Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1



Documents pareils
Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Mise en service d un routeur cisco

Travaux pratiques : collecte et analyse de données NetFlow

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Présentation et portée du cours : CCNA Exploration v4.0

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Configuration du matériel Cisco. Florian Duraffourg

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Les réseaux /24 et x0.0/29 sont considérés comme publics

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Plan. Programmation Internet Cours 3. Organismes de standardisation

NOTIONS DE RESEAUX INFORMATIQUES

FILTRAGE de PAQUETS NetFilter

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Mr. B. Benaissa. Centre universitaire Nâama LOGO

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Procédure Configuration Borne Wifi. Attribution d'une adresse IP

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Cisco Certified Network Associate Version 4

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

Sécurité et Firewall

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

Travaux pratiques IPv6

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Introduction aux Technologies de l Internet

Présentation et portée du cours : CCNA Exploration v4.0

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Présentation du modèle OSI(Open Systems Interconnection)

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

GENERALITES. COURS TCP/IP Niveau 1

Figure 1a. Réseau intranet avec pare feu et NAT.

Devoir Surveillé de Sécurité des Réseaux

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurité des réseaux Firewalls

TP réseaux Translation d adresse, firewalls, zonage

Parallels Plesk Panel. Module Pare-feu de Parallels Plesk Panel 10 pour Linux/Unix. Guide de l'administrateur

acpro SEN TR firewall IPTABLES

Internet et Programmation!

Administration réseau Firewall

ETI/Domo. Français. ETI-Domo Config FR

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Les systèmes pare-feu (firewall)

COMMANDES RÉSEAUX TCP/IP WINDOWS.

Rappels réseaux TCP/IP

Administration de Réseaux d Entreprises

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

comment paramétrer une connexion ADSL sur un modemrouteur

FreeNAS Shere. Par THOREZ Nicolas

MISE EN PLACE DU FIREWALL SHOREWALL

Les clés d un réseau privé virtuel (VPN) fonctionnel

LAB : Schéma. Compagnie C / /24 NETASQ

Exercice : configuration de base de DHCP et NAT

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Résolution des problèmes de connexion XDMCP aux hôtes UNIX et Linux

TAGREROUT Seyf Allah TMRIM

Travaux Pratiques Introduction aux réseaux IP

Transmission de données

Les firewalls libres : netfilter, IP Filter et Packet Filter

Services Réseaux - Couche Application. TODARO Cédric

TP a Notions de base sur le découpage en sous-réseaux

Chapitre : Les Protocoles

Les réseaux des EPLEFPA. Guide «PfSense»

avec Netfilter et GNU/Linux

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

18 TCP Les protocoles de domaines d applications

Chap.9: SNMP: Simple Network Management Protocol

Module 8. Protection des postes de travail Windows 7

NOTE D'APPLICATION CONCERNANT LA MISE EN SERVICE DE MATERIELS SUR RESEAU IP

TP Configuration de l'authentification OSPF

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

Cours LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton "Activer PAE/NX"

CONVENTION d adhésion au service. EDUROAM de Belnet

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Extended Communication Server Manuel d'installation et de Configuration

Configurez votre Neufbox Evolution

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Transcription:

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Topologie Table d'adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut R1 Objectifs G0/0 172.22.34.65 255.255.255.224 N/A G0/1 172.22.34.97 255.255.255.240 N/A G0/2 172.22.34.1 255.255.255.192 N/A Server NIC 172.22.34.62 255.255.255.192 172.22.34.1 PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65 PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97 Partie 1 : configuration, application et vérification d'une liste de contrôle d'accès numérotée étendue Partie 2 : configuration, application et vérification d'une liste de contrôle d'accès nommée étendue Contexte/scénario Deux employés ont besoin d'accéder aux services fournis par le serveur. PC1 a uniquement besoin d'un accès FTP tandis que PC2 a uniquement besoin d'un accès Web. Les deux ordinateurs peuvent envoyer une requête ping au serveur, mais pas entre eux. 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 5

Partie 1 : Configuration, application et vérification d'une liste de contrôle d'accès numérotée étendue Étape 1 : Configurez une liste de contrôle d'accès pour autoriser l'accès FTP et ICMP. a. En mode de configuration globale sur R1, entrez la commande suivante pour déterminer le premier numéro valide d'une liste de contrôle d'accès étendue. R1(config)# access-list? <1-99> IP standard access list <100-199> IP extended access list b. Ajoutez 100 à la commande et faites suivre d'un point d'interrogation. R1(config)# access-list 100? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment c. Pour autoriser le trafic FTP, tapez permit, suivi d'un point d'interrogation. R1(config)# access-list 100 permit? ahp Authentication Header Protocol eigrp Cisco's EIGRP routing protocol esp Encapsulation Security Payload gre Cisco's GRE tunneling icmp Internet Control Message Protocol ip Any Internet Protocol ospf OSPF routing protocol tcp Transmission Control Protocol udp User Datagram Protocol d. Cette liste de contrôle d'accès autorise FTP et ICMP. ICMP est indiqué ci-dessus, mais FTP non car FTP utilise TCP. Vous devez donc spécifier TCP. Saisissez tcp pour affiner davantage l'aide de la liste de contrôle d'accès. R1(config)# access-list 100 permit tcp? A.B.C.D Source address any Any source host host A single source host e. Notez que nous pourrions garder juste PC1 en utilisant le mot-clé host, ou autoriser tous les hôtes avec any. Dans ce cas, tout périphérique ayant une adresse appartenant au réseau 172.22.34.64/27 est autorisé. Tapez l'adresse réseau suivie d'un point d'interrogation. R1(config)# access-list 100 permit tcp 172.22.34.64? A.B.C.D Source wildcard bits f. Calculez le masque générique déterminant l'inverse binaire d'un masque de sous-réseau. 11111111.11111111.11111111.11100000 = 255.255.255.224 00000000.00000000.00000000.00011111 = 0.0.0.31 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 2 / 5

