Commande ACL Et Explications

7/29/2019 Commande ACL Et Explications

1/28

Sommaire

Cisco System

I) Les commandes les plus utilises

II) Sauvegarde de la configuration du routeur

III configuration des commutateurs Cisco catalyst

IV) Extension des rseaux commut avec les vlan

V Gestion du trafic IP avec les listes daccs (ACL)

VI- Projet et ralisation

I) Les commandes les plus utilises

Projet Cisco

Squence de boot :

Rom contient la configuration minimale Flashcontient lIOS Nvram contient le fichier de configuration

Enable passage du mode utilisateur au mode administrateur
http://ahmed.bour.free.fr/cisco.htm#_Toc67815035http://ahmed.bour.free.fr/cisco.htm#_Toc67815035http://ahmed.bour.free.fr/cisco.htm#_Toc67815036http://ahmed.bour.free.fr/cisco.htm#_Toc67815036http://ahmed.bour.free.fr/cisco.htm#_Toc67815037http://ahmed.bour.free.fr/cisco.htm#_Toc67815037http://ahmed.bour.free.fr/cisco.htm#_Toc67815038http://ahmed.bour.free.fr/cisco.htm#_Toc67815038http://ahmed.bour.free.fr/cisco.htm#_Toc67815039http://ahmed.bour.free.fr/cisco.htm#_Toc67815039http://ahmed.bour.free.fr/cisco.htm#_Toc67815040http://ahmed.bour.free.fr/cisco.htm#_Toc67815040http://ahmed.bour.free.fr/cisco.htm#_Toc67815040http://ahmed.bour.free.fr/cisco.htm#_Toc67815039http://ahmed.bour.free.fr/cisco.htm#_Toc67815038http://ahmed.bour.free.fr/cisco.htm#_Toc67815037http://ahmed.bour.free.fr/cisco.htm#_Toc67815036http://ahmed.bour.free.fr/cisco.htm#_Toc67815035


2/28

Show versionaffiche la version de lios

Show interfacesmontre les interfaces (fastethernet, series)

Clockrate 56000 dtermine la frquence de calage

Hostname Ahmed(donne un nom au routeur)

Show cdp neighbors affiche les informations sur les routeurs voisins

Show cdp trafic affiche le trafic dune interface

Erase startconfig (efface le systme compltement)

Clok set: dfinit lheure

Setup : on rentre dans la configuration basic de management

II) Sauvegarde de la configuration du routeur

1) Rcupration ou sauvegarde sur un serveur TFTP

Installer un serveur TFTP (3com par exemple) Copy run-config tftp (suivre les instructions) Copy tftp run-config (copie du serveur tftp vers la ram du routeur), puis copier run

config vers start-config


3/28

2) Rcupration du mot de passe

Configuration du registre : mise sous tension du routeur, appuyez sur les touchesCTRL+PAUSE

Configreg 0x2142 Enable #copy startconfig run-con aprs reset rpondre no Modifier le mot de passe : enable password En config terminal : configreg 0x2102 Copy run-config startconfig Exit puis reload

3) Rcupration du systme en mode RONMON via un serveur TFTP

Ronmon> IP_ADDRESS=192.168.22.103 (adresse de la carte fastethernet du routeur) IP_SUBNET MASK 255.255.255.0 DEFAULT_GATWAY=192.168.22.200 0.0.0.0 TFTP_SERVER =192.168.22.104(adresse du serveur tftp) TFTP_FILE=C2600..bin (le fichier de lios que vous avez sauvegarder) Tftpdnld (entre)

Remarque : Il faut mettre un HUB si vous avez des problme de connexion avec le

serveur TFTP ( cause des dlais des swuitchs)

4) Activation des mots de passe sur telnet (vty)

Les connexions virtuelles (de 0 4), vous navez aucun contrle sur le numrode connexion, cest alatoire.

Conf term : line vty 04

Password ahmed

Exit

disconnect (met fin la connexion telnet

show user (pour savoir si le port telnet est actif)

clear line 10ferme la connexion telnet de lutilisteur connect


4/28

5) Activation des interfaces

Conf term Interface fastethernet 0/1 ou serial 0/1 (0=slot0 1=n du port) Config-if# ip adress 172.16.32.1 255.255.0.0 Config-if # duplex {auto | full... definie le mode No shutdown(active linterface) Ip name-server serveurDns1 serveurDns2 serveurDns6 (6 max) (adresse des dns) No ip domain-lookup (dactive la traduction des ip) Show hosts

