Acces Liste

Travaux pratiques 5.5.
1 : listes de contrle daccs de base

Diagramme de topologie
Table dadressage Priphrique

R1
Interface
Fa0/0 Fa0/1 S0/0/0 Fa0/1
Adresse IP
192.168.10.1 192.168.11.1 10.1.1.1 192.168.20.1 10.1.1.2 10.2.2.1 209.165.200.225 192.168.30.1 10.2.2.2 192.168.10.2
Masque de sous-rseau
255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.224 255.255.255.0 255.255.255.252 255.255.255.0
Passerelle par dfaut
R2
S0/0/0 S0/0/1 Lo0
R3 Comm1
Fa0/1 S0/0/1 Vlan1
192.168.10.1
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.
Page 1 sur 11
CCNA Exploration Accs au rseau sans fil : listes de contrle daccs (ACL)
Travaux pratiques 5.5.1 : listes de contrle daccs de base
Comm2 Comm3 PC1 PC2 PC3 Serveur Web
Vlan1 Vlan1 Carte rseau Carte rseau Carte rseau Carte rseau
192.168.11.2 192.168.30.2 192.168.10.10 192.168.11.10 192.168.30.10 192.168.20.254
255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0
192.168.11.1 192.168.30.1 192.168.10.1 192.168.11.1 192.168.30.1 192.168.20.1
Objectifs pdagogiques
lissue de ces travaux pratiques, vous serez en mesure deffectuer les tches suivantes : Concevoir des listes de contrle daccs nommes standard et tendues Appliquer des listes de contrle daccs nommes standard et tendues Tester des listes de contrle daccs nommes standard et tendues Rsoudre les problmes lis aux listes de contrle daccs nommes standard et tendues
Scnario
Dans le cadre de ces travaux pratiques, vous apprendrez configurer la scurit dun rseau de base laide des listes de contrle daccs. Vous appliquerez des listes de contrles d'accs standard et tendues.
Tche 1 : prparation du rseau

tape 1 : cblage dun rseau similaire celui du diagramme de topologie Vous pouvez utiliser nimporte quel routeur disponible durant les travaux pratiques, pourvu quil dispose des interfaces requises, comme illustr sur le diagramme de topologie. Remarque : ces travaux pratiques ont t dvelopps et tests laide de routeurs 1841. Si vous utilisez les routeurs 1700, 2500 ou 2600, les sorties des routeurs et les descriptions des interfaces apparatront diffremment. Certaines commandes peuvent tre diffrentes ou ne pas exister sur danciens routeurs ou des versions du systme IOS antrieures la version 12.4. tape 2 : suppression des configurations existantes sur les routeurs
Tche 2 : excution des configurations de routeur de base

Configurez les routeurs R1, R2 et R3, ainsi que les commutateurs Comm1, Comm2 et Comm3 en respectant les consignes suivantes : Configurez le nom d'hte du routeur conformment au diagramme de topologie. Dsactivez la recherche DNS. Configurez un mot de passe class pour le mode dexcution privilgi. Configurez une bannire de message du jour. Configurez un mot de passe cisco pour les connexions de consoles. Configurez un mot de passe pour les connexions de terminaux virtuels (vty).
Page 2 sur 11
Configurez des adresses IP et des masques sur tous les priphriques. Activez la zone OSPF 0 pour l'ensemble des routeurs de tous les rseaux. Configurez une interface en mode boucl sur R2 pour simuler le FAI. Configurez des adresses IP pour linterface VLAN 1 sur chaque commutateur. Configurez chaque commutateur avec la passerelle par dfaut approprie. Vrifiez l'intgralit de la connectivit IP laide de la commande ping.
Tche 3 : configuration dune liste de contrle daccs standard

