Fichier a telecharger: acl_clean.pkt
Logiciel: packet tracer
- VTP, désactiver STP sur les interfaces clientes, et désactiver DTP
- Empêcher les membres de vlan vert de pinguer vlan bleu, mais vlan bleu peut pinger vlan vert.
- Empêcher le HTTP pour les membres de vlan vert, mais autoriser le HTTPS vers le vlan bleu
- Empêcher le telnet pour les membres de vlan bleu & vert
- Autoriser SSH à tout le monde, mais autoriser la connection SSH sur R0 uniquement pour les membres de vlan bleu
VLAN 10 = BLEU => 10.0.10.0/25
VLAN 20 = VERT => 10.0.20.0/27
VTP domaine: egilia
VTP passwod: learning
****************************************************
Correction
****************************************************Premiere configuration sur les switchs
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
On ne le dit jamais assez, mais avant d'ajouter un nouveau switch sur un reseau, il est fortement conseille d'effacer tout ce qu'il y a dessus.
Switch#delete flash:
Delete filename []?vlan.dat
Switch#erase startup-config
Switch# reload
Switch#configure terminal
Switch(config)#no ip domain-lookup
Switch(config)#line console 0
Switch(config-line)#logging synchronous
Switch(config-line)#no exec-timeout <== a eviter, mais pratique lorsqu'on configure un switch
Switch0(config)#hostname Sw0
Switch1(config)#hostname Sw1
Configuration VTP
'''''''''''''''''''''''''''''''''''''''
Sw0(config)#vtp mode server
(config)#vtp domain egilia
(config)#vtp password learning
Sw1(config)#vtp mode client
(config)#vtp domain egilia
(config)#vtp password learning
Verification:
#show vtp status
Creation des VLANs sur le serveur
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Sw0(config)#vlan 10
(config-vlan)#name BLEU
(config-vlan)#vlan 20
(config-vlan)#name VERT
Verification sur Switch0:
#show vlan brief
Configuration des liens Trunks
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Sw0(config)#int range f0/1-2
Sw0(config-if-range)#switchport mode trunk
Sw1(config)#int f0/2
Sw1(config-if-range)#switchport mode trunk
Verification sur Switch1:
#show vlan brief
Definir les interfaces clients:
'''''''''''''''''''''''''''''''''''''''''
Sw0(config)#int f0/10
(config-if)#switchport mode access
(config-if)#switchport access vlan 10
(config-if)#int f0/20
(config-if)#switchport mode access
(config-if)#switchport access vlan 20
Sw1(config)#int f0/10
(config-if)#switchport mode access
(config-if)#switchport access vlan 10
(config-if)#int f0/20
(config-if)#switchport mode access
(config-if)#switchport access vlan 20
Verification:
#show vlan brief
Configuration du routage InterVLAN
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Routeur0(config)#hostname Router0
(config)#no ip domain-lookup
(config)#line console 0
(config-line)#logg synchronous
Router0(config)#int f0/0
(config-if)#no shutdown
Router0(config)#int f0/0.10
(config-subif)#encapsulation dot1Q 10
(config-subif)#ip address 10.0.10.126 255.255.255.128
(config-subif)#int f0/0.20
(config-subif)#encapsulation dot1Q 20
(config-subif)#ip address 10.0.20.30 255.255.255.224
Configuration des DHCP
'''''''''''''''''''''''''''''''''''''''''''''''''''
Router0(config)#ip dhcp pool VLAN10
(dhcp-config)#network 10.0.10.0 255.255.255.128
(dhcp-config)#default-router 10.0.10.126
(dhcp-config)#dns-server 8.8.8.8
(dhcp-config)#ip dhcp pool VLAN20
(dhcp-config)#network 10.0.20.0 255.255.255.224
(dhcp-config)#default-router 10.0.20.30
(dhcp-config)#dns-server 8.8.8.8
Config les interfaces clients - se proteger contre BPDU en desactivant STP sur interfaces clients
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Sw0(config)#spanning-tree portfast default
(config)#int range f0/10 , f0/20
(config-if-range)#spanning-tree bpduguard enable
(config-if-range)#spanning-tree guard root
Sw1(config)#spanning-tree portfast default
(config)#int range f0/10 , f0/20
(config-if-range)#spanning-tree bpduguard enable
(config-if-range)#spanning-tree guard root
Securite sur le VLAN - mise en place de la non negociate - pour supprimer les DTP(Dynamic Trunking Port):
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Sw0#int range f0/10, f0/20
#switchport nonegotiate
#switchport port-security maximum 1
#switchport port-security violation shutdown
#switchport port-security mac-address sticky
Sw1#int range f0/10,f0/20
#switchport nonegotiate
#switchport port-security maximum 1
#switchport port-security violation shutdown
#switchport port-security mac-address sticky
Correction ACL
'''''''''''''''''''''''''''''''''
==============================
/debut Brouillon pour preparer les ACL
==============================
On va chercher à analyser le filtrage demandé:
``````````````````````````````````````````````
Le but est de transformer chaque question en ACE, ensuite de mettre les ACE dans l'ordre de manière à ce qu'elles ne puissent pas se neutraliser, et reste à faire une optimisation pour avoir le moins d'entrée possible.
