Travaux pratiques : configuration et vrification des listes de

contrle d'accs tendues

Topologie

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 1 / 9
Travaux pratiques : configuration et vrification des listes de contrle d'accs tendues

Table d'adressage

Masque de Passerelle par

Priphrique Interface Adresse IP sous-rseau dfaut

R1 G0/1 192.168.10.1 255.255.255.0 N/A

Lo0 192.168.20.1 255.255.255.0 N/A
S0/0/0
(DCE) 10.1.1.1 255.255.255.252 N/A
ISP S0/0/0 10.1.1.2 255.255.255.252 N/A
S0/0/1
(DCE) 10.2.2.2 255.255.255.252 N/A
Lo0 209.165.200.225 255.255.255.224 N/A
Lo1 209.165.201.1 255.255.255.224 N/A
R3 G0/1 192.168.30.1 255.255.255.0 N/A
Lo0 192.168.40.1 255.255.255.0 N/A
S0/0/1 10.2.2.1 255.255.255.252 N/A
S1 VLAN 1 192.168.10.11 255.255.255.0 192.168.10.1
S3 VLAN 1 192.168.30.11 255.255.255.0 192.168.30.1
PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1
PC-C NIC 192.168.30.3 255.255.255.0 192.168.30.1

Objectifs
Partie 1 : configuration de la topologie et initialisation des priphriques
Partie 2 : configuration des priphriques et vrification de la connectivit
Configuration des paramtres de base sur des ordinateurs, des routeurs et des commutateurs.
Configurez le routage EIGRP sur R1, ISP et R3.

Partie 3 : configuration et vrification des listes de contrle d'accs numrotes et nommes

tendues
Configurez, appliquez et vrifiez une liste de contrle d'accs tendue numrote.
Configurez, appliquez et vrifiez une liste de contrle d'accs nomme numrote.

Partie 4 : modification et vrification des listes de contrle d'accs tendues

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 2 / 9
Travaux pratiques : configuration et vrification des listes de contrle d'accs tendues

Contexte/scnario
Les listes de contrle d'accs (ACL) tendues sont extrmement puissantes. Elles offrent un niveau de
contrle beaucoup plus important que les listes de contrle d'accs standard en ce qui concerne les types de
trafic pouvant tre filtrs, ainsi que l'origine et la destination du trafic.
Dans ces travaux pratiques, vous allez configurer le filtrage des rgles pour deux bureaux reprsents par R1
et R3. La direction a tabli certaines stratgies d'accs entre les LAN situs au niveau de R1 et R3, que vous
devez implmenter. Le routeur ISP entre R1 et R3 ne comporte aucune liste de contrle d'accs. Aucun
accs administratif ne serait octroy un routeur ISP tant donn que vous pouvez uniquement contrler et
grer votre propre matriel.
Remarque : les routeurs utiliss lors des travaux pratiques CCNA sont des routeurs services intgrs (ISR)
Cisco 1941 quips de Cisco IOS version 15.2(4)M3 (image universalk9). Les commutateurs utiliss sont des
modles Cisco Catalyst 2960s quips de Cisco IOS version 15.0(2) (image lanbasek9). D'autres routeurs,
commutateurs et versions de Cisco IOS peuvent tre utiliss. Selon le modle et la version de Cisco IOS, les
commandes disponibles et le rsultat produit peuvent varier de ceux indiqus dans les travaux pratiques.
Reportez-vous au tableau Rsum des interfaces du routeur la fin de ces travaux pratiques pour obtenir les
identifiants d'interface corrects.
Remarque : assurez-vous que les routeurs et commutateurs ont t rinitialiss et ne possdent aucune
configuration initiale. En cas de doute, contactez votre instructeur.

