Travaux pratiques 8.3.3 : configuration et vérification de listes de contrôle d accès standard



Documents pareils
Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

Exercice : configuration de base de DHCP et NAT

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

TP Configuration de l'authentification OSPF

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Travaux pratiques : collecte et analyse de données NetFlow

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Mise en service d un routeur cisco

Travaux pratiques : Configuration de base d une route statique

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Présentation et portée du cours : CCNA Exploration v4.0

Présentation et portée du cours : CCNA Exploration v4.0

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

GNS 3 Travaux pratiques

Cisco Certified Network Associate Version 4

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Configuration des routes statiques, routes flottantes et leur distribution.

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Configuration du matériel Cisco. Florian Duraffourg

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Travaux pratiques IPv6

TP Réseau 1A DHCP Réseau routé simple

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

RESEAUX MISE EN ŒUVRE

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

Dispositif sur budget fédéral

Compte-rendu du TP n o 2

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Cisco Certified Network Associate

Les réseaux /24 et x0.0/29 sont considérés comme publics

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

TP a Notions de base sur le découpage en sous-réseaux

TP 1 et 2 de Réseaux en Master 1 Informatique : Assemblage d un réseau, configuration d adresses IP sous Linux et Windows

comment paramétrer une connexion ADSL sur un modemrouteur

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

Réseaux Locaux Virtuels

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Table des matières Nouveau Plan d adressage... 3

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Windows Serveur 2012 : DHCP. Installation et mise en place

Guide d installation

La qualité de service (QoS)

Cisco Certified Voice Professional. Comprendre la QoS

Arkoon Security Appliances Fast 360

MAUREY SIMON PICARD FABIEN LP SARI

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Chap.9: SNMP: Simple Network Management Protocol

Module M3102 TP3. QoS : implémentation avec Cisco MQC

Présentation du modèle OSI(Open Systems Interconnection)

Configurer l adressage des serveurs et des clients

MISE EN PLACE DU FIREWALL SHOREWALL

1 DHCP sur Windows 2008 Server Introduction Installation du composant DHCP Autorisation d'un serveur DHCP...

TP réseaux Translation d adresse, firewalls, zonage

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

VOIP : Un exemple en Afrique

Sécurité et Firewall

Internet Protocol. «La couche IP du réseau Internet»

Installation d'un serveur DHCP sous Windows 2000 Serveur

Etape 1 : Connexion de l antenne WiFi et mise en route

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

BC9000-BK9000. Paramétrage et configuration de l adresse IP

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Chapitre 11 : Le Multicast sur IP

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

LAB : Schéma. Compagnie C / /24 NETASQ

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

L3 informatique Réseaux : Configuration d une interface réseau

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Administration d un client Windows XP professionnel

Le Protocole DHCP. Module détaillé

Réseaux CPL par la pratique

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Guide de démarrage rapide de Cisco Router and Security Device Manager

Réseau - VirtualBox. Sommaire

Mise en place des réseaux LAN interconnectés en

Protocoles DHCP et DNS

La technologie de contrôle d accès réseau 802.1x et son implémentation pratique

Transcription:

Travaux pratiques 8.3.3 : configuration et vérification de listes de contrôle d accès standard Nom de l hôte Adresse IP FastEthernet 0/0 Adresse IP Serial 0/0/0 Type d interface Serial 0/0/0 Loopback Interface Addresses Mot de passe secret actif Routeur 1 R1 192.168.200.1/24 192.168.100.1/30 DCE s/o class cisco Routeur 2 R2 s/o 192.168.100.2/30 ETTD Périphérique Commutateur 1 Objectifs Lo0 192.168.1.1 Lo1 192.168.2.1 class Mot de passe enable/ vty et console cisco Comm1 s/o s/o s/o s/o class cisco Configurer des listes de contrôle d accès standard pour limiter le trafic Vérifier le fonctionnement des listes de contrôle d accès Copyright sur l intégralité du contenu 1992-2007 Cisco Systems, Inc. Page 1 sur 5

