1. Objectifs
L’objectif de ce TP est d’aborder la notion d’ACL (Access Control Lists) et de comprendre les types d’ACL, leurs configurations, ainsi que leur application dans le contrôle du trafic réseau.
2. Prérequis
- Un poste de travail avec le logiciel Packet Tracer installé.
3. Tâches à réaliser
- Configurer des ACL standards.
- Configurer des ACL étendues.
- Configurer des ACL nommées.
4. Topologie
Ce TP repose sur une topologie réseau incluant plusieurs segments de réseau qui communiquent entre eux. Les segments concernés sont les réseaux 10.1.1.0/24, 10.1.2.0/24, et 10.1.3.0/24.
5. Configuration des ACLs standards
5.1. Création de l’Access-List et ajout de l’entrée d’interdiction
L’objectif est de configurer une ACL standard pour interdire la communication du réseau 10.1.1.0/24 avec 10.1.3.0/24 et autoriser la communication avec 10.1.2.0/24.
- Créer une ACL pour interdire l’accès de 10.1.1.0/24 à 10.1.3.0/24 avec le masque inversé (wildcard mask) :
R1(config)#access-list 1 deny 10.1.1.0 0.0.0.255
5.2. Ajout de l’entrée d’autorisation
- Autoriser le reste du trafic après l’interdiction :
R1(config)#access-list 1 permit any
5.3. Application de l’Access-List sur l’interface
- Appliquer l’ACL sur l’interface Gi0/2 en sortie pour contrôler le trafic sortant :
R1(config)#int gi 0/2
R1(config-if)#ip access-group 1 out
6. Configuration des ACLs étendues
6.1. Création et application d’une Access-List pour ICMP (Ping)
Les ACL étendues permettent de contrôler le trafic en fonction des adresses IP sources et destinations ainsi que des protocoles. L’objectif ici est de configurer une ACL pour interdire les pings entre 10.1.3.0/24 et 10.1.2.0/24, mais d’autoriser les pings entre 10.1.3.0/24 et 10.1.1.0/24.
Créer une ACL étendue pour bloquer et autoriser le trafic ICMP :
R1(config)#access-list 100 deny icmp 10.1.3.0 0.0.0.255 10.1.2.0 0.0.0.255
R1(config)#access-list 100 permit icmp 10.1.3.0 0.0.0.255 10.1.1.0 0.0.0.255
Autoriser tout autre trafic avec une règle générique :
R1(config)#access-list 100 permit ip any any
6.2. Application de l’ACL étendue
- Appliquer l’ACL sur l’interface Gi0/2 en entrée pour contrôler le trafic entrant :
R1(config)#interface gi 0/2
R1(config-if)#ip access-group 100 in
7. Configuration des ACLs nommées
7.1. Création de l’ACL nommée
Les ACL nommées permettent d’avoir un meilleur contrôle sur les règles appliquées en utilisant des noms au lieu de numéros. L’objectif ici est d’interdire le protocole HTTP depuis le réseau 10.1.2.0/24 vers l’hôte 8.8.8.8.
Créer une ACL nommée pour contrôler le trafic HTTP :
R1(config)#ip access-list extended PC1-HTTP
Ajouter la règle pour bloquer le protocole HTTP vers l’hôte cible 8.8.8.8 :
R1(config-ext-nacl)#deny tcp host 10.1.2.10 host 8.8.8.8 eq www
Autoriser tout autre trafic :
R1(config-ext-nacl)#permit ip any any
7.2. Application de l’ACL
- Appliquer l’ACL nommée sur l’interface Gi0/1 en entrée :
R1(config)#interface gi 0/1
R1(config-if)#ip access-group PC1-HTTP in
7.3. Test de l’ACL
- Tester l’ACL en utilisant un navigateur web sur PC1 pour essayer d’accéder à 8.8.8.8.
Ce TP vous permet de configurer différents types d’ACL (standards, étendues, et nommées) afin de contrôler efficacement le trafic réseau en fonction des besoins de sécurité et d’administration du réseau.