Ressources requises
3 routeurs (Cisco 1941 quip de Cisco IOS version 15.2(4)M3 image universelle ou similaire)
2 commutateurs (Cisco 2960 quips de Cisco IOS version 15.0(2) image lanbasek9 ou similaire)
2 PC (Windows 7, Vista ou XP, quips d'un programme d'mulation du terminal tel que Tera Term)
Cbles de console pour configurer les priphriques Cisco IOS via les ports de console
Cbles Ethernet et srie conformment la topologie

Partie 1: Configuration de la topologie et initialisation des

priphriques
Dans la Partie 1, vous allez configurer la topologie du rseau et effacer toutes les configurations, le cas
chant.

tape 1: Cblez le rseau conformment la topologie.

tape 2: Initialisez et redmarrez les routeurs et les commutateurs.

Partie 2: Configuration des priphriques et vrification de la

connectivit
Dans la Partie 2, vous configurerez les paramtres de base sur les routeurs, les commutateurs et les
ordinateurs. Reportez-vous la topologie et la table d'adressage pour le nom des priphriques et les
informations d'adressage.

tape 1: Configurez les adresses IP sur PC-A et PC-C.

tape 2: Configurez les paramtres de base sur R1.

a. Dsactivez la recherche DNS.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 3 / 9
Travaux pratiques : configuration et vrification des listes de contrle d'accs tendues

b. Configurez le nom du priphrique conformment la topologie.

c. Crez une interface de bouclage sur R1.
d. Configurez les adresses IP d'interface conformment la topologie et la table d'adressage.
e. Configurez un mot de passe class pour le mode d'excution privilgi.
f. Attribuez une frquence d'horloge de 128000 l'interface S0/0/0.
g. Attribuez cisco comme mot de passe pour la console et vty et activez l'accs Telnet. Configurez logging
synchronous pour les lignes de console et vty.
h. Autorisez l'accs Web sur R1 pour simuler un serveur Web avec une authentification locale pour
l'utilisateur admin.
R1(config)# ip http server
R1(config)# ip http authentication local
R1(config)# username admin privilege 15 secret class

tape 3: Configurez les paramtres de base sur ISP.

a. Configurez le nom du priphrique conformment la topologie.
b. Crez les interfaces de bouclage sur le routeur ISP.
c. Configurez les adresses IP d'interface conformment la topologie et la table d'adressage.
d. Dsactivez la recherche DNS.
e. Attribuez class comme mot de passe du mode d'excution privilgi.
f. Attribuez une frquence d'horloge de 128000 l'interface S0/0/1.
g. Attribuez cisco comme mot de passe pour la console et vty et activez l'accs Telnet. Configurez logging
synchronous pour les lignes de console et vty.
h. Activez l'accs Web sur le routeur ISP. Utilisez les mmes paramtres qu' l'tape 2h.

tape 4: Configurez les paramtres de base sur R3.

a. Configurez le nom du priphrique conformment la topologie.
b. Crez une interface de bouclage sur R3.
c. Configurez les adresses IP d'interface conformment la topologie et la table d'adressage.
d. Dsactivez la recherche DNS.
e. Attribuez class comme mot de passe du mode d'excution privilgi.
f. Attribuez cisco comme mot de passe de console et configurez logging synchronous sur la ligne de
console.
g. Activez SSH sur R3.
R3(config)# ip domain-name cisco.com
R3(config)# crypto key generate rsa modulus 1024
R3(config)# line vty 0 4
R3(config-line)# login local
R3(config-line)# transport input ssh
h. Activez l'accs Web sur R3. Utilisez les mmes paramtres qu' l'tape 2h.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 4 / 9
Travaux pratiques : configuration et vrification des listes de contrle d'accs tendues

tape 5: (Facultatif) Configurez les paramtres de base sur S1 et S3.

a. Configurez les noms d'htes conformment la topologie.
b. Configurez les adresses IP de l'interface de gestion conformment la topologie et la table
d'adressage.
c. Dsactivez la recherche DNS.
d. Configurez un mot de passe class pour le mode d'excution privilgi.
e. Configurez une adresse de passerelle par dfaut.

tape 6: Configurez le routage EIGRP sur R1, ISP et R3.

a. Configurez le systme autonome (AS) numro 10 et annoncez tous les rseaux sur R1, ISP et R3.
Dsactivez la fonction de rcapitulation automatique.
b. Aprs avoir configur EIGRP sur R1, ISP et R3, vrifiez que tous les routeurs ont des tables de routage
compltes indiquant tous les rseaux. Dpannez si ce n'est pas le cas.

tape 7: Vrifiez la connectivit entre les priphriques.

