Scribd
Importer
55 vues7 pages

Configuration des ACL dans un réseau IP

Ce document décrit un TP sur la mise en œuvre de listes de contrôle d'accès (ACL) dans un environnement réseau. Il couvre la configuration des adresses IP, le routage, et l'application d'ACL standards et étendues sur des routeurs Cisco, avec des exemples pratiques et des stratégies réseau spécifiques. Les étapes incluent la vérification de la connectivité, la création d'ACL, et des tests de communication entre différents hôtes et serveurs.

Transféré par

Andil mchangama
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
55 vues7 pages

Configuration des ACL dans un réseau IP

Ce document décrit un TP sur la mise en œuvre de listes de contrôle d'accès (ACL) dans un environnement réseau. Il couvre la configuration des adresses IP, le routage, et l'application d'ACL standards et étendues sur des routeurs Cisco, avec des exemples pratiques et des stratégies réseau spécifiques. Les étapes incluent la vérification de la connectivité, la création d'ACL, et des tests de communication entre différents hôtes et serveurs.

Transféré par

Andil mchangama
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

UCAD / FST / Dept.

Mathématiques-Informatique 2024 ⎯ 2025


M1SIR – Réseaux et Services IP Dr Ousmane SADIO
_______________________________________________________________________________________________________________

TP2 : Access List Control (ACL)

Objectifs : Planifier la mise en œuvre d'une liste de contrôle d'accès (ACL). Configuration de listes
de contrôle d'accès standards et étendues. Appliquer et vérifier une liste de contrôle d'accès.

ACL standards numérotées


La topologie réseau à réaliser est décrite par la figure ci-dessous :

Les adresses IP des PC et des interfaces de routeurs sont indiquées dans le tableau suivant :
PCs Adresses IP Passerelle par défaut
PC1 [Link] /24 [Link]
PC2 [Link] /24 [Link]
PC3 [Link] /24 [Link]
WebServer [Link] /24 [Link]
Interfaces
Routeurs
Serial0/0 Serial0/1 FastEthernet1/0 FastEthernet2/0
R1 [Link] /30 [Link] /30 [Link] /24 [Link] /24
R2 [Link] /30 [Link] /30 [Link] /24 -
R3 [Link] /30 [Link] /30 [Link] /24 -

Configuration de l’adressage et du routage


Avant d'appliquer une liste de contrôle d'accès à un réseau, il convient de vérifier que vous disposez
d'une connectivité complète.
1. Configurer les interfaces des routeurs ainsi que leurs routes statiques.
# Routeur R1
enable
configure terminal
no cdp run
no ip routing

______________________________________________________________________________
[Link]@[Link]
UCAD / FST / Dept. Mathématiques-Informatique 2024 ⎯ 2025
M1SIR – Réseaux et Services IP Dr Ousmane SADIO
_______________________________________________________________________________________________________________

ip routing
interface Serial0/0
ip address [Link] [Link]
no shutdown
interface Serial0/1
ip address [Link] [Link]
no shutdown
interface FastEthernet1/0
ip address [Link] [Link]
no shutdown
interface FastEthernet2/0
ip address [Link] [Link]
no shutdown
exit
ip route [Link] [Link] [Link]
ip route [Link] [Link] [Link]
end

# Routeur R2
enable
configure terminal
no cdp run
no ip routing
ip routing
interface Serial0/0
ip address [Link] [Link]
no shutdown
interface Serial0/1
ip address [Link] [Link]
no shutdown
interface FastEthernet1/0
ip address [Link] [Link]
no shutdown
exit
ip route [Link] [Link] [Link]
ip route [Link] [Link] [Link]
ip route [Link] [Link] [Link]
end

# Routeur R3
enable
configure terminal
no cdp run
no ip routing
ip routing
interface Serial0/0
ip address [Link] [Link]
no shutdown
interface Serial0/1
ip address [Link] [Link]
no shutdown
interface FastEthernet1/0
ip address [Link] [Link]
no shutdown
exit
ip route [Link] [Link] [Link]
ip route [Link] [Link] [Link]
ip route [Link] [Link] [Link]
end

2. Ensuite configurer les différents hôtes (PC et Serveurs) avec les adresses indiquées :
# PC1

ip [Link] /24 [Link]

______________________________________________________________________________
[Link]@[Link]
UCAD / FST / Dept. Mathématiques-Informatique 2024 ⎯ 2025
M1SIR – Réseaux et Services IP Dr Ousmane SADIO
_______________________________________________________________________________________________________________
# PC2

ip [Link] /24 [Link]

# PC3

ip [Link] /24 [Link]

# WebServer

ip [Link] /24 [Link]

3. Tester la connectivité entre les différentes machines et serveurs.


Stratégies réseau
Les stratégies réseau suivantes sont implémentées sur R2 :
− Le réseau [Link]/24 n'est pas autorisé à accéder au WebServer situé sur le réseau
[Link]/24.
− Tous les autres accès sont autorisés.
Les stratégies réseau suivantes sont implémentées sur R3 :
− Le réseau [Link]/24 n’est pas autorisé à communiquer avec le réseau [Link]/24.
− Tous les autres accès sont autorisés.
Configuration des ACL standards sur un routeur Cisco via la console
Ce qu’il faut savoir :

