View
2
Download
0
Category
Preview:
Citation preview
GRANDHAYE Antoine TP 2 - FIREWALL 18/09/2014
CISCO
18 septembre 2014
Créé par : GRANDHAYE Antoine
TTTPPP 222 ::: FFFIIIRRREEEWWWAAALLLLLL
Exercice PT 5.5.1 : listes de contrôle d’accès de b ase
1
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
TP 2 : FIREWALL
Exercice PT 5.5.1 : listes de contrôle d’accès de base
Objectifs
• Configurer routeur et commutateurs
• Configurer une liste de contrôle d’accès standard
• Configurer liste une de contrôle d’accès étendue
• Contrôle l’accès aux lignes vty avec une liste de contrôle d’accès standard
• Dépanner des listes de contrôle d’accès
Tâche 1 : configurations de base de routeurs et de commutateurs
REINITIALISATION
Tout d’abord, réinitialiser le commutateur est toujours préférable afin de commencer le TP sur
des bases saines.
NOM D’HOTE
Ensuite, la configuration des routeurs et des commutateurs commence par l’attribution de noms en accord avec la topologie (Schéma page de garde).
La commande
#erase startup-config
Permet d’effacer toute configuration
sur Comm1
Puis,
#reload
Pour redémarrer le commutateur.
2
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
Pour les deux éléments, la procédure est la même :
DESACTIVER RECHERCHE DNS
On désactive la recherche DNS sur les 6 éléments concernés.
La commande
#hostname Comm1
Permet donc d’attribuer Comm1
comme non d’hôte au
commutateur.
La commande
R1(config)#no ip domain-lookup
Désactive la recherche DNS sur R1
3
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
MOT DE PASSE (ENABLE, CONSOLE ET TELNET)
Attribut class comme mot de passe pour le mode d’exécution.
Attribut le mot de passe cisco pour les terminaux virtuels 0 à 4
(VTY)
Attribut le mot de passe cisco pour l’accès au port console et Telnet.
BANNIERE DE MESSAGE DU JOUR
La bannière de message de
connexion se configure avec cette
commande :
A ce stade, il est recommandé d'enregistrer régulièrement la configuration à l'aide de la
commande suivante (à effectuer en mode
privilégié):
Comm1(config) #enable secret class
Comm1(config)#line vty 0 4
Comm1(config-line)#password cisco Comm1(config-line)#exit
Comm1(config)#line con 0 Comm1(config-line)#login
Comm1(config-line)#password cisco Comm1(config-line)#exit
R1(config)#banner motd # Texte #
#copy running-config startup-config
4
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
CONFIGURATION IP + MASQUE
Afin de configurer les adresses IP et leurs masque sur les différents éléments du réseau,
l’interface graphique peut être utilisé.
Pour plus de précision sur les
interfaces DCE (comme la
fréquence d’horloge), l’utilisation du CLI est à opter.
PROTOCOLE OSPF
C’est un protocole de routage à état de lien, on retrouve les mêmes objectifs que le protocole
RIP mais avec une meilleure performance.
• Table de routage avec les
meilleures routes (avec un algorithme SPF)
• Converger au plus vite vers une table de routage optimale
Chaque routeur découvre son voisinage et
conserver une liste de ses « voisins » et
établie donc la meilleur route possible dans
la table de routage.
R1(config)#interface serial 0/0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.252
R1(config-if)# clock rate 64000
R1(config-if)#no shutdown
R1(config-if)#description Interface DCE
5
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
INTERFACE DE BOUCLAGE (R2)
Le routeur R2 est connecté à deux autres routeurs (R1 et R3) et voici la configuration d’une
interface « Loopback » :
Qu’est-ce qu’une interface « Loopback » ?
Il s’agit d’une interface virtuelle, créée par configuration et qui a la particularité de toujours être up/up. D’un point de vue fonctionnement du routeur, cette interface est perçue comme une interface physique (ou presque).
