Cisco Packet Tracer RIP v2 SSH ACL Standard
🛡️

TP — ACL Standard en IPv4

Routage RIP v2 · Sécurisation SSH · ACL Standard · Cisco IOS

📚 Matière
Cyber-Sécurité
📅 Date
11 septembre 2025
☑️ État
En cours
🔧 Outil
Cisco Packet Tracer
📝 Note
⚠️ Sauvegarder la conf à la question 9 AVANT les ACL
⚠️
Important : à la question 9, enregistrer la configuration avant d'appliquer les ACL. Une ACL mal configurée peut couper tout accès au réseau.
Topologie — 3 routeurs · RIP v2 · ACL Standard R2 L0: 200.0.0.1/32 10.0.12.0/30 10.0.23.0/30 R1 asrsi.local R3 asrsi.local LAN11 192.168.11.0/24 LAN12 192.168.12.0/24 LAN21 192.168.21.0/24 LAN22 192.168.22.0/24 RIP v2 — 128 kbps
RouteurInterfaceAdresse IPMasqueRéseau
R1G0/0192.168.12.254/24LAN12
R1G0/1192.168.11.254/24LAN11
R1S0/0/010.0.12.1/30WAN → R2
R2L0200.0.0.1/32Loopback
R2S0/0/010.0.12.2/30WAN → R1
R2S0/0/110.0.23.1/30WAN → R3
R3G0/0192.168.21.254/24LAN21
R3G0/1192.168.22.254/24LAN22
R3S0/0/010.0.23.2/30WAN → R2
📋 Table des matières
§2Configuration des PC §3Routeur R1 — Sécurisation + Interfaces + RIP §4Routeur R2 — Sécurisation + WAN + RIP §5Routeur R3 — Sécurisation + Interfaces + RIP §6Vérification du routage RIP (show ip route) §9⚠️ Enregistrer la configuration (AVANT ACL) §9bVérification de la connectivité (ping) §10ACL 10 — LAN21 accessible depuis LAN11 et LAN12 §11ACL ACCESS_LAN11 — LAN22 + PC21 → LAN11 §12Modification ACCESS_LAN11 — LAN21 complet + log §13ACL ACCESS_SSH_ADMIN — SSH depuis LAN11 uniquement Sauvegarde finale
PC
🖥️ Configuration des PC — Question 2
IP statique · Masque · Passerelle par défaut
💡
Dans Packet Tracer : cliquer sur le PC → onglet DesktopIP Configuration → sélectionner Static et renseigner les valeurs ci-dessous.
LAN11 · LAN12 PC côté R1 — Réseau gauche
PCAdresse IPMasquePasserelleRéseau
PC11192.168.11.1255.255.255.0192.168.11.254LAN11 — R1 G0/1
PC12192.168.12.1255.255.255.0192.168.12.254LAN12 — R1 G0/0
LAN21 · LAN22 PC côté R3 — Réseau droit
PCAdresse IPMasquePasserelleRéseau
PC21192.168.21.1255.255.255.0192.168.21.254LAN21 — R3 G0/0
PC22192.168.22.1255.255.255.0192.168.22.254LAN22 — R3 G0/1
⚠️
La passerelle doit toujours être l'IP du routeur sur le même réseau que le PC. Une mauvaise passerelle = le PC ne peut pas joindre les autres réseaux.
R1
🔵 Routeur R1 — Configuration complète
Sécurisation · SSH · Interfaces · RIP v2
1.a Sécurisation de base Hostname · DNS · Mot de passe

Tu mets en service R1 dans un contexte professionnel : il doit être identifiable, sécurisé, et éviter les erreurs de saisie DNS.

Cisco IOS — R1
conf t
! Nom du routeur
hostname R1

! Désactiver la résolution DNS (évite les délais sur fautes de frappe)
no ip domain-lookup

! Chiffrer tous les mots de passe en type 7 dans la config
service password-encryption

! Bannière affichée à chaque connexion
banner motd # Les acces sans autorisation sont interdits #

! Mot de passe du mode privilégié (enable) — chiffré MD5
enable secret class
  • no ip domain-lookupEmpêche le routeur de tenter une résolution DNS sur chaque commande inconnue. Sans ça, une faute de frappe génère un délai de 30 secondes.
  • service password-encryptionChiffre tous les mots de passe en clair dans la running-config en type 7 (chiffrement faible, mais évite la lecture directe).
  • banner motdMessage légal affiché avant l'authentification. Le # est le délimiteur de début et de fin du message.
  • enable secretProtège le mode privilégié avec un hash MD5. Prioritaire sur enable password.
1.b Sécurisation SSH et accès console/VTY

Un compte admin, un accès console protégé, et un accès distant uniquement en SSH avec authentification locale.