Remarque : show interfaces (mtu =taille max des paquets pouvant tre transmit sur cetteinterface, bw = bandewith en kbit/s bande passante, dly =latence temps de rponse enmicroseconde, relay = fiabilit 255/255 100%, load = la charge (1/255) saturation si255/255, encapsulation = mthode dencapsulation de couche 2, loopback= pour savoir sile bouclage est dfinie sur linterface, runts = petite trame, giant = grande trame


5/28

6) Activation des protocoles de routage RIP et IGRP

1. Configuration dynamique Le paramtrage en deux commandes router rip ou igrp puis network

Conf term : router igrp 100 (100 n du rseau autonome = constitue de routeur pilotspar un ou plusieurs oprateurs)

Conf term : router rip 100 Config-router : network 156.188.0 (spcifie que cest directement connect au

rseau)

2. Configuration statiqueJe suis dans le rseau 172.16.0.0 255.255.0.0, je veux atteindre le rseau 172.17.0.0255.255.0.0 (le routeur voisin a une carte dans le mme rseau que mon routeur)

Je passe par la carte qui est dans le mme rseau que mon routeur :

Route statique

Conf term # ip route 172.17.0.0 255.255.0.0 172.16.1.2 (172.16.1.2 correspondau routeur voisin)

Ip default-network 109 dfinit la route par dfaut pour le rseau utilisant leroutage dynamique

Show ip protocols : valeur des mtriques de k1 k5

Debug ip route affiche les mises jour du routage rip (no debu all si debugimplique surcharge du rseau).

III configuration des commutateurs Cisco catalyst

Il existe trois mthodes pour configurer un commutateur Cisco

Par console

Par une interface webhttp://172.16.32.1(exemple dadresse)

Par CLI (commande line interface)

1) Les commandes :
http://172.16.32.1/http://172.16.32.1/http://172.16.32.1/http://172.16.32.1/


6/28

Show run

Show spantree pour viter le bouclage, garder un seul chemin entre deuxsegments.

Show vlan-membership affiche les vlan (les vlan seront traits plus loin de cedocument).

Ip adress 172.16.1.2 255.255.0.0attribue une adresse ip un port (il faut tredans linterface concerne (config-if) # interface e0 par exemple

No adress ip (pas dadresse ip), implique configuration usine 0.0.0.0

Ip default-gatway 172.16.1.100 (passerelle par dfaut)

Show mac-adress-table affiche la table des adresses mac du commutateur

Conf-if) # port secure max-count 1 : le nombre maximum dadresse autorispour ce port par dfaut 132, dans lexemple 1 seule adresse mac. Les pots

scuriss restreignent laccs dun port un groupe de station dfinit par

ladministrateur.

Config # adress violation {suspond|disable|ignore} par dfaut disable, dans cecas la port doit tre ractiver manuellement.


7/28

2) Sauvegarde du fichier de configuration

sw# copy nvram tftp://172.16.1.1/ahmed.cfg : sauvegarde la nvram versle serveur 172.16.1.1, le nom du fichier ahmed.cfg.

sw# copy tftp://172.16.1.1/ahmed.cfg nvram: restore le fichier ahmed.cfgvers la nvram.

IV) Extension des rseaux commut avec les vlan

1) Dfinitions

Les vlan (virtuel lan) permettent de regrouper des utilisateurs dans un domainede diffusion communtage). Les vlan peuvent regrouper plusieurs segments

physiques.

Chaque port du commutateur peut tre affect un unique vlan.

La notion des tronons (trunk) permet un vlan de stendre sur plusieurscommutateurs sur une seule connexion (indpendamment de lemplacement),

bien sur les commutateurs sont relis entre eux par un cble crois. Les vlansont de couche 2 du model OSI alors ils sont indpendant des protocoles, pour

que deux vlan puissent communiquer, il faut ajouter un router et un protocolede couche trois du model OSI.

Les vlan utilisent deux modes dapprentissage :

statique cestladministrateur qui configure le port qui appartiendra

un vlan

dynamique, il faut un serveur VMPS (vlan membership policyserver), un VMPS peut tre un catalyst 5000 ou un serveur externe.

Le catalyst 1900 ne peut abriter une base VMPS.

2) Liaison entre commutateur (jonction)

Le marquage ISL (inter suitch link) permet aux commutateurs de secommuniquer les informations sur les vlan.

ISL : est un marquage de trame utilis par les catalyst, il a une faible latence,permet de multiplexer le trafic provenant de plusieurs vlan sur un seul cheminphysique (tronon = trunk), cette liaison ncessite un cble crois.

Pour assurer les vlan dans toute la matrice de commutation, les vlan doiventtres configurs sur chaque commutateur.