Les listes de contrle daccs standard ne peuvent filtrer le trafic quen fonction de ladresse IP source. Il est gnralement recommand de configurer une liste de contrle daccs standard aussi proche que possible de la destination. Dans cette tche, vous allez configurer une liste de contrle daccs standard. La liste de contrle daccs est conue pour bloquer le trafic provenant du rseau 192.168.11.0/24 correspondant la salle de travaux pratiques des participants, et ce afin de lempcher daccder des rseaux locaux sur R3. Cette liste est applique en entre, sur linterface srie de R3. Noubliez pas que chaque liste de contrle daccs comporte une instruction deny all implicite. Cette dernire bloque tous les trafics qui ne correspondent aucune instruction de la liste. Cest la raison pour laquelle il est ncessaire d'ajouter linstruction permit any la fin de la liste. Avant de configurer et dappliquer cette liste, veillez vrifier la connectivit depuis PC1 (ou linterface Fa0/1 sur R1) vers PC3 (ou linterface Fa0/1 sur R3). Les tests de connectivit doivent aboutir avant dappliquer cette liste. tape 1 : cration de la liste de contrle daccs sur le routeur R3 En mode de configuration globale, crez une liste de contrle daccs standard nomme STND-1. R3(config)#ip access-list standard STND-1 En mode de configuration de liste de contrle daccs standard, ajoutez une instruction charge de refuser tous les paquets dont ladresse source est 192.168.11.0/24 et dajouter un message dans la console pour chaque paquet correspondant. R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log Autorisez le reste du trafic. R3(config-std-nacl)#permit any tape 2 : application de la liste de contrle daccs Appliquez la liste de contrle daccs STND-1 pour filtrer les paquets entrant dans R3, par le biais de linterface srie 0/0/1. R3(config)#interface serial 0/0/1 R3(config-if)#ip access-group STND-1 in R3(config-if)#end R3#copy run start
Page 3 sur 11
tape 3 : test de la liste de contrle daccs Avant de tester la liste de contrle daccs, assurez-vous que la console de R3 est visible. De cette manire, vous pouvez visualiser les messages du journal de la liste daccs lorsque le paquet est refus. Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. La liste de contrle daccs tant conue pour bloquer le trafic dont ladresse source fait partie du rseau 192.168.11.0/24, le PC2 (192.168.11.10) ne peut normalement pas envoyer de requtes ping vers le PC3. Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/1 sur R1, vers linterface Fa0/1 sur R3. R1#ping ip Target IP address: 192.168.30.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.11.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: Packet sent with a source address of 192.168.11.1 U.U.U Success rate is 0 percent (0/5) Le message suivant doit safficher sur la console de R3 : *Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0 0.0.0.0 -> 192.168.11.1, 1 packet En mode dexcution privilgi sur R3, lancez la commande show access-lists. Une sortie similaire la suivante saffiche. Chaque ligne dune liste de contrle daccs possde un compteur associ, qui affiche le nombre de paquets correspondants la rgle. Standard IP access list STND-1 10 deny 192.168.11.0, wildcard bits 0.0.0.255 log (5 matches) 20 permit any (25 matches) Lobjectif de cette liste tait de bloquer les htes du rseau 192.168.11.0/24. Tous les autres htes, notamment ceux du rseau 192.168.10.0/24, doivent tre autoriss accder aux rseaux sur R3. Effectuez un autre test depuis PC1 vers PC3 pour vrifier que ce trafic nest pas bloqu. Vous pouvez galement utiliser une commande ping tendue partir de linterface Fa0/0 sur R1, vers linterface Fa0/1 sur R3. R1#ping ip Target IP address: 192.168.30.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.10.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]:
Page 4 sur 11
Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: Packet sent with a source address of 192.168.10.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms
Tche 4 : configuration dune liste de contrle daccs tendue

