CC Huawei 2

1 Principes de base de la sécurité réseau et
accès réseau
1.1 Pratique 1 : Configuration ACL

1.1.1 Introduction
1.1.1.1 À propos de cette pratique
Une liste de contrôle d'accès (ACL) est un ensemble d'une ou plusieurs règles. Une
règle fait référence à une instruction de jugement qui décrit une condition de
correspondance de paquet, qui peut être une adresse source, une adresse de
destination ou un numéro de port.
Une ACL est un filtre de paquets basé sur des règles. Les paquets correspondant à
une ACL sont traités en fonction de la règle définie dans la ACL.
1.1.1.2 Objectifs
À la fin de cette tâche, vous serez capable de :
● Découvrir comment configurer les ACL
● Découvrir comment appliquer une ACL à une interface
● Comprendre les méthodes de base de filtrage du trafic
1.1.1.3 Topologie de réseau

Comme le montre le schéma de mise en réseau, R3 fonctionne comme serveur, R1
fonctionne comme client, et ils sont accessibles pour atteindre d'autres. Les adresses
IP des interfaces physiques connectant R1 et R2 sont respectivement 10.1.2.1/24 et
10.1.2.2/24, et les adresses IP des interfaces physiques connectant R2 et R3 sont
10.1.3.2/24 et 10.1.3.1/24, respectivement. En outre, deux interfaces logiques
LoopBack 0 et LoopBack 1 sont créées sur R1 pour simuler deux utilisateurs clients.
Les adresses IP des deux interfaces sont 10.1.1.1/24 et 10.1.4.1/24, respectivement.
Un utilisateur (Loopback 1 sur R1) doit gérer R3 à distance. Vous pouvez configurer
Telnet sur le serveur, configurer la protection par mot de passe et configurer une ACL
pour garantir que seul l'utilisateur répondant à la politique de sécurité peut se
connecter à R3.
Figure 1-1 Topologie de pratique pour la configuration du ACL
1.1.2 Configuration de la pratique

1.1.2.1 Feuille de route de configuration
1. Configurer les adresses IP.
2. Configurer OSPF pour assurer la connectivité du réseau.
3. Créer une ACL correspondante au trafic souhaité.
4. Configurer le filtrage du trafic.
1.1.2.2 Procédure de configuration

Étape 1 Configurer les adresses IP.
# Configurer les adresses IP pour R1, R2 et R3.
[R1]interface GigabitEthernet0/0/3
[R1-GigabitEthernet0/0/3]ip address 10.1.2.1 24
[R1-GigabitEthernet0/0/3]quit
[R1]interface LoopBack 0
[R1-LoopBack0]ip address 10.1.1.1 24
[R1-LoopBack0]quit
[R1]interface LoopBack 1
[R1-LoopBack1]ip address 10.1.4.1 24
[R1-LoopBack0]quit
[R2]interface GigabitEthernet 0/0/3

Étape 2 Configurer OSPF pour assurer la connectivité du réseau.

# Configurer OSPF sur R1, R2 et R3 et les affecter à la area 0 pour activer la
connectivité.
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0]return
[R2]ospf
[R2-ospf-1]area 0
[R3]ospf
[R3-ospf-1]area 0
# Exécuter la commande ping sur R3 pour tester la connectivité réseau.

<R3>ping 10.1.1.1
PING 10.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=254 time=40 ms
--- 10.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/34/40 ms
<R3>ping 10.1.2.1
0.00% packet loss
<R3>ping 10.1.4.1
0.00% packet loss
Étape 3 Configuration R3 comme serveur.

# Activer la fonction Telnet sur R3, définir le niveau utilisateur sur 3 et le mot de passe
de connexion sur Huawei@123.
[R3]telnet server enable
La commande telnet server enable active le service Telnet.

[R3]user-interface vty 0 4
La commande user-interface affiche une ou plusieurs vues de l'interface utilisateur.

L'interface utilisateur Virtual Type Terminal (VTY) gère et surveille les utilisateurs qui
se connectent à l'aide de Telnet ou SSH.
[R3-ui-vty0-4]user privilege level 3
[R3-ui-vty0-4] set authentication password cipher
Warning: The "password" authentication mode is not secure, and it is strongly recommended to use "aaa"
authentication mode.
Enter Password(<8-128>):Huawei@123
Confirm password:Huawei@123
[R3-ui-vty0-4] quit
Étape 4 Configurer une ACL pour qu'elle corresponde au trafic souhaité.

