ECOLE NATIONALE D'ELECTRONIQUE ET DES TELECOMMUNICATIONS DE SFAX Année universi

ECOLE NATIONALE D'ELECTRONIQUE ET DES TELECOMMUNICATIONS DE SFAX Année universitaire : 2021-2022 TP CCNA4 Enseignante : Malek REKIK Classe : 3ème ING Nom et prénom : ……………………………………………………………. Topologie : Partie 1 : configuration de l’adressage et du routage du réseau 1. Proposez un plan d’adressage pour cette topologie 2. Configurez l’adressage proposé 3. Configurer le routage statique pour que tous les périphériques aboutissent les uns des autres avec la commande ping 4. Sur le routeur FAI (Router0), Attribuez cisco comme mot de passe pour la console et vty et activez l'accès Telnet. Configurez logging synchronous pour les lignes de console et vty. 5. Sur le routeur (Router 2), activer ssh. 6. Vérifier la connectivité entre les différents périphériques 7. Ouvrez un navigateur sur PC-0 et PC1 et accédez aux deux serveurs Partie 2 : configuration et vérification des listes de contrôle d'accès numérotées et nommées étendues Les listes de contrôle d'accès étendues permettent de filtrer le trafic de plusieurs façons. Les listes de contrôle d'accès étendues permettent de filtrer sur base des adresses IP sources, des ports sources, des adresses IP de destination, des ports de destination, ainsi que sur différents protocoles et services. Les stratégies de sécurité sont les suivantes : 1. Autoriser le trafic web en provenance du PC0 à accéder à n'importe quel réseau. 2. Autoriser une connexion SSH à l'interface série de R2 à partir de PC0. 3. Autoriser le trafic web en provenance du PC1 à accéder au serveur 0. Le PC1 ne devrait PAS être autorisé à accéder à un autre réseau via le Web. Sur base des stratégies de sécurité mentionnées ci-dessus, vous aurez besoin au minimum de deux listes de contrôle d'accès pour satisfaire aux stratégies de sécurité. Il est conseillé de placer les listes de contrôle d'accès étendues le plus près possible de la source. Nous suivrons cette pratique dans le cadre de ces stratégies. Étape 1 : Configurez une liste de contrôle d'accès étendue numérotée sur R1 pour les numéros de stratégie de sécurité 1 et 2. Vous utiliserez une liste de contrôle d'accès étendue numérotée sur R1. Quelles sont les plages pour les listes de contrôle d'accès étendues ? ………………………………………………………………………………………………………………….. a. Configurez la liste de contrôle d'accès sur R1. Utilisez 100 comme numéro de liste de contrôle d'accès. R1(config)# access-list 100 remark Allow Web & SSH Access R1(config)# access-list 100 permit tcp host (@♪IP PC0)…………………………………… host (@IP de l’interface série de R2)………………………………………… eq 22 R1(config)# access-list 100 permit tcp any any eq 80 Que signifie 80 dans le résultat de commande indiqué ci-dessus ? ……………………………………………………………………………………………………………………… À quelle interface la liste de contrôle d'accès ACL 100 doit-elle être appliquée ? …………………………………………………………………………………… …………………………………………………………………………………… Dans quelle direction la liste de contrôle d'accès ACL 100 doit-elle être appliquée ? …………………………………………………………………………………… …………………………………………………………………………………… b. Appliquez la liste de contrôle d'accès ACL 100 à l'interface S0/0/0. R1(config)# interface s0/0/0 R1(config-if)# ip access-group 100 out c. Vérifiez la liste de contrôle d'accès ACL 100. 1) Ouvrez un navigateur web sur PC0, puis accédez aux serveurs web. La requête doit aboutir ; dépannez si ce n'est pas le cas. 2) Établissez une connexion SSH entre PC0 et R0. Connectez-vous au moyen des informations d'identification admin et class. La requête doit aboutir ; dépannez si ce n'est pas le cas. 3) À partir de l'invite du mode d'exécution privilégié sur R1, exécutez la commande show access-lists. R1# show access-lists Extended IP access list 100 10 permit tcp host 192.168.10.3 host 10.2.2.1 eq 22 (22 matches) 20 permit tcp any any eq www (111 matches) 4) À partir de l'invite de commande de PC0, envoyez une requête ping à l’interface série du routeur R2. Expliquez vos résultats. …………………………………………………………………………………… …………………………………………………………………………………… Étape 2 : Configurez une liste de contrôle d'accès étendue nommée sur R2 pour la stratégie de sécurité numéro 3. a. Configurez la stratégie sur R2. Attribuez à la liste de contrôle d'accès le nom WEB-POLICY. R2(config)# ip access-list extended WEB-POLICY R2(config-ext-nacl)# permit tcp host(@ip de PC1)………………………………………………………….. host (@ip du serveur 0) …………………………………………………………..eq 80 R2(config-ext-nacl)# permit tcp host(@ip de PC1) ………………………………….