Rédigé par : Kamal , ESSANOUSSI
Configurer les ACL étendues
Partie 1 : Configurer une ACL étendue nommée
Configurez une liste de contrôle d'accès nommée pour implémenter la stratégie suivante:
· Bloquez l'accès HTTP et HTTPS de PC1 à Server1 et Server2. Les serveurs sont dans le cloud et vous êtes la seule personne qui connaît leur adresse IP.
· Bloquez l'accès FTP de PC2 à Server1 et Server2.
· Bloquez l'accès ICMP de PC3 à Server1 et Server2.
Étape 1: Refusez à PC1 l’accès aux services HTTP et HTTPS sur Serveur1 et Serveur 2
Créez une liste de contrôle d'accès IP nommée qui empêchera PC1 d'accéder aux services HTTP et HTTPS de Serveur 1 et Serveur 2. Quatre instructions de contrôle d'accès sont requises
Quelle est la commande permettant de commencer la configuration d'une liste d'accès étendue portant le nom ACL?
RT1(config)# ip access-list extended ACL
b. Pour refuser l'accès de PC1 à Serveur 1 sur le port 80 (HTTP) :
RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.101.255.254 eq 80
c. Pour refuser l'accès de PC1 à Serveur 1 sur le port 443 (HTTPS) :
RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.101.255.254 eq 443
d. Pour refuser l'accès de PC1 à Serveur 2 sur le port 80 (HTTP) :
RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.103.255.254 eq 80
e. Pour refuser l'accès de PC1 à Serveur 2 sur le port 443 (HTTPS) :
RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.103.255.254 eq 443
Étape 2: Refuser à PC2 l'accès aux services FTP sur Server1 et Server2.
Consultez la table d'adressage pour l'adresse IP de PC2.
a. Entrez la déclaration qui refuse l'accès de PC2 à Serveur 1, uniquement pour FTP (port 21 uniquement).
RT1(config-ext-nacl)# deny tcp host 172.31.1.102 host 64.101.255.254 eq 21
b. Entrez la déclaration qui refuse l'accès de PC2 à Serveur 2, uniquement pour FTP (port 21 uniquement).
RT1(config-ext-nacl)# deny tcp host 172.31.1.102 host 64.103.255.254 eq 21
Étape 3: Interdire au PC3 d'envoyer un ping à Serveur 1 et Serveur 2.
Consultez la table d'adressage pour l'adresse IP de PC3.
a. Entrez la déclaration qui refuse l'accès ICMP de PC3 à Serveur 1.
RT1(config-ext-nacl)# deny icmp host 172.31.1.103 host 64.101.255.254
b. Entrez la déclaration qui refuse l'accès ICMP de PC3 à Serveur 2.
RT1(config-ext-nacl)# deny icmp host 172.31.1.103 host 64.103.255.254
Étape 4: Autorisez tout autre trafic IP.
Par défaut, une liste d'accès refuse tout trafic qui ne correspond à aucune règle de la liste. Saisissiez la commande qui autorise tout le trafic qui ne correspond à aucune des instructions de liste d'accès configurées.
RT1(config-ext-nacl)# permit ip any any
Étape 5: Vérifiez la configuration de la liste d'accès avant de l'appliquer à une interface.
Avant d'appliquer une liste d'accès, la configuration doit être vérifiée pour s'assurer qu'il n'y a pas d'erreurs typographiques et que les déclarations sont dans le bon ordre. Pour afficher la configuration actuelle de la liste d'accès, utilisez la commande show access-lists ou show running-config .
RT1# show access-lists
Extended IP access list ACL
10 deny tcp host 172.31.1.101 host 64.101.255.254 eq www
20 deny tcp host 172.31.1.101 host 64.101.255.254 eq 443
30 deny tcp host 172.31.1.101 host 64.103.255.254 eq www
40 deny tcp host 172.31.1.101 host 64.103.255.254 eq 443
50 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp
60 deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp
70 deny icmp host 172.31.1.103 host 64.101.255.254
80 deny icmp host 172.31.1.103 host 64.103.255.254
90 permit ip any any
RT1# show running-config | begin access-list
ip access-list extended ACL
deny tcp host 172.31.1.101 host 64.101.255.254 eq www
deny tcp host 172.31.1.101 host 64.101.255.254 eq 443
deny tcp host 172.31.1.101 host 64.103.255.254 eq www
deny tcp host 172.31.1.101 host 64.103.255.254 eq 443
deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp
deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp
deny icmp host 172.31.1.103 host 64.101.255.254
deny icmp host 172.31.1.103 host 64.103.255.254
permit ip any any
Fermez la fenêtre de configuration.
Remarque : La différence entre le résultat de la commande show access-lists et celui de la commande show running-config est que la commande show access-lists inclut les numéros de séquence attribués aux déclarations de configuration. Ces numéros de séquence permettent la modification, la suppression et l'insertion de lignes uniques dans la configuration de la liste d'accès. Les numéros de séquence définissent également l'ordre de traitement des instructions de contrôle d'accès individuelles, en commençant par le numéro de séquence le plus bas.
Le trafic à filtrer vient du réseau 172.31.1.96/27 et est destiné à des réseaux distants. Le placement approprié des ACL dépend de la relation du trafic par rapport à RT1. En général, les listes d'accès étendues doivent être placées sur l'interface la plus proche de la source du trafic.
Étape 1: Appliquer l'ACL à la bonne interface et dans la bonne direction.
Remarque: Dans un réseau opérationnel réel, une ACL non testée ne devrait jamais être appliquée à une interface active. Ce n'est pas une bonne pratique et peut perturber le fonctionnement du réseau.
Sur quelle interface l'ACL nommée doit-elle être appliquée et dans quelle direction?
Ouvrez la fenêtre de configuration.
Passez en mode de configuration de commandes pour appliquer la liste de contrôle d'accès à l'interface.
RT1(config)# interface g0/0
RT1(config-f)# ip access-group ACL in
Étape 2: Testez l'accès pour chaque PC.
a. Accédez aux sites Web de Serveur 1et Serveur 2à l'aide du navigateur Web de PC1. Utilisez à la fois les protocoles HTTP et HTTPS. Utilisez la commande show access-lists pour voir quelle liste d'accès a autorisé ou refusé le trafic. La sortie de la commande show access-lists affiche le nombre de paquets qui correspondent à chaque déclaration depuis la dernière fois que les compteurs ont été effacés ou que le routeur a redémarré.
Remarque: Pour effacer les compteurs d'une liste d'accès, utilisez la commande clear access-list counters .
RT1#show ip access-lists
Extended IP access list ACL
10 deny tcp host 172.31.1.101 host 64.101.255.254 eq www (12 match(es))
20 deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 (12 match(es))
30 deny tcp host 172.31.1.101 host 64.103.255.254 eq www
40 deny tcp host 172.31.1.101 host 64.103.255.254 eq 443
50 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp
60 deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp
70 deny icmp host 172.31.1.103 host 64.101.255.254
80 deny icmp host 172.31.1.103 host 64.103.255.254
90 permit ip any any
Fermez la fenêtre de configuration.
b. Accéder au FTP de Serveur 1et Serveur 2à l'aide de PC1. Le nom d'utilisateur et le mot de passe sont cisco.
c. Ping Serveur 1et Serveur 2 à partir de PC1.
d. Répétez les étapes 2a à 2c avec PC2 et PC3 pour vérifier le bon fonctionnement de la liste d'accès
| PC2 | PC3 |
|---|---|