Remarque : il est trs important de vrifier la connectivit avant de configurer et mettre en application des
listes de contrle d'accs ! Assurez-vous que votre rseau fonctionne correctement avant de commencer
filtrer le trafic.
a. partir de PC-A, envoyez une requte ping PC-C et les interfaces srie sur R3.
Les requtes ping ont-elles abouti ? ________
b. partir de R1, envoyez une requte ping PC-C et l'interface srie sur R3.
Les requtes ping ont-elles abouti ? ________
c. partir de PC-C, envoyez une requte ping PC-A ainsi que l'interface srie et de bouclage sur R1.
Les requtes ping ont-elles abouti ? ________
d. partir de R3, envoyez une requte ping PC-A ainsi que l'interface de bouclage et srie sur R1.
Les requtes ping ont-elles abouti ? ________
e. partir de PC-A, envoyez une requte ping aux interfaces de bouclage du routeur ISP.
Les requtes ping ont-elles abouti ? ________
f. partir de PC-C, envoyez une requte ping aux interfaces de bouclage du routeur ISP.
Les requtes ping ont-elles abouti ? ________
g. Ouvrez un navigateur Web sur PC-A et accdez http://209.165.200.225 sur le routeur ISP. Un nom
d'utilisateur et un mot de passe vous sont demands. Utilisez admin comme nom d'utilisateur et class
comme mot de passe. Si vous tes invit accepter une signature, acceptez-la. Le routeur charge Cisco
Configuration Professional (CCP) Express dans une fentre spare. Vous serez peut-tre invit
renseigner un nom d'utilisateur et un mot de passe. Utilisez admin comme nom d'utilisateur et class
comme mot de passe.
h. Ouvrez un navigateur Web sur PC-C et accdez http://10.1.1.1 sur R1. Un nom d'utilisateur et un mot
de passe vous sont demands. Utilisez admin comme nom d'utilisateur et class comme mot de passe.
Si vous tes invit accepter une signature, acceptez-la. Le routeur charge CCP Express dans une
fentre spare. Vous serez peut-tre invit renseigner un nom d'utilisateur et un mot de passe. Utilisez
admin comme nom d'utilisateur et class comme mot de passe.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 5 / 9
Travaux pratiques : configuration et vrification des listes de contrle d'accs tendues

Partie 3: Configuration et vrification des listes de contrle d'accs

numrotes et nommes tendues
Les listes de contrle d'accs tendues permettent de filtrer le trafic de plusieurs faons. Les listes de
contrle d'accs tendues permettent de filtrer sur base des adresses IP sources, des ports sources, des
adresses IP de destination, des ports de destination, ainsi que sur diffrents protocoles et services.
Les stratgies de scurit sont les suivantes :
1. Autoriser le trafic Web en provenance du rseau 192.168.10.0/24 accder n'importe quel rseau.
2. Autoriser une connexion SSH l'interface srie de R3 partir de PC-A.
3. Autoriser les utilisateurs du rseau 192.168.10.0.24 accder au rseau 192.168.20.0/24.
4. Autoriser le trafic Web en provenance du rseau 192.168.30.0/24 accder R1 via l'interface Web et le
rseau 209.165.200.224/27 sur le routeur ISP. Le rseau 192.168.30.0/24 ne devrait PAS tre autoris
accder un autre rseau via le Web.
Sur base des stratgies de scurit mentionnes ci-dessus, vous aurez besoin au minimum de deux listes de
contrle d'accs pour satisfaire aux stratgies de scurit. Il est conseill de placer les listes de contrle
d'accs tendues le plus prs possible de la source. Nous suivre cette pratique dans le cadre de ces
stratgies.