8/28

VTP (vlan trunking protocol) est une mthode simple pour maintenirlhomognit de la configuration des vlan sur lensemble du rseau commut

(ATM, FDDI, X25, SDH ).

VTP travail en trois mode, serveur, client ou transparent, par dfaut serveur.

VTP doit tre installer en mode serveur sur un seul commutateur qui permet demodifier, de crer ou supprimer un vlan. Sur tous les autres commutateurs du rseauen mode client.

3) Les commandes

Chaque fois que le serveur VTP modifie une information sur un vlan, il incrmente de 1

# show vtp

delete vtp (configuration usine), cette commande est obligatoire chaque foisque vous ajouter un commutateur au rseau, ou il faut configurer le nouveauswitch en mode client.

Config # vtp {serveur|client|transaprent} nom-du-domaine trap passwordmon-de-passe (TRAP = interception activ)

Config # Trunk {on|off|auto}

Show trunk 1 (sur le port n1)

#conf # interface fastethernet 0/1

config-if # swuitchport mode trunk (affection du port 3 au trunk)

Show interface trunk(affiche le pot du tronon)

Cration dun vlan

Config # vlan 1 name ahmed (cration dun vlan n1 dont le nom est

ahmed).

Config#interface vlan 1 172.16.x.x 255.255.0.0 (adresse IP du switch(une seul adresse)

Show vlan ou show vlan id 1

Config # vlan 1 name nouveau-nom (renomme le vlan ahmed en un autre

nom).


9/28

Config # no shutdown (activation du vlan)

Config# vlan 1

Config#interface fasethernet 0/2

Configif # swuitchport access vlan 2 (associe le port n2 au vlan 1)

Config # no vlan 1 (supprime le vlan 1)

V Gestion du trafic IP avec les listes daccs (ACL)

Les listes daccs (Acess Cotrol list) permettent aux routeurs didentifier le trafic entrant et

sortant. Il existe 2 types dACL :

Listes daccs Standard (standard) : vrifient juste la sources des paquets router Listes daccs tendues (extended) : vrifient la fois le trafic source et destination

Une liste daccs peut tre applique plusieurs interfaces, mais, il ne peut y avoir quune

seule par protocole, par direction et par interface. Le traitement des lignes de la liste est

squentiel (de la premire ligne dernire dans cet ordre).

Les listes daccs ne filtrent que le trafic qui traverse le routeur, elles ne filtrent pas celui dontil est lorigine.

1) Commandes de base des listes daccs

config # access-listpermet laccs aux listes globales

config # ip access active une liste sur une interface (il faut tre dans la carteconcerne)

Exemple dACL standard:

Config # access-list 1

Config # access-list 1 deny 172.16.32.11 0.0.255.255

Config # access-list 1 permit any

Config # interface fastethernet 0/1


10/28

Config-if#ip access-list 1 out

Lexemple montre la cration dune liste de type standard (199)

-Interdit le trafic pour lordinateur 172.16.32.11

-Permet tout le reste du trafic

-Se mettre sur la carte Ethernet 1

-Lui appliquer la liste 1

Remarque importante : il faut obligatoirement un permit aprs deny, si non toutle trafic sera bloqu (par dfaut cest deny).

Pour appliquer lacl telnet

Config line# access-class 1 IN empche le routeur de recevoir du trafic telnet,specifier dans la liste

Config line# access-class 1 OUT empche les ports les port VTY dinitier dessessions telnet vers les adresses dfinit dans lacl.

2) Cration des listes tendues

Config # access-list nacl (100 199) permit|deny protcole @source masque @destmasque operateur (eq, lt, gt) established (pour tcp)

Vocabulaire : eq (equal = egal), lt(less than =infrieur ), gt (great than = suprieur )

Exemple 1:

Config # access-list 101 deny tcp 172.16.32.11 0.0.255255 192.168.2.1 eq 21established.

Config # access-list 101 deny tcp 172.16.32.11 0.0.255255 192.168.2.1 eq 20

Config # access-list 101permit ipany any

Application de lACL une carte


11/28

Config # interface e0

Configif # ip access-group 101 out

Lexemple montre la cration dune ACL tendue n101, le protocole est TCP lamachine concerne est 172.16.32.11, la destination est 192.168.2 et le service FTP

ports (20et 21), car FTP utilise les deux ports et quelle interface on lapplique.

