Techniques de Protection Dans Les Réseaux TP N°3: Les Listes de Contrôle D'accès
Techniques de Protection Dans Les Réseaux TP N°3: Les Listes de Contrôle D'accès
I. Objectifs
▪ Réaliser des configurations de base de routeurs et de commutateurs
▪ Configurer une liste de contrôle d’accès standard
▪ Configurer une liste de contrôle d’accès étendue
II. Manipulation
Tâche1 : Configuration du réseau
Topologie du réseau
1
L2-SR Techniques de protection dans les réseaux
Mahdi Louati &
Noussayr Derbel
TP N°3 : Les Listes de Contrôle d’Accès
3
L2-SR Techniques de protection dans les réseaux
Mahdi Louati &
Noussayr Derbel
TP N°3 : Les Listes de Contrôle d’Accès
3. Contrôle de l’accès aux lignes vty à l’aide d’une liste de contrôle d’accès
standard
Vérifiez que vous pouvez établir une connexion Telnet vers R2 à partir de R1 et de R3.
Configurez une liste de contrôle d’accès standard pour permettre à des hôtes de deux réseaux
d’accéder aux lignes vty. Tous les autres hôtes sont rejetés.
Étape 1 : Configuration de la liste de contrôle d’accès
Configurez une liste de contrôle d’accès standard nommée Sr-G sur R2 qui autorise le trafic
en provenance de 10.2.2.0/30 et de 192.168.30.0/24. Refusez tout autre trafic.
R2(config)#ip access-list standard Sr-G
R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3
R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255
Étape 2 : Application de la liste de contrôle d’accès
Accédez au mode de configuration de ligne des lignes vty 0 à 16.
R2(config)#line vty 0 16
Appliquez la liste de contrôle d’accès aux lignes vty dans le sens entrant.
R2(config-line)#access-class Sr-G in
Étape 3 : Test de la liste de contrôle d’accès
Établissez une connexion Telnet avec R2 à partir de R1.
À partir de R3, établissez une connexion Telnet avec R2 ou avec tout périphérique du réseau
192.168.30.0/24.
Pourquoi les tentatives de connexion à partir d’autres réseaux échouent-elles même si ceux-ci
ne sont pas spécifiquement répertoriés dans la liste de contrôle d’accès ?
4
L2-SR Techniques de protection dans les réseaux
Mahdi Louati &
Noussayr Derbel
TP N°3 : Les Listes de Contrôle d’Accès
ordinateurs de ce réseau local ne sont pas autorisés à accéder à Internet. L’accès de ces
utilisateurs à l’adresse IP 209.165.200.225 doit donc être bloqué.
1. Configurez une liste de contrôle d’accès étendue sur R1 qui empêche le trafic en
provenance de tout périphérique du réseau 192.168.10.0 /24 d’accéder à l’hôte
192.168.11.20.
Étape 1 : Configuration d’une liste de contrôle d’accès étendue nommée
▪ Créez une liste de contrôle d’accès étendue nommée appelée STIC-SR.
R1(config)#ip access-list extended STIC-SR
▪ Ajoutez les instructions nécessaires au blocage du trafic partant du réseau
192.168.10.0 /24 vers l’hôte.
R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 192.168.11.20
▪ Ajoutez l’instruction permit pour vous assurer qu’aucun autre trafic n’est bloqué.
R1(config-ext-nacl)#permit ip any any
Étape 2 : Application de la liste de contrôle d’accès
Avec les listes de contrôle d’accès standard, la méthode recommandée consiste à placer la
liste de contrôle d’accès le plus près possible de la destination. Les listes de contrôle d’accès
étendues se trouvent généralement près de la source. Placez la liste de contrôle d’accès STIC-
SR sur l’interface série afin de filtrer le trafic sortant.
R1(config)#interface serial 0/0/0
R1(config-if)#ip access-group STIC-SR out
Étape 3: Test de la liste de contrôle d’accès
À partir de PC1 ou de tout autre périphérique du réseau 192.168.10.0 /24, envoyez une
requête ping à l’interface de bouclage sur R2.
Envoyez une requête ping à R3 à partir du périphérique réseau 192.168.10.0/24.
Que remarquez-vous ? Expliquez