tape 1: Configurez une liste de contrle d'accs tendue numrote sur R1 pour les numros
de stratgie de scurit 1 et 2.
Vous utiliserez une liste de contrle d'accs tendue numrote sur R1. Quelles sont les plages pour les
listes de contrle d'accs tendues ?
_______________________________________________________________________________________
a. Configurez la liste de contrle d'accs sur R1. Utilisez 100 comme numro de liste de contrle d'accs.
R1(config)# access-list 100 remark Allow Web & SSH Access
R1(config)# access-list 100 permit tcp host 192.168.10.3 host 10.2.2.1 eq 22
R1(config)# access-list 100 permit tcp any any eq 80
Que signifie 80 dans le rsultat de commande indiqu ci-dessus ?
Http port
quelle interface la liste de contrle d'accs ACL 100 doit-elle tre applique ?
S0/0/0
Dans quelle direction la liste de contrle d'accs ACL 100 doit-elle tre applique ?
out
b. Appliquez la liste de contrle d'accs ACL 100 l'interface S0/0/0.
R1(config)# int s0/0/0
R1(config-if)# ip access-group 100 out
c. Vrifiez la liste de contrle d'accs ACL 100.
1) Ouvrez un navigateur Web sur PC-A, puis accdez http://209.165.200.225 (le routeur ISP). La
requte doit aboutir ; dpannez si ce n'est pas le cas.
2) tablissez une connexion SSH entre PC-A et R3 en utilisant 10.2.2.1 comme adresse IP. Connectez-
vous au moyen des informations d'identification admin et class. La requte doit aboutir ; dpannez si
ce n'est pas le cas.
3) partir de l'invite du mode d'excution privilgi sur R1, excutez la commande show access-lists.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 6 / 9
Travaux pratiques : configuration et vrification des listes de contrle d'accs tendues

R1# show access-lists

Extended IP access list 100
10 permit tcp host 192.168.10.3 host 10.2.2.1 eq 22 (22 matches)
20 permit tcp any any eq www (111 matches)
4) partir de l'invite de commande de PC-A, envoyez une requte ping 10.2.2.1. Pouvez-vous
expliquer vos rsultats ?
le ping ne fonctionne pas parce que nous n'avons pas spcifi pour laisser le trafic ip
travers

tape 2: Configurez une liste de contrle d'accs tendue nomme sur R3 pour la stratgie de
scurit numro 3.
a. Configurez la stratgie sur R3. Attribuez la liste de contrle d'accs le nom WEB-POLICY.
R3(config)# ip access-list extended WEB-POLICY
R3(config-ext-nacl)# permit tcp 192.168.30.0 0.0.0.255 host 10.1.1.1 eq 80
R3(config-ext-nacl)# permit tcp 192.168.30.0 0.0.0.255 209.165.200.224
0.0.0.31 eq 80
b. Appliquez-la l'interface S0/0/1.
R3(config-ext-nacl)# int S0/0/1
R3(config-if)# ip access-group WEB-POLICY out
c. Vrifiez-la.
1) partir de l'invite de commande du mode d'excution privilgi du routeur R3, excutez la
commande show ip interface s0/0/1.
Quel est, le cas chant, le nom de la liste de contrle d'accs ?
WEB-POLICY
Dans quelle direction, la liste de contrle d'accs est-elle applique ?
out
2) Ouvrez un navigateur Web sur PC-C, puis accdez http://209.165.200.225 (le routeur ISP). La
requte doit aboutir ; dpannez si ce n'est pas le cas.
3) partir de PC-C, ouvrez une session Web sur http://10.1.1.1 (R1). La requte doit aboutir ; dpannez
si ce n'est pas le cas.
4) partir de PC-C, ouvrez une session Web sur http://209.165.201.1 (routeur ISP). Elle devrait
chouer ; dpannez si ce n'est pas le cas.
5) partir de l'invite de commande de PC-C, envoyez une requte ping PC-A. Quel rsultat obtenez-
vous et pourquoi ?
La destination est introuvable parce que on na pas permit le trafic IP

