TP ACL étendue

Objectif du TP :

Configurer des listes de contrôle d’accès étendues pour filtrer le trafic réseau/réseau, hôte/réseau et réseau/hôte

Diagramme de topologie :

Une société spécialisée dans le marketing dispose de deux sites. Le bureau principal se trouve à Nabeul . La société dispose par ailleurs d’une agence à Tunis

Désignation du routeur	@ FastEthernet0/0	Type interface Série	@ S0/0/0	@ FastEthernet0/1
Tunis	172.16.2.1/24	DTE	172.16.1.1/24
Nabeul	192.168.1.17/28	DCE	172.16.1.2/24	192.168.1.33/28

Hôte	@IP	Masque de sous-réseau	Passerelle
Serveur de paie	192.168.1.18	255.255.255.240	192.168.1.17
A	192.168.1.19	255.255.255.240	192.168.1.17
B	192.168.1.34	255.255.255.240	192.168.1.33
C	192.168.1.35	255.255.255.240	192.168.1.33
D	172.16.2.2	255.255.255.0	172.16.2.1

Sur le site Nabeul, on distingue deux groupes d’utilisateurs du réseau :

-          le groupe Administration (serveur de paie+A),

-          le groupe Production(C+B).

Le site Tunis est un réseau d’extrémité ; il comporte seulement un réseau local (LAN).

L’administrateur chargé des télécommunications pour les deux sites a besoin de concevoir et de mettre en oeuvre des listes de contrôle d’accès afin d’améliorer la sécurité et les performances.

Étape 1 – Configuration de base des routeurs et des hôtes

a.      Connectez les routeurs et les hôtes comme indiqué dans le schéma. Définissez tous les paramètres de base des routeurs : nom d'hôte, mot de passe enable, accès Telnet et interfaces.

Utilisez le schéma et les tableaux ci-dessus à titre de référence.

Note : Le routeur Nabeul nécessite deux interfaces Ethernet

b.      Configurez le routage statique sur le routeur T counismme suit :

Tunis(config)# ip route 192.168.1.16 255.255.255.240 172.16.1.2

Tunis(config)# ip route 192.168.1.32 255.255.255.240 172.16.1.2

c.      Configurez le routage statique sur le routeur Nabeul comme suit :

Nabeul(config)# ip route 172.16.2.0 255.255.255.0 172.16.1.1

d.      Configurez les hôtes en utilisant les informations appropriées définies précédemment.

Avant d’appliquer une liste de contrôle d'accès, il est important de vérifier l’accessibilité entre les systèmes.

Vérifiez l'accessibilité en envoyant, depuis chaque système, une requête ping à tous les systèmes et à tous les routeurs.

Étape 2 – Empêchez les utilisateurs du groupe Production d'accéder au réseau Tunis

a.      On désire empêcher les utilisateurs du groupe Production d'accéder au réseau Tunis, seul le groupe Administration doit pouvoir accéder au site Tunis.

Configurez la liste de contrôle d'accès étendue correspondante (ACL1) et appliquez-la sur la bonne interface.

b.      Utilisez la commande show running-config ou  show access-lists pour vérifier la syntaxe de la liste de contrôle d'accès.

c.      Testez la liste de contrôle d’accès en vérifiant l’accessibilité au réseau Tunis à partir des hôtes d’administration et de production.

L’hôte de production (B) peut-il envoyer une requête ping à l’hôte Tunis (D) ? _____________

L’hôte de production (C) peut-il envoyer une requête ping à l’hôte Tunis (D) ? _____________

L’hôte d'administration (A) peut-il envoyer une requête ping à l’hôte Tunis (D) ? ____________

L’hôte de production (B) peut-il envoyer une requête ping à l’hôte d'administration (A) ? ________

L’hôte de production (B) peut-il envoyer une requête ping à l’interface série du routeur Tunis _____________________

d.      Exécutez la commande show access-lists. Quel est le nombre de correspondances ?

Étape 3 – Autorisez un utilisateur du groupe Production à accéder au réseau Tunis

a.      L’utilisateur B souhaite échanger certains fichiers entre le réseau de production et le réseau Gadsden. Vous devez modifier ACL1 pour l'autoriser à accéder au réseau Tunis, tout en refusant l'accès aux autres utilisateurs du réseau de production.

Reconfigurez ACL1 pour accorder à cet utilisateur l'accès au réseau Tunis.

Il n'est malheureusement pas possible de réorganiser une liste de contrôle d'accès, ni même d'ignorer, de modifier ou de supprimer des instructions dans une liste de contrôle d'accès numérotée. Dans le cas des listes numérotées, toute tentative de suppression d'une instruction entraîne la suppression de l'intégralité de la liste.

Vous devez donc supprimer la liste de contrôle d'accès étendue initiale et en créer une nouvelle.

b.      Testez la liste de contrôle d’accès en vérifiant l’accessibilité au réseau Tunis à partir des hôtes d’administration et de production.

L’hôte de production (B) peut-il envoyer une requête ping à l’hôte Tunis (D) ? _________________

L’hôte de production (C) peut-il envoyer une requête ping à l’hôte Tunis (D) ? _________________

Étape 4 – Autorisez les utilisateurs du site Tunis à accéder au serveur de paie du groupe Administration

a.      On veut autoriser les utilisateurs du site Tunis à accéder au serveur de paie du groupe Administration

Les utilisateurs du site Tunis peuvent avoir besoin d'un accès FTP et HTTP au serveur de paie afin de télécharger des rapports de paie.

Ils doivent également bénéficier d'un accès ICMP pour pouvoir envoyer des requêtes ping au serveur. En revanche, ils ne doivent pas pouvoir envoyer de requêtes ping aux autres hôtes du réseau d'administration.

Configurez la liste de contrôle d'accès étendue correspondante (ACL2) et appliquez-la sur la bonne interface.

b.      Testez la liste de contrôle d’accès en vérifiant l’accessibilité au serveur de paie à partir d'un hôte Tunis (D).

L’hôte Tunis (D) peut-il envoyer une requête ping au serveur de paie ? ___________________

L’hôte Tunis (D) peut-il envoyer une requête ping à l'hôte (A) ? __________________________