Schéma du réseau Le routage dynamique et les Acls Cisco Ouvrir le fichier ripacl.pkt Plan d'adressage : Hôte Adresse Masque Passerelle Service Pc0 192.168.1.1 255.255.255.0 192.168.1.254 Server0 192.168.1.200 255.255.255.0 192.168.1.254 http https RouteurA Gi0/0 192.168.1.254 255.255.255.0 RouteurA Gi0/1 200.100.100.1 255.255.255.0 RouteurB Gi0/0 172.16.255.254 255.255.0.0 RouteurB Gi0/1 200.100.100.2 255.255.0.0 Pc1 172.16.0.1 255.255.0.0 172.16.255.254 Server1 172.16.0.200 255.255.0.0 172.16.255.254 ftp Vous trouverez en annexe 1, les commandes nécessaires pour réaliser ce TP. Testez la connectivité de la couche 3 entre les différents hôtes de chaque réseau.. Testez le ping entre les postes PC0 et PC1. Affichez la table de routage de chaque routeur et expliquez pourquoi les postes PC0 et PC1 ne se pinguent pas. 1
Activez le routage dynamique sur chaque routeur en utilisant l annexe 1 et notez les commandes passées. Affichez de nouveau les tables de routage de chaque routeur. Vérifiez que le routage fonctionne. Vérifiez que le poste PC1 accède au serveur0 en http et en https. Il faut interdire au réseau 172.16.0.0/16 d effectuer une requête https sur le serveur0. Quel protocole de couche 4 utilise https? Quel port est associé à ce service? Sur quel routeur allez-vous mettre en œuvre cette ACL? Sur quelle interface? 2
Écrivez votre Acl en utilisant l annexe 1. Tester votre Acl en tentant un accès en https sur l adresse du serveur0 depuis le réseau 172.16.0.0 soit du poste PC1. Faites la même vérification pour le protocole http. Pour aller plus loin : Activez le serveur ftp sur le serveur1 et interdire uniquement le trafic ftp du serveur0 vers le serveur1. Acl : Vos tests : 3
Annexe 1 I LE ROUTAGE DYNAMIQUE : Nous n'étudierons ici que le routage dynamique à l'aide du protocole RipV1. Il s'agit d'un protocole de routage à vecteur de distance. La métrique utilisée pour la sélection du chemin est le nombre de sauts. Le nombre de sauts maximum autorisé est égal à 15. Par défaut, le protocole RIP transmet à ses voisins les mises à jour de routage incluant sa table de routage toutes les 30 secondes. RIP est un protocole standard qui convient notamment aux réseaux homogènes de petite taille. Activer le RipV1 : enable conf t router RIP network xxx.xxx.xxx.xxx (à l'invite du routeur "xxx.xxx.xxx.xxx" représente une adresse de réseau directement connecté). Répéter la commande Network pour tous les réseaux directement connectés au routeur. Voir les protocoles de routage activés : Routeur# show ip protocols Afficher les mises à jour du routage RIP lors de leur envoi et de leur réception : Routeur# debug ip rip Désactiver la commande debug pour le routage RIP : Routeur# no debug ip rip Effacer toutes les routes dynamiques de la table de routage : Routeur# : Clear ip route * II LES ACLS Nous n'étudierons ici que les Acls étendues (extrait Cisco Discovery 3). Exemple : R2(config)#access-list 105 deny tcp 192.168.5.0 0.0.0.255 host 172.16.5.254 eq 21 Numéro de l access-list Décision Protocole de niveau 4 Réseau source Machine destination Condition Port destinataire Précisions : Les listes de contrôle d accès étendues filtrent non seulement sur l adresse IP source, mais également sur l adresse IP de destination, le protocole et les numéros de port. Les numéros des listes de contrôle d accès étendues vont de 100 à 199 et de 2 000 à 2 699. Les listes de contrôle d accès comprennent une ou plusieurs instructions. Chaque instruction autorise le trafic ou provoque le refus de celui-ci en fonction des paramètres spécifiés. Le trafic est comparé de façon séquentielle à chaque instruction de la liste de contrôle d accès jusqu à ce qu une correspondance soit détectée ou jusqu à la dernière instruction. La dernière instruction d une liste de contrôle d accès est toujours une instruction «implicit deny». Cette instruction est automatiquement ajoutée à la fin de chaque liste de contrôle d accès, même si elle n est pas physiquement présente. L instruction «implicit deny» bloque l ensemble du trafic. Si on doit donc interdire un réseau sur un protocole mais autoriser tout le reste il ne faut pas oublier l instruction suivante : R2(config)# access-list 105 permit ip any any 4
Le masque : L utilisation d une adresse réseau IP avec un masque générique offre beaucoup de souplesse. Un masque générique permet de bloquer une plage d adresses ou un réseau entier en une seule instruction. Un masque générique utilise des 0 pour indiquer la partie d une adresse IP qui doit exactement correspondre et des 1 pour indiquer la partie d une adresse IP qui ne doit pas correspondre à un nombre donné. Si le masque générique est 0.0.0.0, une correspondance exacte doit se trouver sur les 32 bits de l adresse IP. Application de la liste de contrôle d accès : Une fois que vous avez créé la liste de contrôle d accès, vous devez l appliquer à une interface de routeur pour qu elle devienne active. La liste de contrôle d accès traite le trafic en entrée ou en sortie de l interface. Si un paquet correspond à une instruction permit, il est autorisé à entrer dans le routeur ou à en sortir. S il correspond à une instruction deny, il s arrête là. Une liste de contrôle d accès qui ne compte pas au moins une instruction permit bloque l ensemble du trafic. En effet, toutes les listes de contrôle d accès se terminent par une instruction implicit deny. Une liste de contrôle d accès refuse ainsi tout trafic qui n a pas été spécifiquement autorisé. Il faut positionner une liste de contrôle d accès près de l adresse source. Les paquets sont filtrés avant de transiter sur le réseau, ce qui économise la bande passante. On applique à une interface de routeur une liste de contrôle d accès entrante ou sortante. La direction (entrée ou sortie) est toujours exprimée par rapport au routeur. Le trafic arrivant sur une interface est considéré comme entrant et le trafic sortant d une interface comme sortant. Lorsqu un paquet arrive sur une interface, le routeur vérifie les paramètres suivants : Une liste de contrôle d accès est-elle associée à l interface? La liste de contrôle d accès est-elle entrante ou sortante? Le trafic correspond-il aux critères d autorisation ou de refus? Une liste de contrôle d accès appliquée à une interface en sortie n a pas d effet sur le trafic entrant sur cette interface. Pour appliquer une liste de contrôle d accès de numéro 105 sur l interface fa0/0 en entrée : R2(config)# interface fa0/0 R2(config-if)# ip access-group 105 in 5