Méthode 1 : Configurer une ACL sur l'interface VTY de R3 pour permettre à R1 de se
connecter à R3 via Telnet à l'aide de l'adresse IP de loopback 1.
# Configurer le protocole ACL sur R3.
[R3]acl 3000
[R3-acl-adv-3000]rule 5 permit tcp source 10.1.4.1 0.0.0.0 destination 10.1.3.1 0.0.0.0 destination-port eq 23
[R3-acl-adv-3000]rule 10 deny tcp source any
[R3-acl-adv-3000]quit
# Filtrer le trafic sur l'interface VTY de R3.

[R3]user-interface vty 0 4
[R3-ui-vty0-4]acl 3000 inbound
# Afficher la configuration ACL sur R3.

[R3]display acl 3000
La commande display acl affiche la configuration ACL.

Advanced ACL 3000, 2 rules
Une ACL avancée est créée. Il est numéroté 3000 et contient deux règles.
Acl's step is 5
Le pas entre les numéros de règle ACL est 5.

rule 5 permit tcp source 10.1.4.1 0 destination 10.1.3.1 0 destination-port eq telnet
La règle 5 autorise le passage du trafic correspondant. Si aucun paquet ne correspond

à la règle, le champ matches ne s'affiche pas.
rule 10 deny tcp
Méthode 2 : Configurer une ACL sur l'interface physique de R2 pour permettre à R1

de se connecter à R3 via Telnet à partir de l'adresse IP de l'interface physique.
# Configurer un ACL sur R2.
[R2]acl 3001
[R2-acl-adv-3001]rule 5 permit tcp source 10.1.4.1 0.0.0.0 destination 10.1.3.1 0.0.0.0 destination-port eq 23
[R2-acl-adv-3001]rule 10 deny tcp source any
[R2-acl-adv-3001]quit
# Filtrer le trafic le GE0/0/3 de R3.

[R2-GigabitEthernet0/0/3]traffic-filter inbound acl 3001
# Afficher la configuration ACL sur R2.

[R2]display acl 3001
Advanced ACL 3001, 2 rules
Acl's step is 5
rule 5 permit tcp source 10.1.4.1 0 destination 10.1.3.1 0 destination-port eq telnet (21 matches)
La règle 5 autorise le passage du trafic correspondant et 21 paquets correspondent à

la règle.
rule 10 deny tcp (1 matches)
----Fin
1.1.3 Vérification
Tester l'accès Telnet et vérifier la configuration de la ACL.
1. Sur R1, telnet vers le serveur avec l'adresse IP source 10.1.1.1 spécifiée.
<R1>telnet -a 10.1.1.1 10.1.3.1
La commande telnet permet à un utilisateur d'utiliser le protocole Telnet pour se

connecter à un autre périphérique.
-a adresse-ip-source: spécifie l'adresse IP source. Les utilisateurs peuvent
communiquer avec le serveur à partir de l'adresse IP spécifiée.
Press CTRL_] to quit telnet mode
Trying 10.1.3.1 ...
Error: Can't connect to the remote host
2. Sur R1, telnet vers le serveur avec l'adresse IP source 10.1.4.1 spécifiée.
<R1>telnet -a 10.1.4.1 10.1.3.1
Press CTRL_] to quit telnet mode
Trying 10.1.3.1 ...
Connected to 10.1.3.1 ...
Login authentication
Password:
<R3>quit
1.1.4 Référence de configuration (méthode 1)

Configuration sur R1
#
sysname R1
#
interface GigabitEthernet0/0/3
ip address 10.1.2.1 255.255.255.0
#
interface LoopBack0
ip address 10.1.1.1 255.255.255.0
#
interface LoopBack1
ip address 10.1.4.1 255.255.255.0
#
ospf 1
area 0.0.0.0
network 10.1.1.1 0.0.0.0
network 10.1.2.1 0.0.0.0
network 10.1.4.1 0.0.0.0
#
return
#
sysname R2
#
ip address 10.1.2.2 255.255.255.0
#
ip address 10.1.3.2 255.255.255.0
#
ospf 1
area 0.0.0.0
network 10.1.2.2 0.0.0.0
network 10.1.3.2 0.0.0.0
#
return
#
sysname R3
#
acl number 3000
rule 10 deny tcp
#
ip address 10.1.3.1 255.255.255.0
#
ospf 1
area 0.0.0.0
network 10.1.3.1 0.0.0.0
#
telnet server enable
#
user-interface vty 0 4
acl 3000 inbound
authentication-mode password
user privilege level 3
set authentication password cipher %^%#Z5)H#8cE(YJ6YZ:='}c-
;trp&784i>HtKl~pLnn>2zL16cs<6E}xj.FmK5(8%^%#
#
return
1.1.5 Référence de configuration (méthode 2)

