Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Exercice sur PT (Packet Tracer) Configuration de listes de contrôle d'accès éte

Exercice sur PT (Packet Tracer) Configuration de listes de contrôle d'accès étendues : Numérotées/ Nommée Diagramme de topologie Table d'adressage Périphérique R1 R2 R3 FAI PC1 PC2 PC3 PC4 Serveur TFTP/Web Serveur Web Hôte externe Interface S0/0/0 Fa0/0 Fa0/1 S0/0/0 S0/0/1 S0/1/0 Fa0/0 S0/0/1 Fa0/0 S0/0/1 Fa0/0 Fa0/1 Carte réseau Carte réseau Carte réseau Carte réseau Carte réseau Carte réseau Carte réseau Adresse IP 10.1.1.1 192.168.10.1 192.168.11.1 10.1.1.2 10.2.2.2 209.165.200.225 192.168.20.1 10.2.2.1 192.168.30.1 209.165.200.226 209.165.201.1 209.165.202.129 192.168.10.10 192.168.11.10 192.168.30.10 192.168.30.128 192.168.20.254 209.165.201.30 209.165.202.158 Masque de sous-réseau 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.224 255.255.255.224 Les Objectifs de l'exercice • • • • Étudier la configuration actuelle du réseau Évaluer une stratégie de réseau et planifier la mise en œuvre de listes de contrôle d'accès Configurer des listes de contrôle d'accès étendues numérotées Configurer des listes de contrôle d'accès étendues nommées Tâche 1 : étude de la configuration actuelle du réseau Étape 1. Affichage de la configuration en cours sur les routeurs Affichez les configurations en cours sur les trois routeurs à l'aide de la commande show running-config en mode d'exécution privilégié. Remarquez interfaces et le routage doivent être configurés. Comparez les configurations d'adresses IP à la table d'adressage ci-dessus. Aucune liste de contrôle d'accès ne doit être configurée sur les routeurs à ce stade. Aucune configuration du routeur FAI n'est nécessaire au cours de cet exercice. Il est supposé que vous n'êtes pas responsable du routeur FAI et que celui-ci est configuré et entretenu par l'administrateur FAI. Étape 2. Vérification que tous les périphériques ont accès à tous les autres emplacements Avant d'appliquer des listes de contrôle d'accès à un réseau, il est important de vérifier que vous disposez d'une connectivité complète. Si vous ne testez pas la connectivité de votre réseau avant d'appliquer une liste de contrôle d'accès, le dépannage sera plus difficile. Afin de garantir la connectivité sur tout le réseau, utilisez les commandes ping et tracert entre les différents périphériques réseau pour vérifier les connexions. Tâche 2 : évaluation d'une stratégie de réseau et planification de la mise en œuvre de listes de contrôle d'accès Étape 1. Évaluation de la stratégie pour les réseaux locaux de R1 • Q1) Pour le réseau 192.168.10.0/24, bloquez l'accès Telnet vers tous les emplacements et l'accès TFTP au serveur Web/TFTP d'entreprise à l'adresse 192.168.20.254. Tout autre accès est autorisé. • Q2) Pour le réseau 192.168.11.0/24, autorisez l'accès TFTP et l'accès Web au serveur Web/TFTP d'entreprise à l'adresse 192.168.20.254. Bloquez tout autre trafic en provenance du réseau 192.168.11.0/24 vers le réseau 192.168.20.0/24. Tout autre accès est autorisé. Étape 2. Planification de la mise en œuvre des listes de contrôle d'accès pour les réseaux locaux de R1 • • • Deux listes de contrôle d'accès permettent de mettre en œuvre intégralement la stratégie de sécurité pour les réseaux locaux de R1. La première liste prend en charge la première partie de la stratégie et est configurée sur R1 et appliquée en entrée de l'interface Fast Ethernet 0/0. La seconde liste prend en charge la seconde partie de la stratégie et est configurée sur R1 et appliquée en entrée de l'interface Fast Ethernet 0/1. Étape 3. Évaluation de la stratégie pour le réseau local de R3 • • • • • Q3) L'accès aux adresses IP du réseau 192.168.20.0/24 est bloqué pour toutes les adresses IP du réseau 192.168.30.0/24. Q4) La première moitié du réseau 192.168.30.0/24 a accès à toutes les destinations. Q5) La seconde moitié du réseau 192.168.30.0/24 a accès aux réseaux 192.168.10.0/24 et 192.168.11.0/24. Q6) La seconde moitié du réseau 192.168.30.0/24 dispose d'un accès Web et ICMP à toutes les autres destinations. Tout autre accès est implicitement refusé. Étape 4. Planification de la mise en œuvre des listes de contrôle d'accès pour le réseau local de R3 Cette étape requiert la configuration d'une liste de contrôle d'accès sur R3, appliquée en entrée de l'interface Fast Ethernet 0/0. Étape 5. Évaluation de la stratégie pour le trafic en provenance d'Internet via le fournisseur de services Internet (FAI) • • • Les hôtes externes peuvent établir une session Web avec le serveur Web interne uniquement sur le port 80. Seules les sessions TCP établies sont autorisées en entrée. Seules les réponses ping sont autorisées via R2. Étape 6. Planification de la mise en œuvre des listes de contrôle d'accès pour le trafic en provenance d'Internet via le fournisseur de services Internet (FAI) Cette étape requiert la configuration