Lorsque vous souhaitez bnficier dun contrle plus prcis, vous pouvez utiliser une liste de contrle daccs tendue. Les listes de contrle daccs tendues peuvent filtrer le trafic en fonction dautres critres que ladresse source. Ainsi, le filtrage peut tre bas sur le protocole, ladresse IP source, ladresse IP de destination, le numro de port source et le numro de port de destination. Une autre stratgie mise en place pour ce rseau indique que les priphriques du rseau local 192.168.10.0/24 ne peuvent accder quaux rseaux internes. Les ordinateurs de ce rseau local ne sont pas autoriss accder Internet. Par consquent, ces utilisateurs ne doivent pas pouvoir accder ladresse IP 209.165.200.225. Cette exigence sappliquant la source et la destination, il est ncessaire dutiliser une liste de contrle daccs tendue. Cette tche consiste configurer une liste de contrle daccs tendue sur R1, qui sera charge dempcher le trafic en provenance dun priphrique du rseau 192.168.10.0 /24 daccder lhte 209.165.200.255 (lISP simul). Cette liste de contrle daccs sera applique en sortie de linterface srie 0/0/0 de R1. Pour appliquer de faon optimale des listes de contrle daccs tendues, il est conseill de les placer aussi prs que possible de la source. Avant de commencer, vrifiez que vous pouvez envoyer une requte ping vers 209.165.200.225 depuis le PC1. tape 1 : configuration dune liste de contrle daccs tendue nomme En mode de configuration globale, crez une liste de contrle daccs tendue nomme EXTEND-1. R1(config)#ip access-list extended EXTEND-1 Vous remarquerez que linvite du routeur change pour indiquer que le routeur est prsent en mode de configuration de liste de contrle daccs tendue. partir de cette invite, ajoutez les instructions ncessaires pour bloquer le trafic provenant du rseau 192.168.10.0 /24 destination de lhte. Utilisez le mot cl host lors de la dfinition de la destination. R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 Noubliez pas que linstruction implicite deny all bloque lensemble du trafic si vous najoutez pas dinstruction permit supplmentaire. Ajoutez linstruction permit pour vous assurer que dautres trafics ne sont pas bloqus. R1(config-ext-nacl)#permit ip any any tape 2 : application de la liste de contrle daccs Dans le cas de listes de contrle daccs standard, la meilleure solution consiste placer la liste aussi prs que possible de la destination. En revanche, les listes de contrle daccs tendues sont souvent places prs de la source. La liste EXTEND-1 sera place sur linterface srie et filtrera le trafic sortant. R1(config)#interface serial 0/0/0 R1(config-if)#ip access-group EXTEND-1 out log R1(config-if)#end R1#copy run start
Page 5 sur 11
tape 3 : test de la liste de contrle daccs partir de PC1, envoyez une requte ping linterface de bouclage du routeur R2. Ces tests doivent chouer, car lensemble du trafic provenant du rseau 192.168.10.0 /24 est filtr lorsque la destination est 209.165.200.225. Si la destination correspond une autre adresse, les envois de requtes ping doivent aboutir. Pour le vrifier, envoyez des requtes ping vers R3 partir dun priphrique du rseau 192.168.10.0/24. Remarque : la fonctionnalit de la commande ping tendue sur R1 ne peut pas tre utilise pour tester cette liste de contrle daccs car le trafic est issu de R1 et nest jamais test sur la liste de contrle daccs applique linterface srie R1. Vous pouvez effectuer une vrification approfondie en entrant la commande show ip access-list sur R1 aprs lenvoi de la requte ping. R1#show ip access-list Extended IP access list EXTEND-1 10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches) 20 permit ip any any
Tche 5 : contrle de laccs aux lignes vty par le biais dune liste de contrle daccs standard
Il est gnralement conseill de restreindre laccs aux lignes vty du routeur pour ladministration distance. Une liste de contrle daccs peut tre applique aux lignes vty afin de limiter laccs des htes ou des rseaux spcifiques. Cette tche consiste configurer une liste de contrle daccs standard autorisant les htes de deux rseaux accder aux lignes vty. Les autres htes se voient refuser laccs. Vrifiez que vous pouvez tablir un accs Telnet vers R2 partir de R1 et de R3. tape 1 : configuration de la liste de contrle daccs. Configurez une liste de contrle daccs standard nomme sur R2 pour autoriser le trafic provenant des rseaux 10.2.2.0/30 et 192.168.30.0/24. Refusez le reste du trafic. Attribuez la liste de contrle daccs le nom Task-5. R2(config)#ip access-list standard TASK-5 R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3 R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255 tape 2 : application de la liste de contrle daccs Accdez au mode de configuration de ligne pour les lignes vty 0 4. R2(config)#line vty 0 4 Utilisez la commande access-class pour appliquer la liste de contrle daccs aux lignes vty , dans le sens entrant. Vous remarquerez que cette commande diffre de la commande utilise pour appliquer des listes de contrle daccs aux autres interfaces. R2(config-line)#access-class TASK-5 in R2(config-line)#end R2#copy run start
Page 6 sur 11
tape 3 : test de la liste de contrle daccs tablissez une connexion Telnet avec R2 depuis R1. R1 ne comporte pas dadresse IP prsente dans la plage dadresses rpertorie dans les instructions dautorisation de la liste de contrle daccs TASK-5. Les tentatives de connexion sont censes chouer. R1# telnet 10.1.1.2 Trying 10.1.1.2 % Connection refused by remote host tablissez une connexion Telnet avec R2 depuis R3. Vous tes alors invit entrer le mot de passe des lignes vty. R3# telnet 10.1.1.2 Trying 10.1.1.2 Open CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law. User Access Verification Password: Pourquoi les tentatives de connexion partir dautres rseaux chouent-elles alors que ces rseaux ne sont pas explicitement rpertoris dans la liste de contrle daccs ? _________________________________________________________________________________ _________________________________________________________________________________
Tche 6 : dpannage des listes de contrle daccs