#
sysname R1
#
ip address 10.1.2.1 255.255.255.0
#
interface LoopBack0
ip address 10.1.1.1 255.255.255.0
#
interface LoopBack1
ip address 10.1.4.1 255.255.255.0
#
ospf 1
area 0.0.0.0
network 10.1.1.1 0.0.0.0
network 10.1.2.1 0.0.0.0
network 10.1.4.1 0.0.0.0
#
return
#
sysname R2
#
acl number 3001
rule 10 deny tcp
#
ip address 10.1.2.2 255.255.255.0
traffic-filter inbound acl 3001
#
ip address 10.1.3.2 255.255.255.0
#
ospf 1
area 0.0.0.0
network 10.1.2.2 0.0.0.0
network 10.1.3.2 0.0.0.0
#
return
#
sysname R3
#
ip address 10.1.3.1 255.255.255.0
#
ospf 1
area 0.0.0.0
network 10.1.3.1 0.0.0.0
#
telnet server enable
#
user-interface vty 0 4
authentication-mode password
user privilege level 3
set authentication password cipher %^%#Z5)H#8cE(YJ6YZ:='}c-
;trp&784i>HtKl~pLnn>2zL16cs<6E}xj.FmK5(8%^%#
#
return
1.1.6 Test
R3 fonctionne à la fois comme serveur Telnet et comme serveur FTP, l'adresse IP de
loopback 0 sur R1 doit être utilisée pour accéder uniquement au service FTP et
l'adresse IP de loopback 1 sur R1 doit être utilisée pour gérer à distance R3 à l'aide de
Telnet.
Configurer une ACL pour répondre aux exigences
1.2 Pratique 2 : Configuration DHCP
1.2.1 Introduction
1.2.1.1 À propos de cette pratique
Le protocole DHCP (Dynamic Host Configuration Protocol) configure et gère de
manière dynamique et uniforme les adresses IP des hébergeurs. Il simplifie le
déploiement et l'évolutivité du réseau, même pour les petits réseaux.
DHCP est défini dans RFC 2131 et utilise le mode de communication client/serveur.
Un client (client DHCP) demande des informations de configuration à un serveur
(serveur DHCP) et le serveur renvoie les informations de configuration allouées au
client.
DHCP prend en charge l'allocation d'adresses IP dynamiques et statiques.
● Attribution dynamique : DHCP alloue une adresse IP avec une période de validité
limitée (appelée bail) à un client. Ce mécanisme s'applique aux scénarios où les
hôte accèdent temporairement au réseau et où le nombre d'adresses IP inactives
est inférieur au nombre total d'hôte.
● Allocation statique : DHCP alloue des adresses IP fixes aux clients, tel que
configuré. Par rapport à la configuration manuelle des adresses IP, l'allocation
statique DHCP empêche les erreurs de configuration manuelles et permet une
maintenance et une gestion unifiées.
1.2.1.2 Objectifs
À la fin de cette tâche, vous serez capable de :
● Apprendre à configurer un pool d'adresses d'interface sur le serveur DHCP
● Découvrir comment configurer un pool d'adresses mondiales sur le serveur
DHCP
● Découvrir comment utiliser DHCP pour allouer des adresses IP statiques
1.2.1.3 Topologie de réseau

Pour réduire la charge de travail liée à la maintenance des adresses IP et améliorer
l'utilisation des adresses IP, une entreprise prévoit de déployer DHCP sur le réseau.
1. Configurer R1 et R3 en tant que clients DHCP.
2. Configurer R2 comme serveur DHCP pour attribuer des adresses IP à R1 et R3.
Figure 1-2 Topologie de pratique pour la configuration du DHCP
1.2.2 Configuration de la pratique

1.2.2.1 Feuille de route de configuration
1. Configurer le serveur DHCP.
2. Configurer les clients DHCP.
1.2.2.2 Procédure de configuration

Étape 1 Terminer les configurations de base.
# Configurer les adresses d'interface sur R2.
[R2-GigabitEthernet0/0/3] ip address 10.0.12.2 24
Étape 2 Activer DHCP.

[R1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
La commande dhcp enable doit être exécutée avant d'exécuter d'autres commandes
liées au DHCP, quels que soient les serveurs ou les clients DHCP.
[R2]dhcp enable
[R3]dhcp enable
Étape 3 Configurer un pool d'adresses.

