Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 - 8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 – TP 11.2.2b

1 - 8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 – TP 11.2.2b Copyright  2003, Cisco Systems, Inc. TP 11.2.2b Listes de contrôle d'accès étendues simples 2 - 8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 – TP 11.2.2b Copyright  2003, Cisco Systems, Inc. Objectif Configurer des listes de contrôle d’accès étendues pour filtrer le trafic réseau/réseau, hôte/réseau et réseau/hôte. Scénario Une société spécialisée dans le marketing dispose de deux sites. Le bureau principal se trouve à Birmingham (BHM). La société dispose par ailleurs d’une agence à Gadsden (GAD). L’administrateur chargé des télécommunications pour les deux sites a besoin de concevoir et de mettre en œuvre des listes de contrôle d’accès afin d’améliorer la sécurité et les performances. Sur le site de Birmingham, on distingue deux groupes d’utilisateurs du réseau. L’un de ces groupes est chargé de l’administration, l’autre de la production. Ils sont connectés à des réseaux distincts. Les deux réseaux sont interconnectés à l’aide d’un routeur. Le site Gadsden est un réseau d’extrémité ; il comporte seulement un réseau local (LAN). Étape 1 – Configuration de base des routeurs et des hôtes a. Connectez les routeurs et les hôtes comme indiqué dans le schéma. Définissez tous les paramètres de base des routeurs : nom d'hôte, mot de passe enable, accès Telnet et interfaces. Utilisez le schéma et les tableaux ci-dessus à titre de référence. Note : Le routeur BHM nécessite deux interfaces Ethernet b. Configurez tous les routeurs de la manière suivante : BHM#show running-config <informations ignorées> hostname BHM ! enable secret class ! interface FastEthernet0/0 ip address 192.168.1.17 255.255.255.240 ! interface Serial0 ip address 172.16.1.2 255.255.255.0 clock rate 56000 ! interface FastEthernet0/1 ip address 192.168.1.33 255.255.255.240 ! router rip network 172.16.0.0 network 192.168.1.0 ! line vty 0 4 password cisco login ! end BHM# GAD#show running-config <informations ignorées> ! hostname GAD ! enable password class 3 - 8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 – TP 11.2.2b Copyright  2003, Cisco Systems, Inc. ! interface FastEthernet0 ip address 172.16.2.1 255.255.255.0 ! interface Serial0 ip address 172.16.1.1 255.255.255.0 ! router rip network 172.16.0.0 ! line vty 0 4 password cisco login ! no scheduler allocate end GAD# c. Configurez les hôtes en utilisant les informations appropriées définies précédemment. Avant d’appliquer une liste de contrôle d'accès, il est important de vérifier l’accessibilité entre les systèmes. Vérifiez l'accessibilité en envoyant, depuis chaque système, une requête ping à tous les systèmes et à tous les routeurs. d. Chacun des hôtes doit être capable d’envoyer une requête ping aux autres hôtes et aux interfaces de routeurs. Si des requêtes ping envoyées à certaines interfaces échouent, le problème doit être localisé et corrigé. Vérifiez systématiquement les connexions de la couche physique qui est à l’origine de la plupart des problèmes de connectivité. Ensuite, vérifiez les interfaces de routeur. Assurez-vous que ces dernières ne sont pas désactivées, mal configurées et que RIP est correctement configuré. Enfin, n’oubliez pas que les hôtes doivent avoir des adresses IP valides ainsi que des passerelles par défaut spécifiées. e. Maintenant que l'infrastructure est en place, vous devez sécuriser l'interréseau. Étape 2 Empêchez les utilisateurs du groupe Production d'accéder au réseau Gadsden a. Selon la politique de la société, seul le groupe Administration doit pouvoir accéder au site Gadsden. Le groupe Production ne doit pas y avoir accès. b. Configurez une liste de contrôle d'accès étendue qui autorise le groupe Administration à accéder au site Gadsden. Vous devez en revanche en interdire l'accès au groupe Production. c. Une analyse minutieuse révèle qu'il serait préférable d'utiliser une liste de contrôle d'accès étendue et de l'appliquer à l'interface de sortie S0 sur le routeur BHM. Remarque : N'oubliez pas qu'une fois la liste de contrôle d'accès configurée, le routeur traite les instructions qu'elle contient dans l'ordre de leur création. Il n'est pas possible de réorganiser une liste de contrôle d'accès, ni même d'ignorer, de modifier ou de supprimer des instructions dans une liste de contrôle d'accès numérotée. C'est pourquoi il peut s'avérer utile de créer la liste dans un éditeur de texte, Bloc-notes par exemple, puis de coller les commandes au niveau du routeur, plutôt que de les entrer directement. d. Précisez les éléments suivants : BHM#conf terminal Entrez les commandes de configuration (une par ligne). Terminez avec CNTL/Z. BHM(config)#access-list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255 4 - 8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 – TP 11.2.2b Copyright  2003, Cisco