Lorsquune liste de contrle daccs est mal configure, applique une interface inadquate ou dans un sens incorrect, le trafic rseau peut tre affect de manire imprvisible. tape 1 : suppression dune liste de contrle daccs STND-1 partir de S0/0/1 de R3 Vous avez prcdemment cr et appliqu une liste de contrle daccs standard nomme sur R3. Utilisez la commande show running-config pour afficher la liste de contrle daccs et sa position. Vous devriez remarquer quune liste de contrle daccs appele STND-1 a t configure et applique en entre de linterface srie 0/0/1. Souvenez-vous que cette liste a t conue pour empcher lensemble du trafic dont ladresse source provient du rseau 192.168.11.0/24 daccder au rseau local de R3. Pour supprimer la liste de contrle daccs, accdez au mode de configuration dinterface de linterface srie 0/0/1 de R3. Utilisez la commande no ip access-group STND-1 in pour supprimer la liste de contrle daccs de linterface. R3(config)#interface serial 0/0/1 R3(config-if)#no ip access-group STND-1 in Utilisez la commande show running-config pour vrifier que la liste de contrle daccs a bien t supprime de linterface srie 0/0/1. tape 2 : application de la liste de contrle daccs STND-1 en sortie de linterface S0/0/1 Pour comprendre limportance du sens de filtrage des listes de contrle daccs, appliquez nouveau la liste STND-1 linterface srie 0/0/1. Cette fois, la liste de contrle daccs filtrera le trafic sortant et non le trafic entrant. Pensez utiliser le mot cl out lors de lapplication de la liste de contrle daccs. R3(config)#interface serial 0/0/1 R3(config-if)#ip access-group STND-1 out
Page 7 sur 11
tape 3 : test de la liste de contrle daccs Vrifiez la liste de contrle daccs en envoyant une requte ping vers le PC3 partir du PC2. Vous pouvez galement envoyer une requte ping tendue partir de R1. Vous remarquerez que cette fois, lenvoi de requtes ping aboutit et que les compteurs de la liste de contrle daccs ne sont pas modifis. Pour le vrifier, entrez la commande show ip access-list sur R3. tape 4 : restauration de la configuration dorigine de la liste de contrle daccs Supprimez la liste de contrle daccs applique en sortie et appliquez-la nouveau en entre. R3(config)#interface serial 0/0/1 R3(config-if)#no ip access-group STND-1 out R3(config-if)#ip access-group STND-1 in tape 5 : application de la tche TASK-5 linterface srie Serial 0/0/0 dentre de R2 R2(config)#interface serial 0/0/0 R2(config-if)#ip access-group TASK-5 in tape 6 : test de la liste de contrle daccs partir de R1 ou des rseaux qui y sont connects, essayez de communiquer avec un priphrique connect R2 ou R3. Vous remarquerez que toutes les communications sont bloques, mais que cette fois les compteurs de liste de contrle daccs ne sont pas incrments. Cela est d la prsence dune instruction deny all (refuser tout) implicite la fin de chaque liste de contrle daccs. Cette instruction deny bloque tous les trafics entrants de linterface srie Serial 0/0/0 provenant dune autre source que R3. Cela a pour principale consquence que les routes provenant de R1 seront supprimes de la table de routage. Les messages similaires ce qui suit doivent safficher sur les consoles de R1 et R2. Notez que la dsactivation de la relation de voisinage du protocole OSPF peut prendre un certain temps. *Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired Lorsque vous recevez ce message, excutez la commande show ip route sur R1 et R2 pour afficher les routes ayant t supprimes de la table de routage. Supprimez la liste de contrle daccs TASK-5 de linterface, puis enregistrez vos configurations. R2(config)#interface serial 0/0/0 R2(config-if)#no ip access-group TASK-5 in R2(config)#exit R2#copy run start
Page 8 sur 11
Tche 7 : documentation des configurations des routeurs Configurations