Cisco IOS — R1
conf t
! Créer le compte administrateur local
username admin secret eni

! Accès console (câble direct)
line console 0
  password cisco
  login
  logging synchronous
exit

! Accès distant SSH uniquement (lignes VTY 0 à 4)
line vty 0 4
  transport input ssh
  login local
  logging synchronous
exit

! Nom de domaine requis pour générer la clé RSA
ip domain-name asrs.local

! Générer la clé RSA (entrer 1024 quand demandé)
crypto key generate rsa
1024

! Forcer SSH version 2
ip ssh version 2
  • username secretCrée un compte local avec mot de passe chiffré en MD5. Utilisé pour l'authentification SSH (login local).
  • transport input sshInterdit Telnet sur les lignes VTY — seule la connexion SSH est acceptée. Essentiel pour la sécurité.
  • login localUtilise la base de comptes locale (username/secret) pour l'authentification VTY, pas juste un mot de passe.
  • logging synchronousÉvite que les messages de log du routeur interrompent la saisie des commandes en console/VTY.
  • crypto key generate rsaGénère la paire de clés RSA nécessaire au fonctionnement de SSH. Nécessite un ip domain-name configuré.
  • ip ssh version 2Force SSH v2, plus sécurisé que v1 (vulnérable aux attaques man-in-the-middle).
1.c Interfaces et RIP v2

R1 doit fournir la connectivité IP sur ses interfaces LAN et WAN et participer au routage dynamique via RIP v2.

Cisco IOS — R1
conf t
! Interface LAN12 (réseau 192.168.12.0/24)
interface g0/0
  ip address 192.168.12.254 255.255.255.0
  no shutdown

! Interface LAN11 (réseau 192.168.11.0/24)
interface g0/1
  ip address 192.168.11.254 255.255.255.0
  no shutdown

! Interface WAN vers R2
interface s0/0/0
  ip address 10.0.12.1 255.255.255.252
  no shutdown

! Activer RIP v2 et annoncer les réseaux connectés
router rip
  version 2
  no auto-summary
  network 192.168.12.0
  network 192.168.11.0
  network 10.0.12.0
  • no shutdownActive physiquement l'interface. Par défaut, toutes les interfaces Cisco sont en état shutdown.
  • 255.255.255.252Masque /30 — seulement 2 hôtes utilisables. Idéal pour les liaisons point-à-point WAN entre routeurs.
  • no auto-summaryDésactive le résumé automatique de RIP v1. Indispensable en v2 pour supporter le VLSM et annoncer les sous-réseaux exacts.
  • networkIndique à RIP quels réseaux directement connectés il doit annoncer aux voisins.
R2
🔴 Routeur R2 — Routeur central
Sécurisation · Loopback · WAN · RIP v2
2.a Sécurisation de base

R2 est le routeur central : même socle de sécurité que R1, car c'est un point critique du réseau.

Cisco IOS — R2
conf t
hostname R2
no ip domain-lookup
service password-encryption
banner motd # Les acces sans autorisation sont interdits #
enable secret class
username admin secret eni
💡
Même logique que R1 : identification + sécurisation + message légal + accès privilégié protégé.
2.b SSH et accès console/VTY

Activer l'administration sécurisée en SSH.

Cisco IOS — R2
conf t
ip domain-name asrs.local
crypto key generate rsa
1024
ip ssh version 2

line con 0
  password cisco
  login
  logging synchronous
exit

line vty 0 4
  transport input ssh
  login local
  logging synchronous
exit
  • Clés RSA + SSH v2Prérequis pour une administration sécurisée. Console et VTY protégées comme sur R1.
2.c Loopback et interfaces WAN

R2 doit être opérationnel sur ses liens WAN et fournir une loopback stable simulant une IP publique.