Partie 4: Modification et vrification des listes de contrle d'accs

tendues
En raison des listes de contrle d'accs appliques sur R1 et R3, aucune requte ping ou aucun autre type
de trafic n'est autoris entre les rseaux locaux sur R1 et R3. La direction a dcid d'autoriser tout le trafic
entre les rseaux 192.168.10.0/24 et 192.168.30.0/24. Vous devez modifier les deux listes de contrle
d'accs sur R1 et R3.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 7 / 9
Travaux pratiques : configuration et vrification des listes de contrle d'accs tendues

tape 1: Modifiez la liste de contrle d'accs ACL 100 sur R1.

a. partir du mode d'excution privilgi sur R1, excutez la commande show access-lists.
Combien y a-t-il de lignes dans cette liste d'accs ? 2
b. Passez en mode de configuration globale et modifiez la liste de contrle d'accs sur R1.
R1(config)# ip access-list extended 100
R1(config-ext-nacl)# 30 permit ip 192.168.10.0 0.0.0.255 192.168.30.0
0.0.0.255
R1(config-ext-nacl)# end
c. Excutez la commande show access-lists.
O apparat la nouvelle ligne que vous venez d'ajouter dans la liste de contrle d'accs ACL 100 ?
Bas de la liste

tape 2: Modifiez WEB-POLICY sur R3.

a. partir du mode d'excution privilgi sur R3, excutez la commande show access-lists.
Combien y a-t-il de lignes dans cette liste d'accs ?
b. Passez en mode de configuration globale et modifiez la liste de contrle d'accs sur R3.
R3(config)# ip access-list extended WEB-POLICY
R3(config-ext-nacl)# 30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0
0.0.0.255
R3(config-ext-nacl)# end
c. Excutez la commande show access-lists pour vrifier que la nouvelle ligne a t ajoute la fin de la
liste de contrle d'accs.

tape 3: Vrifiez les listes de contrle d'accs modifies.

a. partir de PC-A, envoyez une requte ping l'adresse IP de PC-C. Les requtes ping ont-elles abouti ?
oui
b. partir de PC-C, envoyez une requte ping l'adresse IP de PC-C. Les requtes ping ont-elles abouti ?
oui
Pourquoi les listes de contrle d'accs ont-elles fonctionn immdiatement pour les requtes ping ds
que vous les avez modifies ?
Car on a permit le trafic IP

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 8 / 9
Travaux pratiques : configuration et vrification des listes de contrle d'accs tendues

Remarques gnrales
1. Pourquoi une planification et des tests attentifs des listes de contrle d'accs sont-ils requis ?
Pour s'assurer que nous autorisons ou bloquons correctement l'adresse IP correcte afin que
nous ne le fassions pas

2. Quel type de liste de contrle d'accs est optimal : standard ou tendue ?

On utilisent les deux sa dpend le cas dutilisation
3. Pourquoi les paquets hello EIGRP et les mises jour de routage ne sont-ils pas bloqus par l'entre de
contrle d'accs (ACE) deny any implicite ou l'instruction ACL des listes de contrle d'accs appliques R1
et R3 ?
Car on spcifie allowed les packets tcp de passer par le rseau

Tableau rcapitulatif des interfaces de routeur

Rsum des interfaces de routeur

Modle du Interface Ethernet 1 Interface Ethernet 2 Interface srie 1 Interface srie 2

routeur

1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Remarque : pour savoir comment le routeur est configur, observez les interfaces afin d'identifier le type de
routeur ainsi que le nombre d'interfaces qu'il comporte. Il n'est pas possible de rpertorier de faon exhaustive
toutes les combinaisons de configurations pour chaque type de routeur. Ce tableau inclut les identifiants des
combinaisons possibles des interfaces Ethernet et srie dans le priphrique. Ce tableau ne comporte aucun
autre type d'interface, mme si un routeur particulier peut en contenir un. L'exemple de l'interface RNIS BRI peut
illustrer ceci. La chane de caractres entre parenthses est l'abrviation normalise qui permet de reprsenter
l'interface dans les commandes de Cisco IOS.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 9 / 9