TP Listes de Contrôle d Accès -...

04 Décembre 2014 TP – Listes de Contrôle d’Accès

1

Introduction :

Au travers de ce TP, nous allons apprendra à configurer des ACL pour contrôler le trafic sur notre

réseau. Les règles que nous pouvons appliquer peuvent être permissives ou restrictives.

Exercice SISR5 TP ACL 1 :

Config ACL Adresse IP

Source Autorisé ? Drop ?

Access-list 10 permit 192.168.122.128 0.0.0.63

192.168.122.198 Non Oui

Access-list 11 permit 192.168.2.64 0.0.0.31 192.168.2.25 Non Oui


192.168.225.32 N/A N/A


192.168.100.244 Oui Non

Access-list 14 deny 192.168.10.100 0.0.0.0 192.168.10.100 N/A N/A

Access-list 15 deny deny 192.168.1.1 N/A N/A

Access-list 16 remark deny 192.168.10.0 255.255.255.0

192.168.10.50 Non Oui

Ip access-list standard ACCES-BLOQUE deny 192.168.10.10 0.0.0.255

192.168.10.10 Non Oui

Ip access-list standard ACCES-INTERDIT deny 192.168.10.10 0.0.0.255

192.168.10.10 Non Oui

Ip access-list 17 permit 192.168.10.100 0.0.0.255

192.168.10.101 N/A N/A


2

Exercice SISR5 TP ACL 2 – Isoler un sous-réseau :

Voici notre réseau :

Voici la configuration de notre routeur :


3

Nous essayons de faire un ping vers l’autre PC :

Nous allons maintenant mettre notre ACL en place. Nous voulons empêcher tout trafic en

provenance du réseau 192.168.1.0/24 de pouvoir franchir le Routeur :


4

Nous vérifions que l’ACL s’applique bien :

Voici la partie de la configuration du routeur où nous voyons apparaitre notre ACL :


5

Exercice SISR5 TP ACL 3 – Refuser un hôte :


Voici la mise en place de notre ACL. Nous voulons que les hôtes du sous-réseau 192.168.2.0/24 ne

puissent pas communiquer avec la station 192.168.1.11/24 mais qu’ils puissent communiquer avec

tous les autres :


6

Nous essayons de faire un ping depuis notre machine du sous-réseau 192.168.2.0/24 :

Voici la configuration de notre routeur pour les ACL :


7

Exercice SISR5 TP ACL 4 – Sécuriser l’accès au terminal virtuel du routeur par ACL :


Nous allons créer une ACL pour qu’une seule machine (192.168.1.254) puisse se connecter via la

commande telnet au routeur :


8

Nous allons maintenant vérifier qu’avec la machine (192.168.1.254) nous arrivons à nous connecter

en telnet au routeur. Cela fonctionne :

Nous allons tester à partir d’une autre machine. Cela ne fonctionne pas, notre ACL s’applique bien :



9

Exercice SISR5 TP ACL 5 – Interdire un port TCP :


Voici la configuration de notre routeur sans ACL :


10

Nous allons maintenant tenter de nous connecter en ftp depuis chacun des PC :

Nous créons maintenant notre ACL pour que les postes du sous-réseau 192.168.2.0/24 ne puissent

pas accéder en FTP au serveur mais qu’ils y accèdent en http :


11

Nous allons maintenant tester la connexion en FTP et en http :


12

Nous vérifions que nous accédons toujours depuis la machine du sous-réseau 192.168.1.0 :



13

Exercice SISR5 TP ACL 6 – Trafic http :

Nous reprenons le réseau précédent. Nous allons configurer une nouvelle ACL pour que le sous-

réseau 192.168.1.0/24 ne puisse pas accéder au ftp par le trafic http :

Ne pas oublier la commande : access-list 102 permit ip any any après la commande : access-list 102

deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 80.

Si on ne met pas cela la connexion en FTP ne se fait plus.


14

Nous allons maintenant vérifier que le trafic http est bloqué et que le ftp fonctionne toujours :


15


TP Listes de Contrôle d Accès -...

Documents

Transcript of TP Listes de Contrôle d Accès -...