Exercice 1 : ACL Standard

1- Tous les utilisateurs de LAN 1ne sont pas autorisés d’accéder au LAN 2 sauf X
2- Tous les utilisateurs de LAN 1 sont autorisés d’accéder au LAN 3 à l’exception utilisateur Y
3- Administrateur est le seul autorisé d’accéder aux deux routeurs R1 et R2 avec VTY (Telnet et
SSH)

Rappel

Masque Générique de ACL :

1- Bit = 0 à vérifier
2- Bit = 1 à Ignorer

@IP :

@IP Host : Mask /32 : Masque Générique : 0.0.0.0

@IP Subnet : Masque Générique : Mask Inverse de réseau (Ex /26 : 255.255.255.192--- 0.0.0.63)

N’importe (any) : Masque Générique : any = 255.255.255.255

Correction :

1- R2(Config)#access-list 16 permit host 172.16.1.10 « 10 » « Permission de User X »

R2(Config)#access-list 16 deny 172.16.1.0 0.0.0.127 « 20 » « Refuser de LAN1 »
R2(Config)# access-list 16 permit any « 30 » « Permission le reste »
R2(Config)#interface G0/0
R2(Config-if)#ip access-groupe 16 out

Ajouter Admin :
R2(Config)# access-list 16 permit host 172.16.1.100 « 40 » « Faux »
 R2(Config)# access-list 16
R2(Config-std-nacl)# 15 permit host 172.16.1.100

2- R2(Config)#ip access-list standart TO-LAN3

R2(Config-st-nacl)#deny host 172.16.1.20 « 10 »
R2(Config-st-nacl)#permit any « 20 »
R2(Config-st-nacl)#exit
R2(Config)#interface G0/1
R2(Config-if)#ip access-groupe TO-LAN3 out

3- R1/2(Config)#ip access-list standart TO-VTY

R1/2 (Config-st-nacl)#permit host 172.16.1.100 « Permission pour ADMIN »
R1/2 (Config-st-nacl)#deny any log
R1/2 (Config-st-nacl)#exit
R1/2 (Config)#line vty 0 4
R1/2 (Config-line)#access-class TO-VTY in

Exercice 2 : (ACL Etendu)

Règles :

1- ACL Etendu est appliqué au plus proche de la source

2- A la fin de ACL Etendu une instruction implicite par défaut ip Deny any any

Configurez la politique de sécurité conformément à la figure et les règles ci-dessous :

Sachant que l’accès permet que :

1- Les utilisateurs de réseau LAN1 sont autorisé d’accéder au LAN 2 avec les services
DNS et FTP.

2- Les utilisateurs de réseau LAN3 sont autorisé d’accéder au LAN 2 avec les services
DNS et HTTPs.

3- L’administrateur est le seule accède au LAN2 avec la commande Ping et les deux
services Telnet et SSH.

4- L’administrateur est le seule accède au routeur R1/R2 avec le service Telnet et SSh.

Tel que l’adresse réseau de LAN1 est 172.16.1.0/25, LAN2 : 172.16.2.64/28, LAN3 :
172.16.3.128/26, adresse de l’administrateur est 172.16.1.100 et l’adresse de serveur Web est
172.16.2.71, FTP 172.16.2.72 et DNS 172.16.2.70.

Correction :

/25 : 255.255.255.128 MG= 0.0.0.127

/28 : 255.255.255.240 : MG= 0.0.0.15

 /26 : 255.255.255.192 : MG= 0.0.0.63

1 et 3) :

R1(config)#access-list 102 permit UDP 172.16.1.0 0.0.0.127 host 172.16.2.70 eq 53

R1(config)#access-list 102 permit TCP 172.16.1.0 0.0.0.127 host 172.16.2.72 range 20 21
R1(config)#access-list 102 permit ICMP host 172.16.1.100 172.16.2.64 0.0.0.15 echo
R1(config)#access-list 102 permit TCP host 172.16.1.100 172.16.2.64 0.0.0.15 range 22 23
R1(config)#access-list 102 deny ip any 172.16.1.64 0.0.0.15
R1(config)#access-list 102 Permit ip 172.16.1.0 0.0.0.127 any
R1(config)# interface G0/0/0
R1(config-if)#ip access-groupe 102 in
R1(config-if)#end
R1#wr

2) :

R2(config)#access-list 103 permit UDP 172.16.3.128 0.0.0.63 host 172.16.2.70 eq 53

R2(config)#access-list 103 permit TCP 172.16.3.128 0.0.0.63 host 172.16.2.71 eq www
R2(config)#access-list 103 deny ip any 172.16.1.64 0.0.0.15
R2(config)#access-list 103 Permit ip 172.16.3.128 0.0.0.63 any
R2(config)# interface G0/0/1
R2(config-if)#ip access-groupe 103 in
R2(config-if)#end
R2#wr