d'une liste de contrôle d'accès sur R2, appliquée en entrée de l'interface Serial 0/1/0. Solution de Tâche 2 : Etape 1 & 2 Tâche 3 : configuration de listes de contrôle d'accès étendues numérotées Étape 1. Définition des masques génériques Deux listes de contrôle d'accès sont nécessaires pour appliquer la stratégie de contrôle d'accès sur R1. Ces deux listes doivent être conçues pour refuser un réseau de classe C complet. Vous allez configurer un masque générique correspondant à tous les hôtes de chacun de ces réseaux de classe C. Par exemple, pour l'intégralité du sous-réseau de 192.168.10.0/24 à associer, le masque générique est 0.0.0255. Cela peut être considéré comme « contrôler, contrôler, contrôler, ignorer » et correspond par définition au réseau 192.168.10.0/24 dans sa totalité. Étape 2. Configuration de la première liste de contrôle d'accès étendue pour R1 En mode de configuration globale, configurez la première liste de contrôle d'accès avec le numéro 110. Vous souhaitez tout d'abord bloquer le trafic Telnet vers tout emplacement pour toutes les adresses IP du réseau 192.168.10.0/24. Lorsque vous écrivez l'instruction, vérifiez que vous vous trouvez bien en mode de configuration globale. R1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet Bloquez ensuite pour toutes les adresses IP du réseau 192.168.10.0/24 l'accès TFTP à l'hôte à l'adresse 192.168.20.254. R1(config)#access-list 110 deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp Enfin, autorisez tout autre trafic. R1(config)#access-list 110 permit ip any any Étape 3. Configuration de la seconde liste de contrôle d'accès étendue pour R1 Configurez la seconde liste de contrôle d'accès avec le numéro 111. Autorisez l'accès www à l'hôte ayant l'adresse 192.168.20.254 à toute adresse IP du réseau 192.168.11.0/24. R1(config)#access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www Autorisez ensuite l'accès TFTP à l'hôte ayant l'adresse 192.168.20.254 à toutes les adresses IP du réseau 192.168.11.0/24. R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp Bloquez tout autre trafic en provenance du réseau 192.168.11.0/24 vers le réseau 192.168.20.0/24. R1(config)#access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 Enfin, autorisez tout autre trafic. Cette instruction garantit que le trafic en provenance dautres réseaux n'est pas bloqué. R1(config)#access-list 111 permit ip any any Étape 4. Vérification de la configuration des listes de contrôle d'accès Pour confirmer les configurations sur R1, lancez la commande show access-lists. Le résultat doit être similaire à celui-ci : R1#show access-lists Extended IP access list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp permit ip any any Extended IP access list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip any any Étape 5. Application des instructions aux interfaces Pour appliquer une liste de contrôle d'accès à une interface, passez en mode de configuration d'interface. Configurez la commande ip access-group numéro-liste-accès {in | out} pour appliquer la liste de contrôle d'accès à l'interface. Chaque liste de contrôle d'accès filtre le trafic entrant. Appliquez la liste 110 à l'interface Fast Ethernet 0/0 et la liste 111 à l'interface Fast Ethernet 0/1. R1(config)#interface fa0/0 R1(config-if)#ip access-group 110 in R1(config-if)#interface fa0/1 R1(config-if)#ip access-group 111 in Vérifiez que les listes de contrôle d'accès apparaissent dans la configuration en cours de R1 et qu'elles ont été appliquées aux interfaces correctes. Étape 6. Test des listes de contrôle d'accès configurées sur R1 Une fois les listes de contrôle d'accès configurées et appliquées, il est très important de tester si le trafic est bloqué ou autorisé comme prévu. • • À partir de PC1, essayez d'obtenir un accès Telnet à n'importe quel périphérique. Cette opération doit être bloquée. À partir de PC1, essayez d'accéder au serveur Web/TFTP d'entreprise via le protocole HTTP. Cette opération doit être autorisée. • • À partir de PC2, essayez d'accéder au serveur Web/TFTP via le protocole HTTP. Cette opération doit être autorisée. À partir de PC2, essayez d'accéder au serveur Web externe via le protocole HTTP. Cette opération doit être autorisée. En vous basant sur vos connaissances des listes de contrôle d'accès, réalisez quelques tests de connectivité supplémentaires à partir de PC1 et de PC2. Solution de Tâche 2 : Etape 3 & 4 Tâche 4 : configuration d'une liste de contrôle d'accès étendue numérotée pour R3 Étape 1. Définition du masque générique La stratégie d'accès pour la moitié inférieure des adresses IP du réseau 192.168.30.0/24 requiert les conditions suivantes : • • Refus de l'accès au réseau 192.168.20.0/24 Autorisation de l'accès vers toutes les autres destinations La moitié supérieure des adresses IP du réseau 192.168.30.0/24 possède uploads/Ingenierie_Lourd/ configde-acl-standard-numerotees.pdf