IOS MODE : (config)#


access-list 1-99|1300-1999 permit|deny source_IP wildcard
Créer une ACL standard pour autoriser ou bloquer le trafic d’une adresse source spécifique :
• 1-99|1300-1999 : Numéro d’ACL standard (plages autorisées).
• Source_IP : Adresse IP source (ex: [Link] pour un réseau).
• Wildcard : Masque générique (ex: [Link] pour un /24). Par défaut : [Link] (hôte spécifique).
access-list ACL_num remark texte
Ajouter un commentaire descriptif à l’ACL, spécifiée par son numéro, pour clarifier son rôle (ex:
access-list 10 remark "Bloquer le réseau [Link]").
no access-list ACL_num
Supprimer entièrement l’ACL spécifiée par son numéro. (NB : retirer d’abord l’ACL sur l’interface,
voir plus bas).
no ip access-list standard ACL_name
Dans le cas d’une nommée, supprimer entièrement l’ACL spécifiée par son nom.
IOS MODE : (config-if)#
ip access-group ACL_num in|out
Appliquer l’ACL sur l’interface cible du routeur pour filtrer le trafic entrant (in) ou sortant (out).
no ip access-group ACL_num in|out
Retirer l’ACL de l’interface où elle est appliquée.
IOS MODE:#
show access-lists

______________________________________________________________________________
[Link]@[Link]
UCAD / FST / Dept. Mathématiques-Informatique 2024 ⎯ 2025
M1SIR – Réseaux et Services IP Dr Ousmane SADIO
_______________________________________________________________________________________________________________

Afficher toutes les ACL configurées sur le routeur, y compris les règles et les statistiques
d’utilisation (nombre de correspondances).
show access-lists ACL_num
Afficher uniquement les détails d’une ACL spécifique (ex: show access-lists 10).
show ip interface Interface_name
Afficher les informations sur une interface spécifique, y compris les ACL appliquées (entrantes et
sortantes).

4. Créer une ACL en utilisant le numéro 1 sur R2 conformément à la stratégie réseau suscitée.
access-list 1 deny [Link] [Link]
access-list 1 permit any

5. Avant d'appliquer une ACL à une interface, il est recommandé d'examiner son contenu afin de
vérifier qu'elle filtrera le trafic comme prévu.

show access-lists

6. Pour que l’ACL filtre réellement le trafic, elle doit être appliquée au routeur. Appliquez l’ACL en
la plaçant pour le trafic sortant sur l'interface FastEthernet1/0.
interface FastEthernet1/0
ip access-group 1 out

7. Suivre la même procédure pour implémenter l’ACL destinée au routeur R3.


8. Vérifier si les ACL fonctionnent conformément à la stratégie réseau suscitée. Commenter.

ACL étendues numérotées


La topologie réseau à réaliser est décrite par la figure ci-dessous :

Les adresses IP des PC et des interfaces de routeurs sont indiquées dans le tableau suivant :

PCs Adresses IP Passerelle par défaut


PC1 [Link] /27 [Link]
PC2 [Link] /28 [Link]
Server [Link] /26 [Link]
Interfaces
Routeurs
FastEthernet0/0 FastEthernet1/0 FastEthernet2/0
R1 [Link] /27 [Link] /28 [Link] /26

______________________________________________________________________________
[Link]@[Link]
UCAD / FST / Dept. Mathématiques-Informatique 2024 ⎯ 2025
M1SIR – Réseaux et Services IP Dr Ousmane SADIO
_______________________________________________________________________________________________________________

Configuration de l’adressage et du routage


Avant d'appliquer une liste de contrôle d'accès à un réseau, il convient de vérifier que vous disposez
d'une connectivité complète.
9. Configurer les interfaces des routeurs.
# Routeur R1
enable
configure terminal
no cdp run
no ip routing
ip routing
interface FastEthernet0/0
ip address [Link] [Link]
no shutdown
interface FastEthernet1/0
ip address [Link] [Link]
no shutdown
interface FastEthernet2/0
ip address [Link] [Link]
no shutdown
exit
end

10. Ensuite configurer les différents hôtes (PC et Serveurs) avec les adresses indiquées :
# PC1

ip [Link] /27 [Link]

# PC2

ip [Link] /28 [Link]

# WebServer

ip [Link] /26 [Link]

11. Tester la connectivité entre les différentes machines et serveurs.


Stratégies réseau
Deux employés ont besoin d'accéder aux services fournis par le serveur. Les stratégies réseau suivantes
sont implémentées sur R2 :
− Les ordinateurs du sous-réseaux [Link]/27 ont uniquement besoin d'un accès FTP.
− Tandis que les ordinateurs du sous-réseaux [Link]/28 ont uniquement besoin d'un accès Web
(www).
− Les ordinateurs peuvent envoyer une requête ping au serveur, mais pas entre eux lorsqu’ils
appartiennent à des sous réseaux différents.
Configuration des ACL étendues sur un routeur Cisco via la console
Ce qu’il faut savoir :

IOS MODE : (config)#


ip access-list extended 100-199|2000-2699
Crée une ACL étendue avec un numéro entre 100-199 ou 2000-2699 et entre en mode de
configuration d’ACL étendue (config-ext-nacl).
no ip access-list extended ACL_num

______________________________________________________________________________
[Link]@[Link]
UCAD / FST / Dept. Mathématiques-Informatique 2024 ⎯ 2025
M1SIR – Réseaux et Services IP Dr Ousmane SADIO
_______________________________________________________________________________________________________________

Supprime l’ACL étendue indiquée par le numéro ACL_num.