………. host (@ip du serveur 1) ………………………………………………………………… eq 80 b. Appliquez-la à l'interface série du R2. R2(config-ext-nacl)# interface S0/0/1 R2(config-if)# ip access-group WEB-POLICY out c. Vérifiez-la. 1) À partir de l'invite de commande du mode d'exécution privilégié du routeur R2, exécutez-la commande show ip interface s0/0/1. Quel est le nom de la liste de contrôle d'accès ?......................................................................... Dans quelle direction, la liste de contrôle d'accès est-elle appliquée ? ............................................. 2) Ouvrez un navigateur web sur PC1, puis accéder au serveur 0 (le routeur FAI). La requête doit aboutir ; dépannez si ce n'est pas le cas. 4) À partir de PC1, ouvrez une session web sur le serveur 1. Elle devrait échouer ; dépannez si ce n'est pas le cas. 5) À partir d'une invite de commande sur PC-C, envoyez une requête ping à PC-A. Quel résultat obtenez-vous et pourquoi ? ………………………………………………………………………………………………… ……………………………………………………………………………………………….. Partie 3 : modification et vérification des listes de contrôle d'accès étendues En raison des listes de contrôle d'accès appliquées sur R1 et R2, aucune requête ping ou aucun autre type de trafic n'est autorisé entre les réseaux locaux sur R1 et R2. La direction a décidé d'autoriser tout le trafic entre les réseaux du PC1 et PC0. Vous devez modifier les deux listes de contrôle d'accès sur R1 et R2. Étape 1 : Modifiez la liste de contrôle d'accès ACL 100 sur R1. a. À partir du mode d'exécution privilégié sur R1, exécutez la commande show access-lists. Combien y a-t-il de lignes dans cette liste d'accès ? ……………………………………………… b. Passez en mode de configuration globale et modifiez la liste de contrôle d'accès sur R1. R1(config)# ip access-list extended 100 R1(config-ext-nacl)# 30 permit ip ……………………………………………………….. 0.0.0.255 …………………………………………………………………………. 0.0.0.255 R1(config-ext-nacl)# end c. Exécutez la commande show access-lists. Où apparaît la nouvelle ligne que vous venez d'ajouter dans la liste de contrôle d'accès ACL 100 ? …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. Étape 2 : Modifiez WEB-POLICY sur R2. a. À partir du mode d'exécution privilégié sur R2, exécutez la commande show access-lists. Combien y a-t-il de lignes dans cette liste d'accès ? …………………………………………………. b. Passez en mode de configuration globale et modifiez la liste de contrôle d'accès sur R2. R2(config)# ip access-list extended WEB-POLICY R2(config-ext-nacl)# 30 permit ip (@Réseau du PC1) …………………………………………………………. 0.0.0.255 (@Réseau du PC0)………………………………………………………………………… 0.0.0.255 R2(config-ext-nacl)# end c. Exécutez la commande show access-lists pour vérifier que la nouvelle ligne a été ajoutée à la fin de la liste de contrôle d'accès. Étape 3 : Vérifiez les listes de contrôle d'accès modifiées. a. Sur PC0, envoyez une requête ping à l'adresse IP de PC1. A-t-elle abouti ? ………………………… b. Sur PC1, envoyez une requête ping à l'adresse IP de PC-A. A-t-elle abouti ? ……………………….. Pourquoi les listes de contrôle d'accès ont-elles fonctionné immédiatement pour les requêtes ping dès que vous les avez modifiées ? ……………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………… Remarques générales 1. Pourquoi une planification et des tests attentifs des listes de contrôle d'accès sont-ils requis ? ……………………………………………………………………………………………………………………. ………………………………………………………………………………………………………………………. 2. Quel type de liste de contrôle d'accès est optimal : standard ou étendue ? ……………………………………………………………………………………………………………………. ………………………………………………………………………………………………………………………. ……………………………………………………………………………………………………………………. ………………………………………………………………………………………………………………………. ……………………………………………………………………………………………………………………. ………………………………………………………………………………………………………………………. 3. Pourquoi les paquets Hello OSPF et les mises à jour de routage ne sont-ils pas bloqués par l'ACE deny any implicite ou une instruction des listes de contrôle d'accès sur R1 et R3 ? ……………………………………………………………………………………………………………………. ………………………………………………………………………………………………………………………. ……………………………………………………………………………………………………………………. ………………………………………………………………………………………………………………………. ……………………………………………………………………………………………………………………. ………………………………………………………………………………………………………………………. uploads/Management/ tp-acl.pdf

  • 38
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager
  • Détails
  • Publié le Nov 21, 2022
  • Catégorie Management
  • Langue French
  • Taille du fichier 0.1173MB