Contexte / Préparation Au cours de ces travaux pratiques, vous allez travailler avec des listes de contrôle d accès standard pour contrôler le trafic réseau sur la base d adresses IP hôtes. Tout routeur doté d une interface telle que celle indiquée dans le schéma ci-dessus peut être utilisé. Exemple : les routeurs de la gamme 800, 1600, 1700, 1800, 2500, 2600, 2800 ou toute combinaison de ces routeurs sont utilisables. Les informations présentées dans ces travaux pratiques s appliquent au routeur de la gamme 1841. Il est possible d utiliser d autres routeurs ; cependant la syntaxe des commandes peut varier. Les interfaces peuvent être différentes en fonction du modèle de routeur. Par exemple, sur certains routeurs, Serial 0 peut être Serial 0/0 ou Serial 0/0/0 et Ethernet 0 peut être FastEthernet 0/0. Le commutateur Cisco Catalyst 2960 est fourni préconfiguré : il ne nécessite que l affectation d informations de sécurité de base avant la connexion à un réseau. Ressources nécessaires : Un commutateur Cisco 2960 ou autre commutateur comparable Deux routeurs Cisco de la gamme 1841 ou équivalents, chacun avec une interface série et Ethernet Un PC Windows équipé d un programme d émulation de terminal et configuré comme hôte Au moins un câble console RJ-45/DB-9 pour configurer les routeurs et le commutateur 2 câbles directs Ethernet Un câble croisé série ETTD/DCE en 2 parties REMARQUE : vérifiez que la mémoire des routeurs et des commutateurs a été effacée et qu aucune configuration de démarrage n est présente. Les instructions d effacement et de rechargement de la mémoire du commutateur et du routeur figurent dans la section Tools du site Academy Connection. REMARQUE : Routeurs SDM Si la configuration initiale (startup-config) est effacée dans un routeur SDM, le gestionnaire SDM ne s affiche plus par défaut lorsque le routeur est redémarré. Il est alors nécessaire de définir une configuration de routeur de base à l aide des commandes IOS. La procédure indiquée dans ces travaux pratiques utilise des commandes IOS et ne nécessite pas l utilisation de SDM. Si vous voulez utiliser SDM, reportez-vous aux instructions du Manuel de travaux pratiques que vous pouvez télécharger depuis la section Tools du site Academy Connection. Consultez votre formateur si besoin. Étape 1 : connexion du matériel a. Connectez l interface Serial 0/0/0 du Routeur 1 à l interface Serial 0/0/0 du Routeur 2 à l aide d un câble série. b. Connectez l interface Fa0/0 du Routeur 1 à l interface Fa0/1 du Commutateur 1 à l aide d un câble direct. c. Connectez un câble console au PC pour procéder aux configurations sur les routeurs et le commutateur. d. Connectez H1 au port Fa0/2 du Commutateur 1 à l aide d un câble direct. Étape 2 : configuration de base du Routeur 1 a. Connectez un PC au port console du routeur pour procéder aux configurations à l aide d un programme d émulation de terminal. b. Sur le Routeur 1, configurez le nom d hôte, les interfaces, les mots de passe et la bannière du message du jour, et désactivez les recherches DNS conformément à la table d adressage et au schéma de topologie. Enregistrez la configuration. Copyright sur l intégralité du contenu 1992-2007 Cisco Systems, Inc. Page 2 sur 5

Étape 3 : configuration de base du Routeur 2 Procédez à la configuration de base du Routeur 2 et enregistrez-la. Étape 4 : configuration de base du Commutateur 1 Configurez le Commutateur 1 avec un nom d hôte et des mots de passe selon la table d adressage et le schéma de topologie. Étape 5 : configuration de l hôte avec une adresse IP, un masque de sous-réseau et une passerelle par défaut a. Configurez l hôte avec l adresse IP, le masque de sous-réseau et la passerelle par défaut corrects. L adresse 192.168.200.10/24 et la passerelle par défaut 192.168.200.1 doivent être attribuées à l hôte. b. La station de travail doit pouvoir envoyer une requête ping au routeur auquel elle est connectée. Si cette requête échoue, procédez au dépannage requis. Vérifiez soigneusement qu une adresse IP spécifique et une passerelle par défaut ont été attribuées à la station de travail. Étape 6 : configuration du routage RIP et vérification de la connectivité de bout en bout dans le réseau a. Sur le Routeur 1, activez le protocole de routage RIP et configurez-le de façon à annoncer les deux réseaux connectés. b. Sur le Routeur 2, activez le protocole de routage RIP et configurez-le de façon à annoncer les trois réseaux connectés. c. Envoyez une requête ping de l Hôte 1 aux deux interfaces de bouclage sur le Routeur 2. Les requêtes ping de l Hôte 1 ont-elles abouti? Si la réponse est non, vérifiez la configuration de l hôte et du routeur pour trouver l erreur. Envoyez de nouvelles requêtes ping jusqu à ce qu elles aboutissent. Étape 7 : configuration et test d une liste de contrôle d accès standard Dans la topologie de ces travaux pratiques, les interfaces de bouclage sur R2 simulent deux réseaux de classe C connectés au routeur. Des listes de contrôle d accès vont être utilisées pour contrôler l accès à ces sous-réseaux. L interface de bouclage 0 représente un réseau de stations de travail de gestion, tandis que l interface 1 représente un réseau d ingénierie à accès limité. Dans ce réseau, il est nécessaire de disposer d au moins une station de travail de gestion sur le sous-réseau 192.168.200.0/24 en même temps que les stations des utilisateurs. L adresse IP statique 192.168.200.10 est allouée à la station de travail de gestion. Les autres adresses IP du réseau sont occupées par les stations de travail des utilisateurs. La liste de contrôle d accès doit permettre d accéder aux réseaux connectés à R2 à partir de la station de gestion, mais pas à partir des autres hôtes du réseau 192.168.200.0. Une liste de contrôle d accès standard est utilisée et sera placée sur R2, qui est le plus proche de la destination. a. Créez une liste de contrôle d accès standard sur R2 pour permettre l accès aux réseaux connectés. Cette liste autorisera un accès à l hôte 192.168.200.10 et refusera tous les autres. R2(config)#access-list 1 permit 192.168.200.10 R2(config)#access-list 1 deny any REMARQUE : l instruction deny implicite à la fin d une liste de contrôle d accès remplit la même fonction. Cependant, il est recommandé d ajouter la ligne à la fin de la liste afin d en conserver une trace. Lorsque cette instruction est ajoutée explicitement, le nombre de paquets correspondant à l instruction est compté, ce qui permet à l administrateur de savoir combien de paquets ont été refusés. Copyright sur l intégralité du contenu 1992-2007 Cisco Systems, Inc. Page 3 sur 5