3) :
1) R1/R2(configl)#ip access-list extended TO-VTY
R1/R2 (config-ext-nacl)#permit tcp host 172.16.1.100 any range 22 23
R1/R2 (config-ext-nacl)#deny ip any any log
R1/R2 (config-ext-nacl)#exit
R1/R2 (config#line vty 0 4
R1/R2 (config)#access-class TO-VTY in
Exercice 3 : (ACL Etendu)

Configurez dans le Routeur de l’entreprise EDGE la politique de sécurité conformément à la

figure et les règles ci-dessous :

Sachant que l’accès permet que :

1- Les utilisateurs de réseau privé accèdent à l’internet avec les services SMTP, HTTPS et
DNS.

2- L’administrateur est le seule accède aux serveurs de l’entreprise Web et DNS avec la
commande Ping et les deux services Telnet et SSH.

3- L’administrateur est le seule accède au routeur EDGE avec le service Telnet et SSh.

Tel que l’adresse réseau privé est 172.16.0.0/22, adresse de l’administrateur est 172.16.1.100
et l’adresse de serveur Web est 202.100.100.10 et DNS 202.95.93.77.

/22 : 255.255.252.0

ICMP : (code opération)

1- Ping : Echo
2- Réponse de Ping : Echo-relpy
3- Non accessible : unrecheable
4- Délai dépasse : timeout
Correction :

EDGE(config)#ip access-list extended TO-INTERNET

1) EDGE(config-ext-nacl)#permit tcp 172.16.0.0 0.0.3.255 any eq 443 (Service HTTPs)

EDGE(config-ext-nacl)#permit tcp 172.16.0.0 0.0.3.255 any eq 25 (Service SMTP)

EDGE(config-ext-nacl)#permit udp 172.16.0.0 0.0.3.255 any eq 53/Domain (Service

DNS)

2) EDGE(config-ext-nacl)#permit icmp host 172.16.1.100 host 202.100.100.10 echo (ping)

EDGE(config-ext-nacl)#permit tcp host 172.16.1.100 host 202.100.100.10 range 22 23 (SSH

et Telnet)

EDGE(config-ext-nacl)#permit icmp host 172.16.1.100 host 202.95.93.77 echo

EDGE(config-ext-nacl)#permit tcp host 172.16.1.100 host 202.95.93.77 range 22 23

EDGE(config-ext-nacl)# deny ip any any log

EDGE(config-ext-nacl)#exit

EDGE(config)#interface f0/0

EDGE(config)#ip access-groupe TO-INTERNET in

3) EDGE(configl)#ip access-list extended TO-EDGE

EDGE(config-ext-nacl)#permit tcp host 172.16.1.100 any range 22 23
EDGE(config-ext-nacl)#deny ip any any log
EDGE(config-ext-nacl)#exit
EDGE(config#line vty 0 4
EDGE(config)#access-class TO-EDGE in

Exercice 3 : (Pat)

L’entreprise X a un accès à l’internet (voir la figure ci-dessous). L’ISP fourni 4 adresses

IP publiques de 198.18.184.105 – 198.18.184.108 (198.18.184.104/29). Cette
entreprise ayant 3000 utilisateurs, qu’ils demandent l’accès à l’internet simultanément
tel que l’adresse Réseau privé est 172.31.32.0/20.
 1) Présentez et expliquez la solution de l’accès à l’internet pour l’entreprise X.
2) Configurer le routeur de frontière entre les deux réseaux publique et privé.

Fa0/0 S0/0/0

Rappel

NB :

NAT : Translation par @IP

PAT = NAT surcharge/Overload : Translation @IP et le Port

Translation :

Privé vers Public

@IP @IP (Nat Static)

Liste @IP Pool @IP (NAT Dynamique)

Liste @IP @IP (PAT avec unique @IP Public)

Liste @IP Pool @IP/Port (Pat avec pool @IP Public)

Correction

/20 : 255.255.240.0

PAT = NAT Overload

2- PAT

Frontiere#conf t

Frontiere(Config)#ip route 0.0.0.0 0.0.0.0 S0/0/0

Frontiere(Config)#access-list 99 permit 172.31.32.0 0.0.15.255

Frontiere(Config)#ip nat pool PAT 198.18.184.105 198.18.184.108 nestmask 255.255.255.248

Frontiere(Config)#ip nat inside source list 99 pool PAT overload

Frontiere(Config)#interface F0/0

Frontiere(Config-if)#ip nat inside

Frontiere(Config-if)#exit

Frontiere(Config)#interface S0/0/0

Frontiere(Config-if)#ip nat outside

Frontiere(Config-if)#end

Frontiere#Wr
Bon courage