    façon de traiter les bits de l'adresse IP (0 pour vérifier et 1 pour ne pas vérifier).
    1. Placez vous sur le routeur Routeur_1, passez en mode privilégié et entrez les commandes
    suivantes :
    Routeur_1# conf t
    Routeur_1(config)# access-list 101 deny icmp 172.16.16.1 0.0.0.0 192.168.1.1
    0.0.0.0
    Routeur_1(config)# access-list 101 permit ip any any
    Le routeur qui a été choisi est Routeur_1. En effet avec les ACLs standards ou étendues, il
    vaut généralement mieux placer le filtrage « au plus près » de la destination.
    - Le numéro de l’ACL est 101 : il s’agit donc d’une ACL Etendue.
    - L’action est un deny donc on interdit
    - Le protocole concerné est icmp qui est le protocole utilisé pour le ping.
    - L’adresse d’origine des paquets est 172.16.16.1 et le masque est 0.0.0.0.
    - L’adresse de destination des paquets est 192.168.1.1 et le masque est 0.0.0.0.
    - Les quatre octets du masque ne sont constitués que de 0. On vérifie donc exactement
    tous les bits de l’adresse qui transite sur l’interface.
    - La deuxième ligne permet d’autoriser (permit) tout trafic ip et ce quelque soient les
    adresses source, destination… (any any)…, car n’oublions pas la commande implicite
    « deny any » à la fin des ACLs. En clair, si on ne met pas cette ligne permit, non
    seulement on interdit les pings au poste 172.16.16.1… mais on interdirait également
    tout à tous les autres !
    Visualiser la présence et le contenu de l’ACL
    Nous allons vérifier si l’ACL a bien été créée.
    1. Entrez la commande suivante :
    Routeur_1# show access-list (ou sh ac c’est plus rapide)
    Vérifier la communication entre les éléments du réseau
    Nous allons vérifier si l’ACL est mise en œuvre.
    1. Faites un ping depuis le Poste X (172.16.16.1) vers le Poste A (192.168.1.1).
     Le ping passe-t-il ?  Oui  Non
    2. L’ACL s’applique-t-elle ?  Oui  Non
    Affecter une ACL à une interface
    L’ACL a bien été préparée mais elle n’est pas encore appliquée. Il faut donc l’affecter à une
    interface du routeur.
    1. Entrez les commandes suivantes :
    Routeur_1(config)# int fa 0/0
    Routeur_1(config-if)# ip access-group 101 out
    Routeur_1(config-if)# end
    L’ACL est définie en out : on va donc interdire le trafic
    provenant du poste 172.16.16.1 à sortir sur l’interface
    appartenant au réseau 192.168.1.0. On entre bien par
    l’interface 200.100.100.1 mais on ne « sort plus » par
    l’interface 192.168.1.254.
    Vérifier la communication entre les éléments du réseau
    Nous allons maintenant vérifier si l’ACL est bien mise en œuvre.
    1. Faites un ping depuis le Poste X (172.16.16.1) vers le Poste A (192.168.1.1).
     Le ping passe-t-il ?  Oui  Non
     L’ACL s’applique-t-elle ?  Oui  Non
    2. Faites un ping depuis le Poste X (172.16.16.1) vers le Poste A (192.168.1.2).
     Le ping passe-t-il ?  Oui  Non
     L’ACL s’applique-t-elle ?  Oui  Non
    3. Faites un ping depuis le Poste Y (172.16.16.2) vers le Poste A (192.168.1.1).
     Le ping passe-t-il ?  Oui  Non
     L’ACL s’applique-t-elle ?  Oui  Non
    4. Faites un ping depuis le Poste A (192.168.1.1) vers le Poste Y (172.16.16.2).
     Le ping passe-t-il ?  Oui  Non
     L’ACL s’applique-t-elle ?  Oui  Non
    5. Faites un ping depuis le Poste A (192.168.1.1) vers le Poste X (172.16.16.1).
     Le ping passe-t-il ?  Oui  Non
     L’ACL s’applique-t-elle ?  Oui  Non
    Quelque chose ne vous surprend-il pas ?
    6. Entrez la commande suivante : Routeur_1# show access-lists (ou sh acl)
    7. Observez le nombre de fois ou l’entrée d’ACL a été sollicitée…
    Désactiver les ACL
    Nous allons à présent désactiver l’ ACL.
    1. Entrez les commandes suivantes :
    Routeur_1# conf t
    Routeur_1(config)# no access-list 101 permit ip any any
    Routeur_1(config)# end
    Visualiser la présence d’ACL
    Nous allons vérifier si l’ACL a bien été supprimée.
    2. Entrez la commande suivante :
    Routeur_1# sh ac

    Vous aimerez peut-être aussi