b. Après avoir créé la liste de contrôle d accès, vous devez l appliquer à une interface sur le routeur. Utilisez l interface Serial 0/0/0 pour permettre un contrôle des réseaux 192.168.1.0 et 192.168.2.0. Le trafic potentiel circulerait en direction de l interface ; par conséquent, appliquez la liste de contrôle d accès dans le sens des entrées. R2(config)#interface serial 0/0/0 R2(config-if)#ip access-group 1 in c. Une fois la liste de contrôle d accès créée et appliquée, utilisez la commande show access-lists sur R2 pour afficher cette liste. L une des instructions de la liste de contrôle d accès renvoie-t-elle des correspondances? R2#show access-lists Standard IP access list 1 10 permit 192.168.200.10 20 deny any Le résultat de la commande show access-lists indique-t-il la liste de contrôle d accès qui a été créée? Le résultat de la commande show access-lists indique-t-il comment la liste de contrôle d accès est appliquée? d. Utilisez la commande show ip interface s0/0/0 pour afficher l application de la liste de contrôle d accès. Que vous indique le résultat de la commande show ip interface sur la liste de contrôle d accès? Étape 8 : test de la liste de contrôle d accès a. À partir de l Hôte 1, envoyez une requête ping à l adresse de bouclage 192.168.1.1. Le ping a-t-il abouti? b. À partir de l Hôte 1, envoyez une requête ping à l adresse de bouclage 192.168.2.1. Le ping a-t-il abouti? c. Exécutez de nouveau la commande show access-list. Combien y a-t-il de correspondances pour la première instruction de la liste de contrôle d accès (permit)? R2#show access-lists Standard IP access list 1 permit 192.168.200.10 (16 matches) deny any Combien y a-t-il de correspondances pour la deuxième instruction de la liste de contrôle d accès (deny)? Copyright sur l intégralité du contenu 1992-2007 Cisco Systems, Inc. Page 4 sur 5

d. Affichez la table de routage de R2 à l aide de la commande show ip route command. Quelle route est absente de la table de routage? Cette route ne figure pas dans la table de routage parce que la liste de contrôle d accès autorise uniquement les paquets provenant de l adresse 192.168.200.10. Les paquets de mise à jour RIP sur R1 proviennent de l interface Serial 0/0/0 192.168.100.1 du routeur et sont refusés par la liste de contrôle d accès. Étant donné que les mises à jour RIP R1 annonçant le réseau 192.168.200.0 sont bloquées par la liste de contrôle d accès, R2 n a pas connaissance du réseau 192.168.200.0. Les requêtes ping émises précédemment n ont pas été bloquées par la liste. Elles ont échoué parce que R2 ne pouvait pas renvoyer la réponse d écho, ne sachant comment atteindre le réseau 192.168.200.0. Cet exemple montre pourquoi les listes de contrôle d accès doivent être programmées avec soin et leur fonctionnement testé de façon approfondie. e. Recréez la liste de contrôle d accès sur R2 pour permettre la réception de mises à jour de routage depuis R1. R2(config)#no access-list 1 R2(config)#access-list 1 permit 192.168.200.10 R2(config)#access-list 1 permit 192.168.100.1 R2(config)#access-list 1 deny any f. Envoyez une requête ping à 192.168.1.1 et 192.168.2.1 à partir de l Hôte 1. Les requêtes ping aboutissent-elles maintenant? _ g. Changez l adresse IP de l Hôte 1 en 192.168.200.11. h. Envoyez de nouveau une requête ping à 192.168.1.1 et 192.168.2.1 à partir de l Hôte 1. Les requêtes ping aboutissent-elles? i. Affichez de nouveau la liste de contrôle d accès à l aide de la commande show access-lists. L instruction 192.168.100.1 de la liste de contrôle d accès renvoie-t-elle des correspondances? REMARQUE : vous pouvez effacer les compteurs de la liste de contrôle d accès en exécutant la commande clear ip access-list counters à partir de l invite du mode d exécution privilégié. Étape 9 : remarques générales a. Pourquoi est-il nécessaire de procéder à une planification et à des tests minutieux des listes de contrôle d accès? b. Quelle est la principale limite des listes de contrôle d accès standard? Copyright sur l intégralité du contenu 1992-2007 Cisco Systems, Inc. Page 5 sur 5