g. Tapez le masque générique suivi d'un point d'interrogation. R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31? A.B.C.D Destination address any Any destination host eq Match only packets on a given port number gt Match only packets with a greater port number host A single destination host lt Match only packets with a lower port number neq Match only packets not on a given port number range Match only packets in the range of port numbers h. Configurez l'adresse de destination. Dans ce scénario, nous filtrons le trafic pour une seule destination, le serveur. Tapez le mot-clé host suivi de l'adresse IP du serveur. 172.22.34.62? dscp Match packets with given dscp value eq Match only packets on a given port number established established gt Match only packets with a greater port number lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value range Match only packets in the range of port numbers <cr> i. Notez que l'une des options est <cr> (retour chariot). Autrement dit, vous pouvez appuyer sur Entrée et l'instruction autoriserait tout le trafic TCP. En l'occurrence, nous autorisons uniquement le trafic FTP. Par conséquent, entrez le mot-clé eq suivi d'un point d'interrogation pour afficher les options disponibles. Ensuite, tapez ftp et appuyez sur Entrée. 172.22.34.62 eq? <0-65535> Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80) 172.22.34.62 eq ftp j. Créez une deuxième instruction de liste d'accès pour autoriser le trafic ICMP (ping, etc.) entre PC1 et Server. Notez que le numéro de la liste d'accès reste identique et qu'un type de trafic ICMP spécifique n'a pas besoin d'être spécifié. R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 k. Par défaut, tout autre trafic est refusé. 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 3 / 5

Étape 2 : Appliquez la liste de contrôle d'accès sur l'interface appropriée pour filtrer le trafic. Du point de vue de R1, le trafic auquel s'applique la liste de contrôle d'accès ACL 100 est entrant depuis le réseau connecté à l'interface Gigabit Ethernet 0/0. Passez en mode de configuration d'interface et appliquez la liste de contrôle d'accès. R1(config)# interface gigabitethernet 0/0 R1(config-if)# ip access-group 100 in Étape 3 : Vérifiez l'implémentation de la liste de contrôle d'accès. a. Envoyez une requête ping de PC1 vers Server. Si les requêtes ping n'aboutissent pas, vérifiez les adresses IP avant de continuer. b. Établissez une connexion FTP entre PC1 et Server. Le nom d'utilisateur et le mot de passe sont cisco. PC> ftp 172.22.34.62 c. Quittez le service FTP de Server. ftp> quit d. Envoyez une requête ping de PC1 vers PC2. L'hôte de destination doit être inaccessible, car le trafic n'est pas autorisé explicitement. Partie 2 : Configuration, application et vérification d'une liste de contrôle d'accès nommée étendue Étape 1 : Configurez une liste de contrôle d'accès pour autoriser l'accès HTTP et ICMP. a. Les listes de contrôle d'accès nommées commencent par le mot-clé ip. En mode de configuration globale sur R1, entrez la commande suivante suivie d'un point d'interrogation. R1(config)# ip access-list? extended Extended Access List standard Standard Access List b. Vous pouvez configurer des listes de contrôle d'accès étendues et nommées standard. Cette liste d'accès filtre les adresses IP source et de destination ; par conséquent, elle doit être étendue. Tapez HTTP_ONLY comme nom. (Pour la note Packet Tracer, le nom est sensible à la casse.) R1(config)# ip access-list extended HTTP_ONLY c. L'invite change. Vous êtes maintenant en mode de configuration de liste de contrôle d'accès nommée étendue. Tous les périphériques du LAN de PC2 ont besoin d'un accès TCP. Tapez l'adresse réseau suivie d'un point d'interrogation. R1(config-ext-nacl)# permit tcp 172.22.34.96? A.B.C.D Source wildcard bits d. Une autre manière de calculer un masque générique est de soustraire le masque de sous-réseau de 255.255.255.255. 255.255.255.255-255.255.255.240 ----------------- = 0. 0. 0. 15 R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15? 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 4 / 5

e. Terminez l'instruction en spécifiant l'adresse du serveur comme vous l'avez fait dans la Partie 1 et en filtrant le trafic www. R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www f. Créez une deuxième instruction de liste d'accès pour autoriser le trafic ICMP (ping, etc.) entre PC2 et Server. Remarque : l'invite reste identique et un type de trafic ICMP spécifique n'a pas besoin d'être spécifié. R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62 g. Par défaut, tout autre trafic est refusé. Quittez le mode de configuration de liste de contrôle d'accès nommée étendue. Étape 2 : Appliquez la liste de contrôle d'accès sur l'interface appropriée pour filtrer le trafic. Du point de vue de R1, le trafic auquel s'applique la liste de contrôle d'accès HTTP_ONLY est entrant depuis le réseau connecté à l'interface Gigabit Ethernet 0/1. Passez en mode de configuration d'interface et appliquez la liste de contrôle d'accès. R1(config)# interface gigabitethernet 0/1 R1(config-if)# ip access-group HTTP_ONLY in Étape 3 : Vérifiez l'implémentation de la liste de contrôle d'accès. a. Envoyez une requête ping de PC2 vers Server. Si les requêtes ping n'aboutissent pas, vérifiez les adresses IP avant de continuer. b. Établissez une connexion FTP entre PC2 et Server. La connexion doit échouer. c. Ouvrez le navigateur Web sur PC2 et entrez l'adresse IP de Server comme URL. La connexion devrait cette fois aboutir. 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 5 / 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back