Routeur 1 hostname R1 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 ip access-group EXTEND-1 out clockrate 64000 no shutdown ! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0 ! ip access-list extended EXTEND-1 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 permit ip any any ! banner motd ^CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.^ ! line con 0 password cisco logging synchronous login ! line vty 0 4 password cisco login ! Routeur 2 hostname R2 ! enable secret class ! no ip domain lookup !
Page 9 sur 11
interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 no shutdown ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 no shutdown ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 clockrate 125000 no shutdown ! router ospf 1 no auto-cost network 10.1.1.0 0.0.0.3 area 0 network 10.2.2.0 0.0.0.3 area 0 network 192.168.20.0 0.0.0.255 area 0 network 209.165.200.224 0.0.0.31 area 0 ! ip access-list standard TASK-5 permit 10.2.2.0 0.0.0.3 permit 192.168.30.0 0.0.0.255 ! banner motd ^Unauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.^ ! line con 0 password cisco logging synchronous login ! line vty 0 4 access-class TASK-5 in password cisco login ! Routeur 3 hostname R3 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/1 ip address 192.168.30.1 255.255.255.0 no shutdown ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 ip access-group STND-1 out no shutdown
Page 10 sur 11
! router ospf 1 network 10.0.0.0 0.255.255.255 area 0 network 192.168.30.0 0.0.0.255 area 0 ! ip access-list standard STND-1 deny 192.168.11.0 0.0.0.255 log permit any ! banner motd ^Unauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.^ ! line con 0 password cisco logging synchronous login ! line vty 0 4 password cisco login ! end
Tche 8 : remise en tat

Supprimez les configurations et rechargez les routeurs. Dconnectez le cblage et stockez-le dans un endroit scuris. Reconnectez le cblage souhait et restaurez les paramtres TCP/IP pour les htes PC connects habituellement aux autres rseaux (rseau local de votre site ou Internet).
Page 11 sur 11

Acces Liste

Transféré par

Droits d'auteur :

Formats disponibles

Acces Liste

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Acces Liste

Transféré par

Droits d'auteur :

Formats disponibles

Travaux pratiques 5.5.

1 : listes de contrle daccs de base

Table dadressage Priphrique

Passerelle par dfaut

S0/0/0 S0/0/1 Lo0

Fa0/1 S0/0/1 Vlan1

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Comm2 Comm3 PC1 PC2 PC3 Serveur Web

192.168.11.2 192.168.30.2 192.168.10.10 192.168.11.10 192.168.30.10 192.168.20.254

255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

192.168.11.1 192.168.30.1 192.168.10.1 192.168.11.1 192.168.30.1 192.168.20.1

Tche 1 : prparation du rseau

Tche 2 : excution des configurations de routeur de base

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Tche 3 : configuration dune liste de contrle daccs standard

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Tche 4 : configuration dune liste de contrle daccs tendue

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Tche 6 : dpannage des listes de contrle daccs

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Tche 7 : documentation des configurations des routeurs Configurations

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Travaux pratiques 5.5.1 : listes de contrle daccs de base

Tche 8 : remise en tat

Vous aimerez peut-être aussi