Systems, Inc. e. Cette instruction définit une liste de contrôle d'accès étendue appelée « 100 ». Elle interdit l'accès IP à tous les utilisateurs sur le réseau 192.168.1.32 – 192.168.1.47 s'ils tentent d'accéder au réseau 172.16.2.0. Bien qu'il soit possible de définir une liste plus générale, celle-ci pourrait autoriser les utilisateurs du groupe Production à accéder à d'autres sites (éventuellement disponibles) via l'interface S0. f. N'oubliez pas qu'il existe un refus global implicite à la fin de chaque liste de contrôle d'accès. Vous devez maintenant vous assurer que le groupe Administration peut accéder au réseau Gadsden. Vous pourriez être plus restrictif, mais autorisez simplement tout autre type de trafic. Entrez les instructions suivantes : BHM(config)#access-list 100 permit ip any any g. À présent, il faut appliquer la liste de contrôle d’accès à une interface. Vous pourriez appliquer la liste au trafic destiné à l'interface Fa0/1 du réseau de production. Toutefois, en cas de fort trafic entre le réseau d'administration et le réseau de production, le routeur devrait vérifier chacun des paquets. Cela risquerait d'entraîner une surcharge inutile au niveau du routeur. Vous devez donc appliquer la liste de contrôle d'accès à tout trafic externe passant par l'interface S0 du routeur BHM. Précisez les éléments suivants : BHM(config)#interface s0 BHM(config-if)#ip access-group 100 out h. Utilisez la commande show running-config pour vérifier la syntaxe de la liste de contrôle d'accès. Voici les instructions valides devant figurer dans la configuration : interface Serial0 ip access-group 100 out <informations ignorées> access-list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255 access-list 100 permit ip any any i. La commande show access-lists est également très utile. Elle génère des informations similaires à celles-ci : BHM#show access-lists Extended IP access list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255 permit ip any any j. La commande show access-lists affiche également des compteurs qui indiquent le nombre de fois où la liste a été utilisée. Aucun compteur n'est présenté ici car aucune vérification correspondante n'a encore été effectuée. Remarque : Utilisez la commande clear access-list counters pour réinitialiser les compteurs de listes de contrôle d’accès. k. Testez la liste de contrôle d’accès en vérifiant l’accessibilité au réseau Gadsden à partir des hôtes d’administration et de production. 5 - 8 CCNA 2: Notions de base sur les routeurs et le routage v3.1 – TP 11.2.2b Copyright  2003, Cisco Systems, Inc. L’hôte de production (B) peut-il envoyer une requête ping à l’hôte Gadsden (D) ? _____________ L’hôte de production (C) peut-il envoyer une requête ping à l’hôte Gadsden (D) ? _____________ L’hôte d'administration (A) peut-il envoyer une requête ping à l’hôte Gadsden (D) ? ____________ L’hôte de production (B) peut-il envoyer une requête ping à l’hôte d'administration (A) ? ________ L’hôte de production (B) peut-il envoyer une requête ping à l’interface série du routeur Gadsden ? _____________________ l. Les hôtes de production (B) et (C) doivent pouvoir envoyer des requêtes ping à l’hôte d'administration (A) et à l'interface série du routeur Gadsden. Toutefois, ils ne doivent pas pouvoir envoyer de requêtes ping à l'hôte Gadsden (D). Le routeur doit dans ce cas renvoyer un message indiquant « Destination inaccessible ». Exécutez la commande show access-lists. Quel est le nombre de correspondances ? ________________ Remarque : La commande show access-lists affiche le nombre de correspondances par ligne. Par conséquent, le nombre de correspondances « deny » peut paraître surprenant, mais il faut savoir que les requêtes ping correspondent à l'instruction « deny » et à l'instruction « permit ». m. Pour mieux comprendre le fonctionnement de la liste de contrôle d'accès, continuez à utiliser régulièrement la commande show access-lists. Étape 3 Autorisez un utilisateur du groupe Production à accéder au réseau Gadsden a. Vous recevez un appel d'un utilisateur du groupe Production (B). Cet utilisateur est chargé d'échanger certains fichiers entre le réseau de production et le réseau Gadsden. Vous devez modifier la liste de contrôle d'accès pour l'autoriser à accéder au réseau Gadsden, tout en refusant l'accès aux autres utilisateurs du réseau de production. b. Configurez une liste de contrôle d'accès étendue pour accorder à cet utilisateur l'accès au réseau Gadsden. c. Il n'est malheureusement pas possible de réorganiser une liste de contrôle d'accès, ni même d'ignorer, de modifier ou de supprimer des instructions dans une liste de contrôle d'accès numérotée. Dans le cas des listes numérotées, toute tentative de suppression d'une instruction entraîne la suppression de l'intégralité de la liste. d. Vous devez donc supprimer la liste de contrôle d'accès étendue initiale et en uploads/Ingenierie_Lourd/ ccna2-tp-acl-2-fr-pdf.pdf