Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous d

Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 11 Travaux pratiques 5.5.1 : listes de contrôle d’accès de base Diagramme de topologie Table d’adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut R1 Fa0/0 192.168.10.1 255.255.255.0 Fa0/1 192.168.11.1 255.255.255.0 S0/0/0 10.1.1.1 255.255.255.252 R2 Fa0/1 192.168.20.1 255.255.255.0 S0/0/0 10.1.1.2 255.255.255.252 S0/0/1 10.2.2.1 255.255.255.252 Lo0 209.165.200.225 255.255.255.224 R3 Fa0/1 192.168.30.1 255.255.255.0 S0/0/1 10.2.2.2 255.255.255.252 Comm1 Vlan1 192.168.10.2 255.255.255.0 192.168.10.1 CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 2 sur 11 Comm2 Vlan1 192.168.11.2 255.255.255.0 192.168.11.1 Comm3 Vlan1 192.168.30.2 255.255.255.0 192.168.30.1 PC1 Carte réseau 192.168.10.10 255.255.255.0 192.168.10.1 PC2 Carte réseau 192.168.11.10 255.255.255.0 192.168.11.1 PC3 Carte réseau 192.168.30.10 255.255.255.0 192.168.30.1 Serveur Web Carte réseau 192.168.20.254 255.255.255.0 192.168.20.1 Objectifs pédagogiques À l’issue de ces travaux pratiques, vous serez en mesure d’effectuer les tâches suivantes :  Concevoir des listes de contrôle d’accès nommées standard et étendues  Appliquer des listes de contrôle d’accès nommées standard et étendues  Tester des listes de contrôle d’accès nommées standard et étendues  Résoudre les problèmes liés aux listes de contrôle d’accès nommées standard et étendues Scénario Dans le cadre de ces travaux pratiques, vous apprendrez à configurer la sécurité d’un réseau de base à l’aide des listes de contrôle d’accès. Vous appliquerez des listes de contrôles d'accès standard et étendues. Tâche 1 : préparation du réseau Étape 1 : câblage d’un réseau similaire à celui du diagramme de topologie Vous pouvez utiliser n’importe quel routeur disponible durant les travaux pratiques, pourvu qu’il dispose des interfaces requises, comme illustré sur le diagramme de topologie. Remarque : ces travaux pratiques ont été développés et testés à l’aide de routeurs 1841. Si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparaîtront différemment. Certaines commandes peuvent être différentes ou ne pas exister sur d’anciens routeurs ou des versions du système IOS antérieures à la version 12.4. Étape 2 : suppression des configurations existantes sur les routeurs Tâche 2 : exécution des configurations de routeur de base Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2 et Comm3 en respectant les consignes suivantes :  Configurez le nom d'hôte du routeur conformément au diagramme de topologie.  Désactivez la recherche DNS.  Configurez un mot de passe class pour le mode d’exécution privilégié.  Configurez une bannière de message du jour.  Configurez un mot de passe cisco pour les connexions de consoles.  Configurez un mot de passe pour les connexions de terminaux virtuels (vty). CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 3 sur 11  Configurez des adresses IP et des masques sur tous les périphériques.  Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les réseaux.  Configurez une interface en mode bouclé sur R2 pour simuler le FAI.  Configurez des adresses IP pour l’interface VLAN 1 sur chaque commutateur.  Configurez chaque commutateur avec la passerelle par défaut appropriée.  Vérifiez l'intégralité de la connectivité IP à l’aide de la commande ping. Tâche 3 : configuration d’une liste de contrôle d’accès standard Les listes de contrôle d’accès standard ne peuvent filtrer le trafic qu’en fonction de l’adresse IP source. Il est généralement recommandé de configurer une liste de contrôle d’accès standard aussi proche que possible de la destination. Dans cette tâche, vous allez configurer une liste de contrôle d’accès standard. La liste de contrôle d’accès est conçue pour bloquer le trafic provenant du réseau 192.168.11.0/24 correspondant à la salle de travaux pratiques des participants, et ce afin de l’empêcher d’accéder à des réseaux locaux sur R3. Cette liste est appliquée en entrée, sur l’interface série de R3. N’oubliez pas que chaque liste de contrôle d’accès comporte une instruction « deny all » implicite. Cette dernière bloque tous les trafics qui ne correspondent à