3) Cration des listes nommes

Pour crer une liste daccs nomme, il suffit de mettre la place des numros deslistes (0-99) ou (100-199) ou autres le type de la liste, soit standard (standard) outendue (extended)

Exemple :

Config # ip access-list extended AhmedList le protocole utilis est IP, acl etendue,nomACL (AhmedList)

Config-std # deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23

Config-std #permit ip any any

Config # interface e0 (la carte connecte dans le rseau 172.16.3.0dou le out)

Config-if #ip access-group AhmedAcl out

Lexemple montre une ACL nomm qui bloque le trafic TELNET provenant du sousrseau 172.16.4.0 vers le sous rseau 172.16.3.0

Lavantage de cette mthode:

Il suffit de mettre un no devant une ligne dans lACL pour la modifier. Sachez quedans les listes non nommes, vous tes oblig de supprimer toute lACL pour uneligne de code.

Schma :

172.16.3.0 Routeur 172.16.4.0


12/28

E0 E1

Les ordinateurs du sous rseau 172.16.4.0 font des requtes Telnet vers le sous rseau172.16.3.0 en passant par la carte E1, le trafic (telnet) circule dans le routeur, mais, si cela

est destin au sous rseau172.16.3.0, il sera bloqu en out de la carte E0. Vous avezenvie de dire que ce nest pas logique, pourquoi ne pas bloqu le trafic TELNET quiarrive du sous rseau 172.16.4.0 vers 172.16.3.0 sur la carte E1 en IN. Je suis daccordmais il faut retenir que lACL sapplique la carte la plus proche de la destination.

4) Surveillance des listes daccs

Les commandes suivantes :

#show ip interface type-interface numero-interface

#show ip fastethernet 1 (exemple de show ip)

outgoing access list is not set (en entre il y a pas de liste

Inbound access list is 1(en entre cest la liste 1 qui est autorise)

#show access-list affiche le contenu de toutes les listes daccs

#show {protocle} access-list {numero_de_liste | nom_de_liste}

#show ip access-list AhmedAcl (exemple du nom de lacl dfinie plus haut danscd document).

Rsum :

#config # access list numero_de_liste ou nom_de_liste

#config # ip access-group numero_de_liste ou nom_de_liste {in | out}


13/28

#line vty 04

#config-line# access-class numero_de_liste ou nom_de_liste {in | out}

#show ip access-list

#show ip interface {type_interface} nom_interface


14/28

VI- Projet et ralisation

Le but du projet est trs simple, mise en place de deux Suitchs (catalyst 1900) en modetrunk(tronon), cre deux VLAN 1 et 2, configur un Routeur qui a accs sur Internet via laligne numris. Mettre deux clients, un dans le VLAN1 et lautre dans le VLAN2, ralis le

routage et laccs Internet. Tout ce trafic va tre contrl par une ACL nomme.

Schma du rseau

TRUNK

Les fichiers de configuration joint dans ce document doivent servir de rfrence,faites des capture des fichiers de configuration de chaque matriel (suitch ourouteur

Connecter vous au Switch ou au Routeur via la console (hyperTerminal)

Dans transfert/capturer le texte/dmarrer

En ligne de commande, faite #show run


15/28

Dfilez le contenu de la configuration

Dans transfert/capturer le teste/Arrter la capture

Modifiez le fichier votre convenance

Attention le fichier doit commencer par configure terminal

Recharger le fichier dans le matriel actif concern

Dans Transfert/ Envoyer un fichier texte

1-Configuration du commutateur (suitch1)

configure terminal

hostname SuitchA


16/28

enable secret 5 $1$hDlD$Q8nD5QVxzKaDWDijA3dij/

ip subnet-zero

spanning-tree extend system-id

vlan 1 name ahmed

no shutdown

! Les ports 4,5, 6 du suitch1 sont dans le vlan2

vlan 2

suitch access vlan 4



interface FastEthernet0/1

no ip address


no ip address

!Le port 3 du suitch 1 en mode trunk


switchport mode trunk



17/28

no ip address


no ip address


no ip address


no ip address


no ip address


no ip address


no ip address


no ip address


no ip address


18/28

interface Vlan1

ip address 172.16.32.1 255.255.0.0

no ip route-cache

ip http server

snmp-server engineID local 00000009020000074F162600

snmp-server community private RW

snmp-server community public RO

line con 0

stopbits 1

line vty 0 4

password class

login

line vty 5 15

password class

login

end

2- Configuration du commutateur (suitch2)

La configuration du switch 2 est la mme que le switch 1, il suffit de mettre le port 3en mode trunk et mettre les ports 4, 5, 6 dans le vlan2


19/28

3- Configuration des postes de travail

-Le poste POST a ladresse IP 172.16.32.12, passerelle par dfaut 172.16.32.1

-Le poste POST_1 a ladresse IP 192.2168.1.2, passerelle pardfaut 192.168.1.1

17.16.32.1 et 192.168.1.1 sont les deux cartes Fastethernet du routeur

http://www.networkingfiles.com/Network/configmaker.htm


20/28

4- Configuration du routeur

Attribuer ladresses IP pour la fastethernet 0/0 (172.16.32.1)

Attribuer ladresses IP pour la fastethernet 0/1 (192.168.1.1)

Configurer ISDN ( Config Maker)

configure terminal

!

version 12.1

no service single-slot-reload-enable

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Cisco2621

!

enable password 7 104D05181604

!