Cisco IOS — R2
conf t
! Interface loopback — toujours up si le routeur fonctionne
interface loopback0
  ip address 200.0.0.1 255.255.255.255

! Lien WAN vers R1
interface s0/0/0
  ip address 10.0.12.2 255.255.255.252
  no shutdown

! Lien WAN vers R3
interface s0/0/1
  ip address 10.0.23.1 255.255.255.252
  no shutdown
  • loopback0Interface virtuelle qui ne tombe jamais tant que le routeur est actif. Utilisée comme identifiant stable ou simulation d'IP publique.
  • 255.255.255.255Masque /32 — une seule adresse host. La loopback n'a besoin que d'une IP unique.
  • s0/0/0 → R1Lien série vers R1, côté R2 de la liaison 10.0.12.0/30.
  • s0/0/1 → R3Lien série vers R3, côté R2 de la liaison 10.0.23.0/30.
2.d RIP v2 avec loopback passive

R2 diffuse les routes à R1 et R3 via RIP v2, y compris la loopback, sans envoyer d'updates inutiles sur cette loopback.

Cisco IOS — R2
conf t
router rip
  version 2
  no auto-summary
  network 10.0.12.0
  network 10.0.23.0
  network 200.0.0.0
  ! Annonce la loopback mais n'émet pas d'updates RIP dessus
  passive-interface loopback0
  • passive-interface loopback0Annonce la route de la loopback dans RIP, mais n'envoie pas d'updates RIP sur cette interface (inutile car personne n'y est connecté).
R3
🟢 Routeur R3 — Bordure LAN droite
Sécurisation · LAN21/22 · WAN · RIP v2
3.a Sécurisation de base

Même socle de sécurité sur R3 : il est en bordure de deux LAN.

Cisco IOS — R3
conf t
hostname R3
no ip domain-lookup
service password-encryption
banner motd # Les acces sans autorisation sont interdits #
enable secret class
3.b SSH et accès console/VTY

Compte local + SSH v2 uniquement.

Cisco IOS — R3
conf t
username admin secret eni
ip domain-name asrs.local
crypto key generate rsa
1024
ip ssh version 2

line console 0
  password cisco
  login
  logging synchronous
exit

line vty 0 4
  transport input ssh
  login local
  logging synchronous
exit
3.c Interfaces LAN et WAN

Adressage des LAN de droite + liaison WAN vers R2.

Cisco IOS — R3
conf t
! Passerelle du LAN21
interface g0/0
  ip address 192.168.21.254 255.255.255.0
  no shutdown

! Passerelle du LAN22
interface g0/1
  ip address 192.168.22.254 255.255.255.0
  no shutdown

! Lien WAN vers R2
interface s0/0/0
  ip address 10.0.23.2 255.255.255.252
  no shutdown
3.d RIP v2

R3 annonce ses réseaux dans RIP v2 pour assurer la communication bout à bout.

Cisco IOS — R3
conf t
router rip
  version 2
  no auto-summary
  network 192.168.21.0
  network 192.168.22.0
  network 10.0.23.0
6
🔍 Vérification du routage RIP — Question 8
show ip route · Table de routage · Sur R1, R2, R3
📌
Une fois RIP configuré sur les 3 routeurs, vérifier que chacun connaît tous les réseaux du schéma. Les routes apprises via RIP sont marquées R dans la table de routage.
R1 · R2 · R3 Afficher la table de routage
Cisco IOS — sur chaque routeur
! Afficher la table de routage complète
show ip route

! Afficher uniquement les routes apprises via RIP
show ip route rip
  • CConnected — réseau directement connecté à une interface du routeur.
  • RRIP — route apprise dynamiquement via RIP v2. Si des routes R sont manquantes, RIP n'est pas correctement configuré.
  • [120/x]Distance administrative de RIP (120) / métrique (nombre de sauts). Plus le nombre de sauts est petit, meilleur est le chemin.