aucune instruction de la liste. C’est la raison pour laquelle il est nécessaire d'ajouter l’instruction permit any à la fin de la liste. Avant de configurer et d’appliquer cette liste, veillez à vérifier la connectivité depuis PC1 (ou l’interface Fa0/1 sur R1) vers PC3 (ou l’interface Fa0/1 sur R3). Les tests de connectivité doivent aboutir avant d’appliquer cette liste. Étape 1 : création de la liste de contrôle d’accès sur le routeur R3 En mode de configuration globale, créez une liste de contrôle d’accès standard nommée STND-1. R3(config)#ip access-list standard STND-1 En mode de configuration de liste de contrôle d’accès standard, ajoutez une instruction chargée de refuser tous les paquets dont l’adresse source est 192.168.11.0/24 et d’ajouter un message dans la console pour chaque paquet correspondant. R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log Autorisez le reste du trafic. R3(config-std-nacl)#permit any Étape 2 : application de la liste de contrôle d’accès Appliquez la liste de contrôle d’accès STND-1 pour filtrer les paquets entrant dans R3, par le biais de l’interface série 0/0/1. R3(config)#interface serial 0/0/1 R3(config-if)#ip access-group STND-1 in R3(config-if)#end R3#copy run start CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 4 sur 11 Étape 3 : test de la liste de contrôle d’accès Avant de tester la liste de contrôle d’accès, assurez-vous que la console de R3 est visible. De cette manière, vous pouvez visualiser les messages du journal de la liste d’accès lorsque le paquet est refusé. Vérifiez la liste de contrôle d’accès en envoyant une requête ping vers le PC3 à partir du PC2. La liste de contrôle d’accès étant conçue pour bloquer le trafic dont l’adresse source fait partie du réseau 192.168.11.0/24, le PC2 (192.168.11.10) ne peut normalement pas envoyer de requêtes ping vers le PC3. Vous pouvez également utiliser une commande ping étendue à partir de l’interface Fa0/1 sur R1, vers l’interface Fa0/1 sur R3. R1#ping ip Target IP address: 192.168.30.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.11.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: Packet sent with a source address of 192.168.11.1 U.U.U Success rate is 0 percent (0/5) Le message suivant doit s’afficher sur la console de R3 : *Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0 0.0.0.0 -> 192.168.11.1, 1 packet En mode d’exécution privilégié sur R3, lancez la commande show access-lists. Une sortie similaire à la suivante s’affiche. Chaque ligne d’une liste de contrôle d’accès possède un compteur associé, qui affiche le nombre de paquets correspondants à la règle. Standard IP access list STND-1 10 deny 192.168.11.0, wildcard bits 0.0.0.255 log (5 matches) 20 permit any (25 matches) L’objectif de cette liste était de bloquer les hôtes du réseau 192.168.11.0/24. Tous les autres hôtes, notamment ceux du réseau 192.168.10.0/24, doivent être autorisés à accéder aux réseaux sur R3. Effectuez un autre test depuis PC1 vers PC3 pour vérifier que ce trafic n’est pas bloqué. Vous pouvez également utiliser une commande ping étendue à partir de l’interface Fa0/0 sur R1, vers l’interface Fa0/1 sur R3. R1#ping ip Target IP address: 192.168.30.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.10.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: CCNA Exploration Accès au réseau sans fil : listes de contrôle d’accès (ACL) Travaux pratiques 5.5.1 : listes de contrôle d’accès de base Copyright sur l’intégralité du contenu © 1992 – 2007 Cisco Systems, Inc. Tous droits réservés. Ce document contient des informations publiques Cisco. Page 5 sur 11 Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: Packet sent with a source address of 192.168.10.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms Tâche 4 : configuration d’une liste de contrôle d’accès étendue Lorsque vous souhaitez bénéficier d’un contrôle plus précis, vous pouvez utiliser une liste de contrôle d’accès étendue. Les listes de contrôle d’accès étendues peuvent filtrer le trafic en fonction d’autres critères que l’adresse source. Ainsi, le filtrage peut être basé sur le protocole, l’adresse IP source, l’adresse IP de uploads/Management/ acces-liste.pdf