!

memory-size iomem 10

ip subnet-zero

no ip domain-lookup

!

isdn switch-type vn3

!
http://www.networkingfiles.com/network/configmaker.htmhttp://www.networkingfiles.com/network/configmaker.htm


21/28

!


description connected to EthernetLAN

ip address 172.16.32.1 255.255.0.0

ip nat inside

duplex auto

speed auto

!


description connected to EthernetLAN

ip address 192.168.1.1 255.255.0.0

ip nat inside

duplex auto

speed auto

interface BRI0/0

description connected to Internet

no ip address

ip nat outside

encapsulation ppp

dialer rotary-group 1

isdn switch-type vn3

no cdp enable

!


22/28

interface Dialer1

description connected to Internet

ip address negotiated

ip nat outside

encapsulation ppp

no ip split-horizon

dialer in-band

dialer string 00860008484

dialer hold-queue 10

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname fti/2r9b6ax

ppp chap password 7 15160E0F1C2D3335

ppp pap sent-username fti/2r9b6ax password 7 0825494D111E1D06

!

router rip

version 2

passive-interface Dialer1

network 172.16.0.0

network 192.168.0.0

no auto-summary

!

ip nat inside source list 1 interface Dialer1 overload


23/28

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server

!

access-list 1 permit 172.16.0.0 0.0.255.255

access-list 1 permit 192.168.0.0 0.255.255.255

dialer-list 1 protocol ip permit

snmp-server community public RO

!

line con 0

exec-timeout 0 0

password 7 060506324F41

login

line aux 0

line vty 0 4

password 7 060506324F41

login

!

end


24/28

VII Conclusion

Le fichier ci-dessous est configur pour une ligne ADSL.

configure terminal

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname ahmed_routeur

!

aaa new-model

!

!

aaa authentication login default local

aaa authorization exec default local

aaa session-id common

enable secret 5 $1$g68D$WHm4.KmulQL2DBc2Tf0Ym/

!


25/28

username ahmed password 7 045A070A0634411C594951

ip subnet-zero

no ip domain-lookup

!

ip bootp server

vpdn enable

!

vpdn-group pppoe

request-dialin

protocol pppoe

!

interface Ethernet0

ip address xx.xx.xx.xx 0.0.0.0 (masque suivant votre rseau)

ip nat inside

ip tcp adjust-mss 1452

hold-queue 100 out

!

interface ATM0

no ip address

no atm ilmi-keepalive

dsl operating-mode ansi-dmt

hold-queue 224 in

!

interface ATM0.1 point-to-point

pvc 8/35


26/28

pppoe-client dial-pool-number 1

!

!

interface Dialer1

ip address negotiated

ip access-group 100 in

ip mtu 1492

ip nat outside

encapsulation ppp

dialer pool 1

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname fti/xxxxxxxx

ppp chap password 7 15453F1C143D1D132A

ppp pap sent-username fti/xxxxxx password 7 115E2D1507053D3B06

!

ip nat inside source list 1 interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 10.0.0.0 255.0.0.0 xx.xx.xx.254

ip route 172.16.0.0 255.240.0.0 xx.xx.xx.254

ip route 192.168.0.0 255.255.0.0 xx.xx.xx.254

ip http server

ip http authentication local


27/28

!

!

access-list 1 permit xx.xx.xx.0 0.0.0.255

access-list 1 deny any

access-list 100 remark ANTISPOOFING

access-list 100 deny 53 any any



access-list 100 deny pim any any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any log-input




access-list 100 permit ip any any

dialer-list 1 protocol ip list 1


28/28

banner motd ^CCCCCCCCCC

########################################################################

Deconnez pas, vous tes sur un espace priv

########################################################################

^C

privilege exec level 1 show

!

line con 0

exec-timeout 0 0

stopbits 1

line vty 0 4

exec-timeout 30 0

password 7 094A5C0617111E150A02567A7B70

transport input telnet

!

scheduler max-task-time 5000

end

Commande ACL Et Explications

Documents

Transcript of Commande ACL Et Explications