Ce que doit contenir la table de routage de R1 :

Résultat attendu — R1
C    192.168.11.0/24  is directly connected, GigabitEthernet0/1
C    192.168.12.0/24  is directly connected, GigabitEthernet0/0
C    10.0.12.0/30     is directly connected, Serial0/0/0
R    192.168.21.0/24  [120/3] via 10.0.12.2
R    192.168.22.0/24  [120/3] via 10.0.12.2
R    10.0.23.0/30     [120/1] via 10.0.12.2
R    200.0.0.1/32     [120/1] via 10.0.12.2
⚠️
Si des routes R sont absentes : vérifier que les commandes network sont correctes sur chaque routeur et que les interfaces sont bien en no shutdown.
09
⚠️ Enregistrer la configuration — AVANT LES ACL
Sur R1, R2 et R3 · Point de sauvegarde critique
📌
À ce stade : IP + interfaces + RIP + SSH doivent fonctionner. On sauvegarde pour sécuriser le TP avant les ACL — une ACL mal configurée peut couper tout accès réseau et SSH.
R1 + R2 + R3 Sauvegarde sur chaque routeur
Cisco IOS — R1, R2, R3
! Quitter le mode config
end

! Copier la running-config vers la startup-config (NVRAM)
copy running-config startup-config
  • copy run startSauvegarde la configuration active (RAM) dans la NVRAM. Sans ça, toute la config est perdue au redémarrage.
Vérifier que tous les pings passent entre tous les PC avant de passer aux ACL.
9b
🏓 Vérification de la connectivité — Question 9
Tous les PC doivent se joindre avant les ACL
🚨
Ne pas passer aux ACL tant que cette étape n'est pas validée à 100%. Si un ping échoue ici, c'est un problème de réseau — pas d'ACL.
ping Tests de connectivité depuis les PC

Dans Packet Tracer : cliquer sur un PC → onglet DesktopCommand Prompt, puis lancer les pings suivants.

Depuis PC11 — 192.168.11.1
! Ping vers PC12 (même routeur, LAN différent)
ping 192.168.12.1

! Ping vers PC21 (routeur différent, via R2)
ping 192.168.21.1

! Ping vers PC22 (routeur différent, via R2)
ping 192.168.22.1

! Ping vers la loopback de R2 (IP publique simulée)
ping 200.0.0.1

Matrice de connectivité attendue avant ACL :

Source → DestinationPC11PC12PC21PC22
PC11
PC12
PC21
PC22
⚠️
Si un ping échoue : vérifier l'IP et la passerelle du PC, que l'interface du routeur est bien no shutdown, et que RIP annonce bien le réseau concerné (show ip route).
Tous les pings passent → on peut maintenant passer aux ACL en toute sécurité.
10
🚫 ACL 10 — LAN21 accessible depuis LAN11 et LAN12
ACL numérotée standard · Routeur R3 · Interface G0/0 out
📌
Objectif : seuls les réseaux 192.168.11.0/24 et 192.168.12.0/24 peuvent accéder au LAN21. Tous les autres accès vers LAN21 sont refusés. La direction souhaite connaître le nombre de tentatives refusées.
R3 Créer et appliquer l'ACL numérotée 10
Cisco IOS — R3
conf t
! Autoriser LAN11
access-list 10 permit 192.168.11.0 0.0.0.255

! Autoriser LAN12
access-list 10 permit 192.168.12.0 0.0.0.255

! Bloquer tout le reste (avec compteur de tentatives)
access-list 10 deny any log

! Appliquer sur G0/0 (interface vers LAN21) en sortie
interface g0/0
  ip access-group 10 out
  • 0.0.0.255Wildcard mask = inverse du masque. 0.0.0.255 = /24. Tout hôte du réseau /24 est concerné par la règle.
  • deny any loglog génère un message syslog chaque fois qu'un paquet est refusé. Permet de compter les tentatives refusées.
  • ip access-group outFiltre les paquets sortant de l'interface vers LAN21. Placement correct pour une ACL standard : proche de la destination.
11
🟣 ACL ACCESS_LAN11 — LAN22 + PC21 → LAN11
ACL nommée standard · Routeur R3
📌
Objectif : autoriser vers LAN11 — tout le LAN22 et uniquement PC21 (192.168.21.1). Tout le reste est bloqué.
R3 Créer l'ACL nommée ACCESS_LAN11
Cisco IOS — R3
conf t
! Créer l'ACL nommée standard
ip access-list standard ACCESS_LAN11
  ! Autoriser tout le LAN22
  permit 192.168.22.0 0.0.0.255
  ! Autoriser uniquement PC21 (host = /32)
  permit host 192.168.21.1
  ! Refus implicite (deny any)