1/ Empêcher les membres de vlan vert de pinguer vlan bleu, mais vlan bleu peut pinger vlan vert
deny icmp VERT BLEU echo
permit icmp VERT BLEU echo-reply
2/ Empêcher le HTTP pour les membres de vlan vert, mais autoriser le HTTPS vers le vlan bleu
deny tcp VERT host SERVER0 eq 80
permit tcp VERT host SERVER0 eq 443
3/ Empêcher le telnet pour les membres de vlan bleu & vert
deny tcp VERT any eq 23
deny tcp BLEU any eq 23
4/ Autoriser SSH à tout le monde, mais autoriser la connection SSH sur R0 uniquement pour les membres de vlan bleu
permit tcp VERT any eq 22
permit tcp BLEU any eq 22
permit tcp BLEU host 10.0.10.1 eq 22
Brouillon - Application de l'ACL
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
F0/0.10 IN
deny tcp BLEU any eq 23
permit ip any any
F0/0.20 IN
permit icmp VERT BLEU echo-reply
permit tcp VERT host SERVER0 eq 443
permit tcp VERT any eq 22
(deny ip any any)
=> line vty
access-class noSSHVERT
ip access-list standard noSSHVERT
deny 10.0.20.0 0.0.0.31
permit icmp 10.0.20.0 0.0.0.31 10.0.10.0 0.0.0.127 echo-reply
permit tcp 10.0.20.0 0.0.0.31 host 10.0.10.100 eq 443
permit tcp 10.0.20.0 0.0.0.31 any eq 22
==============================
/fin Brouillon pour preparer les ACL
==============================
Creation d'ACL nomme
---------------------------------------
Router0(config)#ip access-list standard noSSHVERT
(config-std-nacl)#permit 10.0.10.0 0.0.0.127
(config-std-nacl)#exit
Router0(config)#ip access-list extended noTELNETbleu
(config-ext-nacl)#deny tcp 10.0.10.0 0.0.0.127 any eq telnet
(config-ext-nacl)#permit ip any any
(config-ext-nacl)#exit
Router0(config)#ip access-list extended VERTacl
(config-ext-nacl)#permit icmp 10.0.20.0 0.0.0.31 10.0.10.0 0.0.0.127 echo-reply
(config-ext-nacl)#permit tcp 10.0.20.0 0.0.0.31 host 10.0.10.100 eq 443
(config-ext-nacl)#permit tcp 10.0.20.0 0.0.0.31 any eq 22
(config-ext-nacl)#deny ip any any
Application de l'ACL
----------------------------------
Router0(config)#int f0/0.10
(config-subif)#ip access-group noTELNETbleu in
Router0(config-subif)#int f0/0.20
(config-subif)#ip access-group VERTacl in
Fichier contenant la correction a telecharger: acl_correction.pkt
Aucun commentaire:
Enregistrer un commentaire