IOS MODE: (config-ext-nacl)#
permit|deny protocol src_ip wildcard_mask dest_ip wildcard_mask port
Définit une règle pour autoriser (permit) ou bloquer (deny) un trafic spécifié le protocole de
transport (tcp, udp…), les adresses IP source et de destination ainsi que leurs masques génériques
respectifs, et le numéro de port (en chiffre ou chaine : http, dns…). Exemples : permit tcp
[Link] [Link] any eq 80
remark text
Ajoute un commentaire descriptif à l’ACL (ex: remark "Autoriser l'accès web depuis le LAN").
no Line_num
Supprimer une seule ligne de numéro Line_num spécifique d'une ACL existante.
IOS MODE:(config-if)#
ip access-group ACL_num in|out
Applique l’ACL à l’interface en entrée (in) ou en sortie (out).
no ip access-group ACL_num in|out
Retire l’ACL de l’interface.
IOS MODE:#
show access-lists ACL_num
Affiche les règles de l’ACL et les compteurs de correspondances.
show ip interface Interface_name
Indique si une ACL est appliquée sur une interface.

12. Créer une ACL en utilisant le numéro 100 sur R1.

ip access-list extended 100

Ensuite ajouté les lignes suivantes conformément à la stratégie réseau suscitée.


− ACL pour le sous-réseau [Link]/27 pour autoriser l’accès FTP sur le serveur :

permit tcp [Link] [Link] host [Link] eq ftp

− ACL pour le sous-réseau [Link]/27 pour autoriser le trafic ICMP (ping…) sur le serveur.

permit icmp [Link] [Link] host [Link]

NB : Par défaut, tout autre trafic venant de ce sous-réseau sera refusé.


13. Passer en mode exec puis vérifier que la liste d'accès 100 contient les instructions correctes.

show access-lists

14. Appliquez la liste de contrôle d'accès sur l'interface appropriée pour filtrer le trafic.
interface FastEthernet0/0
ip access-group 100 in

15. Vérifiez l'implémentation de l’ACL puis commenter les résultats obtenus.


− Envoyer une requête ping de PC1 au serveur.
− Envoyer une requête ping de PC1 vers PC2.

______________________________________________________________________________
[Link]@[Link]
UCAD / FST / Dept. Mathématiques-Informatique 2024 ⎯ 2025
M1SIR – Réseaux et Services IP Dr Ousmane SADIO
_______________________________________________________________________________________________________________

− Etablir une connexion FTP entre PC1 et le serveur. Le nom d'utilisateur et le mot de passe sont
cisco dans les deux cas. (ne marchera pas sur les VPCS de GNS3).

ftp [Link]

16. En utilisant la même procédure, créer une ACL en utilisant le numéro 101 sur R1 conformément à
la stratégie réseau dédié au sous-réseau [Link]/28.
17. Vérifiez l'implémentation de l’ACL puis commenter les résultats obtenus.
− Envoyer une requête ping de PC2 au serveur.
− Envoyer une requête ping de PC2 vers PC1.
− Etablir une connexion FTP entre PC2 et le serveur. (ne marchera pas sur les VPCS de GNS3).
− Etablir une connexion web entre PC2 et le serveur. (ne marchera pas sur les VPCS de GNS3).

curl -v [Link]

ACL nommées
Les ACL nommées fonctionnent de la même façon que celles numérotées, à la seule différence que les
numéros sont remplacés par des noms.
18. En maintenant la topologie précédente relative aux ACL étendues, supprimer les ACL étendues
100 et 101 crées précédemment.
19. Implémenter de nouveau les ACL mais cette fois-ci en remplaçant les numéros par les noms
suivants :
− FTP_ONLY pour les ordinateurs du sous-réseaux [Link]/27 ayant uniquement besoin d'un
accès FTP.
− HTTP_ONLY pour les ordinateurs du sous-réseaux [Link]/28 ayant uniquement besoin
d'un accès Web (www).
− ICMP_SR1 pour autoriser le trafic ICMP (ping…) des ordinateurs du sous-réseaux
[Link]/27 vers le serveur.
− ICMP_SR2 pour autoriser le trafic ICMP (ping…) des ordinateurs du sous-réseaux
[Link]/28 vers le serveur.

______________________________________________________________________________
[Link]@[Link]

Vous aimerez peut-être aussi