# Configurer un pool d'adresses IP sur GE 0/0/3 de R2 pour attribuer une adresse IP à
R1.
[R2-GigabitEthernet0/0/3]dhcp select interface
La commande dhcp select interface permet à une interface d'utiliser le pool

d'adresses d'interface. Si vous n'exécutez pas cette commande, les paramètres liés au
pool d'adresses d'interface ne peuvent pas être configurés.
[R2-GigabitEthernet0/0/3]dhcp server dns-list 10.0.12.2
La commande dhcp server dns-list configure les adresses de serveur DNS pour un
pool d'adresses d'interface. Un maximum de huit adresses de serveur DNS peut être
configuré. Ces adresses IP sont séparées par des espaces.
# Configurer un pool d'adresses mondiales.
[R2]ip pool GlobalPool
Info: It's successful to create an IP address pool.
# Create an IP address pool named GlobalPool.
[R2-ip-pool-GlobalPool]network 10.0.23.0 mask 24
La commande network spécifie une adresse réseau pour un pool d'adresses

mondiales.
[R2-ip-pool-GlobalPool]dns-list 10.0.23.2
[R2-ip-pool-GlobalPool]gateway-list 10.0.23.2
La commande gateway-list configure une adresse de passerelle pour un client DHCP.

Une fois que R3 a obtenu une adresse IP, il génère une route par défaut avec l'adresse
de tronçon suivant 10.0.23.2.
[R2-ip-pool-GlobalPool]lease day 2 hour 2
La commande lease spécifie le bail pour les adresses IP dans un pool d'adresses IP
global. Si le bail est défini sur unlimited, le bail est illimité. Par défaut, le bail des
adresses IP est d'un jour.
[R2-ip-pool-GlobalPool]static-bind ip-address 10.0.23.3 mac-address 00e0-fc6f-6d1f
La commande static-bind lie une adresse IP d'un pool d'adresses mondiales à

l'adresse MAC d'un client. 00e0-fc6f-6d1f est l'adresse MAC GigabitEthernet0/0/3 sur
R3. Vous pouvez exécuter la commande display interface GigabitEthernet0/0/3 sur
R3 pour afficher l'adresse MAC GigabitEthernet0/0/3. Une fois la commande
exécutée, R3 obtient l'adresse IP fixe 10.0.23.3.
[R2-ip-pool-GlobalPool]quit
Étape 4 Activer la fonction de serveur DHCP sur GigabitEthernet 0/0/4 sur R2 pour attribuer
une adresse IP à R3.
[R2-GigabitEthernet0/0/4]dhcp select global
La commande dhcp select global permet à une interface d'utiliser le pool d'adresses
mondiales. Après avoir reçu une requête d'un client DHCP, l'interface recherche une
adresse IP disponible dans le pool d'adresses mondiales et attribue l'adresse IP au
client DHCP.
Étape 5 Configurer un client DHCP.
[R1-GigabitEthernet0/0/3] ip address dhcp-alloc

[R3-GigabitEthernet0/0/3] ip address dhcp-alloc
----Fin
1.2.3 Vérification
1.2.3.1 Afficher les adresses IP et les routes de R1 et R3.
[R1]display ip interface brief
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/3 10.0.12.254/24 up up
Seules les informations clés sont fournies ici. La sortie de la commande indique que R1 a obtenu une adresse IP.
[R1]display dns server
Type:
D:Dynamic S:Static
No. Type IP Address

1 D 10.0.12.2
Seules les informations clés sont fournies ici. La sortie de la commande indique que R1 a obtenu l'adresse DNS.
[R1]display ip routing-table
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Unr 60 0 D 10.0.12.2 GigabitEthernet0/0/3
Seules les informations clés sont fournies ici. La sortie de la commande indique que R1 a obtenu la route par défaut.
[R3]display ip interface brief

Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/3 10.0.23.3/24 up up
Seules les informations clés sont fournies ici. La sortie de la commande indique que R3 a obtenu une adresse IP fixe.
[R3]display dns server
Type:
D:Dynamic S:Static
No. Type IP Address
1 D 2.23.0.10
Seules les informations clés sont fournies ici. La sortie de la commande indique que R3 a obtenu l'adresse DNS.
[R3]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 8 Routes : 8
Destination/Mask Proto Pre Cost Flags NextHop Interface

0.0.0.0/0 Unr 60 0 D 10.0.23.2 GigabitEthernet0/0/3
Seules les informations clés sont fournies ici. La sortie de la commande indique que R3 a obtenu la route par défaut.
1.2.3.2 Afficher l'allocation d'adresses sur R2.