! Appliquer sur G0/1 en sortie vers LAN22
interface g0/1
  ip access-group ACCESS_LAN11 out
  • ip access-list standard NOMCrée une ACL nommée standard. Plus lisible qu'une ACL numérotée et plus facile à modifier (on peut supprimer une ligne spécifique).
  • permit hosthost 192.168.21.1 = wildcard 0.0.0.0 = une seule IP exacte. Autorise uniquement PC21.
  • deny impliciteToute ACL Cisco se termine par un deny any implicite invisible. Tout ce qui n'est pas explicitement autorisé est bloqué.
12
✏️ Modification ACCESS_LAN11 — LAN21 complet + log
Élargissement de l'ACL · Journalisation des refus
📌
Objectif : on élargit l'accès — tout le LAN21 est autorisé (plus seulement PC21), et on trace les refus avec log.
R3 Modifier ACCESS_LAN11 avec numéros de séquence
Cisco IOS — R3
conf t
ip access-list standard ACCESS_LAN11

  ! Supprimer l'ancienne règle numérotée 10 (host PC21 uniquement)
  no 10 permit host 192.168.21.1

  ! Remettre en place : tout le LAN21 (numéro de séquence 10)
  10 permit 192.168.21.0 0.0.0.255

  ! Autoriser tout le LAN22 (numéro de séquence 20)
  20 permit 192.168.22.0 0.0.0.255

  ! Bloquer le reste et journaliser les refus
  30 deny any log
  • no 10Supprime uniquement la règle portant le numéro de séquence 10. Avantage des ACL nommées : on peut modifier une règle sans tout recréer.
  • 10 / 20 / 30Numéros de séquence — définissent l'ordre d'évaluation des règles. Les règles sont évaluées du plus petit au plus grand numéro.
  • deny any logBloque tout le reste et génère un message syslog par paquet refusé. Permet à la direction de connaître le nombre de tentatives refusées.
13
🔑 ACL ACCESS_SSH_ADMIN — SSH depuis LAN11 uniquement
Sécurisation VTY · R1, R2, R3
📌
Objectif : seul le réseau LAN11 (192.168.11.0/24) peut se connecter en SSH aux routeurs. Tout autre accès SSH est refusé.
R1 + R2 + R3 Créer et appliquer l'ACL SSH sur les VTY
Cisco IOS — R1, R2, R3
conf t
! Créer l'ACL : seul LAN11 autorisé en SSH
ip access-list standard ACCESS_SSH_ADMIN
  permit 192.168.11.0 0.0.0.255
  deny any

! Appliquer sur les lignes VTY (accès SSH entrant)
line vty 0 4
  access-class ACCESS_SSH_ADMIN in
  transport input ssh
  login local
  • access-class ... inApplique une ACL aux connexions entrantes sur les lignes VTY. Différent de ip access-group qui s'applique aux interfaces. C'est la commande dédiée au filtrage SSH/Telnet.
  • inFiltre les connexions arrivant sur le routeur via SSH. Un hôte hors de LAN11 ne pourra pas initier une session SSH.
  • deny anyExplicitement ajouté ici pour être visible dans la config. Bloque toute tentative SSH depuis un réseau non autorisé.
Sauvegarde finale — Après validation
Après tests OK (ping + SSH)
R1 + R2 + R3 Enregistrer la configuration définitive

Après avoir validé que toutes les ACL fonctionnent correctement (pings + SSH), sauvegarder définitivement.

Cisco IOS — R1, R2, R3
end
copy running-config startup-config
🎯
Workflow complet :
1. Configurer R1, R2, R3 (hostname + SSH + interfaces + RIP)
2. Valider la connectivité (ping entre tous les PC)
3. Sauvegarder avant les ACL (copy run start)
4. Appliquer ACL 10 → LAN21 (R3, G0/0 out)
5. Créer ACCESS_LAN11 → LAN11 (R3, G0/1 out)
6. Modifier ACCESS_LAN11 (tout LAN21 + log)
7. Créer ACCESS_SSH_ADMIN sur VTY de R1/R2/R3
8. Vérifier avec show access-lists et sauvegarder

BTS SIO SISR — Cyber-Sécurité · TP ACL Standard IPv4 · Cisco Packet Tracer