Quelles ut i l ités ?
• Simuler un réseau connecté. • Utile pour le protocole OSPF
On a donc ces lignes à taper :
On peut vérifier si la manipulation a bien aboutie :
R2(config)#int loopback 0 R2(config-if)#ip address 209.165.200.225 255.255.255.224
6
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
VLAN SUR LES 3 COMMUTATEURS
Il est demandé de faire un VLAN regroupant les 3 switch.
Il suffit de taper ces lignes de commande dans l’onglet CLI des switch :
Même manipulation pour les autres commutateurs.
PASSERELLE PAR DEFAUT DES COMMUTATEURS
Cette commande met 192.168.10.1
comme passerelle par default pour
Comm1 :
Comm1(config) #int vlan 1
Comm1 (config-if) #ip address 192.168.10.2 255.255.255.0
Comm1 (config-if) #no shutdown
Comm1(config) #ip default-gateway 192.168.10.1
7
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
VERIFICATION DE LA CONNECTIVITE (PING)
Afin de vérifier si la connexion est établie sur le réseau, le ping est une bonne méthode.
Le PC3 du Comm3 ping le PC1 du Comm1.
8
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
Tâche 2 : configuration d’une liste de contrôle d’accès standards
CONTROLE D’ACCES STANDARD STD-1 (R3)
On configure R3 avec une liste de contrôle standard (std-1).
Cette commande montre la liste de contrôle.
Sh access-lists
De plus, on remarque
bien que PC2 ne peut
pas ping PC3 du fait que
cette liste de contrôle d’accès bloque le trafic
provenant du réseau
192.168.11.0 /24.
9
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
Tâche 3 : configuration d’une liste de contrôle d’accès étendue
CONTROLE D’ACCES ETENDUE EXTEND-1 (R1)
On configure R1 avec une liste de contrôle étendue (extend-1).
TEST DE LA LISTE DE CONTROLE D’ACCES
A partir de PC1 on essaye de ping l’adresse loopback de R2, la commande n’aboutie pas.
Or, la commande show ip access-list sur R1 (après la commande ping) nous révèle ce message :
Le ping de PC1 vers R2 a été
refusée alors qu’elle a été autorisée
vers R3
10
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
Tâche 4 : contrôle de l’accès aux lignes vty à l’aide d’une liste de contrôle d’accès standard
CONTRÔLE D’ACCÈS STANDARD TASK-4 (R2)
On configure R2 avec une liste de contrôle standard (task-4).
11
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
Tâche 5 : dépannage des listes de contrôle d’accès
On fait un show running-config sur R3 afin d’afficher toute la configuration du routeur.
On remarque bien une liste de contrôle d’accès nommée std-1 sur l’interface serial 0/0/0 de R3.
Pour supprimer cette liste d’accès (std-1), il
faut taper ces lignes dans CLI :
R3 (config)#interface serial 0/0/0 R3 (config-if)#no ip access-group std-1 in
12
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
Une vérification peut être faite, toujours avec la commande show running-config.
On voit bien que
l’interface serial 0/0/0
n’a pas de liste d’accès.
Si l’on veut récupérer la liste de contrôle d’accès sti-d, on utilise cette combinaison de commandes :
TEST DE LA LISTE DE CONTROLE D’ACCES :
D’après le screen ci-dessous, R1 n’arrive pas à communiquer avec Comm3.
Cela s’explique par la liste d’accès des routeurs qui bloque les communications arrivant de certain réseau.
De plus, les compteurs de la liste de contrôle d’accès n’augmentent pas, cela est dû au refus global
implicite (« deny all ») placé à la fin de chaque liste de contrôle d’accès.
R3 (config)#interface serial 0/0/0
R3 (config-if)#no ip access-group std-1 out
R3 (config-if)#ip access-group std-1 in
13
TP 2
: FI
RE
WAL
L |
18
/09
/20
14
MESSAGES SIMILAIRES SUR R1 ET R2
Recommended