[R2]display ip pool name GlobalPool
Pool-name : GlobalPool
Pool-No :1
Lease : 2 Days 2 Hours 0 Minutes
Domain-name :-
DNS-server0 : 10.0.23.2
NBNS-server0 : -
Netbios-type : -
Position : Local Status : Unlocked
Gateway-0 : 10.0.23.2
Mask : 255.255.255.0
VPN instance : --
-----------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
-----------------------------------------------------------------------------
10.0.23.1 10.0.23.254 253 1 252(0) 0 0
-----------------------------------------------------------------------------
La commande display ip pool affiche les informations de configuration du pool

d'adresses, y compris le nom, le bail, l'état du verrou et l'état de l'adresse IP.
[R2]display ip pool interface GigabitEthernet0/0/4
Pool-name : GigabitEthernet0/0/4
Pool-No :0
Lease : 1 Days 0 Hours 0 Minutes
Domain-name :-
DNS-server0 : 10.0.12.2
NBNS-server0 : -
Netbios-type : -
Position : Interface Status : Unlocked
Gateway-0 : 10.0.12.2
Mask : 255.255.255.0
VPN instance : --
-----------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
-----------------------------------------------------------------------------
10.0.12.1 10.0.12.254 253 1 252(0) 0 0
-----------------------------------------------------------------------------
Lorsqu'un pool d'adresses d'interface est configuré, le nom du pool d'adresses est le
nom de l'interface. L'adresse de passerelle allouée est l'adresse IP de l'interface et ne
peut pas être modifiée.
1.2.4 Référence de configuration

#
sysname R1
#
dhcp enable
#
ip address dhcp-alloc
#
return
#
sysname R2
#
dhcp enable
#
ip pool GlobalPool
gateway-list 10.0.23.2
network 10.0.23.0 mask 255.255.255.0
static-bind ip-address 10.0.23.3 mac-address a008-6fe1-0c47
lease day 2 hour 2 minute 0
dns-list 10.0.23.2
#
ip address 10.0.12.2 255.255.255.0
dhcp select interface
dhcp server dns-list 10.0.12.2
#
ip address 10.0.23.2 255.255.255.0
dhcp select global
#
return
#
sysname R3
#
dhcp enable
#
ip address dhcp-alloc
#
return
1.2.5 Test
1. Quelles sont les différences entre les scénarios d'application d'un pool
d'adresses mondiales et ceux d'un pool d'adresses d'interface ?
2. S'il existe plusieurs pools d'adresses globaux, comment déterminez-vous le pool
d'adresses mondiales pour un client DHCP ?

CC Huawei 2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CC Huawei 2

Transféré par

Droits d'auteur :

Formats disponibles

1 Principes de base de la sécurité réseau et

1.1 Pratique 1 : Configuration ACL

1.1.1.3 Topologie de réseau

1.1.2 Configuration de la pratique

1.1.2.2 Procédure de configuration

[R2]interface GigabitEthernet 0/0/3

Étape 2 Configurer OSPF pour assurer la connectivité du réseau.

# Exécuter la commande ping sur R3 pour tester la connectivité réseau.

Étape 3 Configuration R3 comme serveur.

La commande telnet server enable active le service Telnet.

La commande user-interface affiche une ou plusieurs vues de l'interface utilisateur.

Étape 4 Configurer une ACL pour qu'elle corresponde au trafic souhaité.

# Filtrer le trafic sur l'interface VTY de R3.

# Afficher la configuration ACL sur R3.

La commande display acl affiche la configuration ACL.

Le pas entre les numéros de règle ACL est 5.

La règle 5 autorise le passage du trafic correspondant. Si aucun paquet ne correspond

Méthode 2 : Configurer une ACL sur l'interface physique de R2 pour permettre à R1

# Filtrer le trafic le GE0/0/3 de R3.

# Afficher la configuration ACL sur R2.

La règle 5 autorise le passage du trafic correspondant et 21 paquets correspondent à

La commande telnet permet à un utilisateur d'utiliser le protocole Telnet pour se

1.1.4 Référence de configuration (méthode 1)

1.1.5 Référence de configuration (méthode 2)

1.2.1.3 Topologie de réseau

1.2.2 Configuration de la pratique

1.2.2.2 Procédure de configuration

Étape 2 Activer DHCP.

Étape 3 Configurer un pool d'adresses.

La commande dhcp select interface permet à une interface d'utiliser le pool

La commande network spécifie une adresse réseau pour un pool d'adresses

La commande gateway-list configure une adresse de passerelle pour un client DHCP.

La commande static-bind lie une adresse IP d'un pool d'adresses mondiales à

[R3]interface GigabitEthernet 0/0/3

No. Type IP Address

[R3]display ip interface brief

Destination/Mask Proto Pre Cost Flags NextHop Interface

1.2.3.2 Afficher l'allocation d'adresses sur R2.

La commande display ip pool affiche les informations de configuration du pool

1.2.4 Référence de configuration

Vous aimerez peut-être aussi