🛡️

TP — ACL Étendues en IPv4

Cisco Packet Tracer — R1, R2, R3 · RIPv2 · ACL numérotées et nommées · POP3/SMTP

📚 Matière
Cyber-Sécurité
📅 Date
11 septembre 2025
☑️ État
Terminé
🔧 Outil
Cisco Packet Tracer
🔁 ACL
Étendue (100–199) Nommée
📌
Règle d'or ACL étendue : filtre sur source + destination + protocole + port → se place au plus près de la source. Toutes les ACL de ce TP sont configurées sur les routeurs.
📋 Table des matières
§1Topologie et adressage §2Configuration des PC §3Configuration de R1 §4Configuration de R2 (+ interface 200.0.0.0) §5Configuration de R3 §6–8Configuration RIPv2 sur R1, R2, R3 §9Vérification de la connectivité §10ACL numérotée 111/112 + 100 (sur R1) §11ACL nommée WEB (sur R3) §12ACL nommée WEB_RETOUR (sur R3) §13Modifier WEB — Autoriser POP3 + SMTP §14Configuration e-mail — SRV01 + PC22 Tableau récapitulatif
🗺️
Topologie et adressage
3 routeurs · 4 LANs · 1 serveur SRV01
200.0.0.0/24 SRV01 .2 R2 Gi0/0=.1 Gi0/1=.1 → .2 10.0.12.0/30 128 Kbps 10.0.23.0/30 R1 G0/0 G0/1 R3 G0/0 G0/1 192.168.11.0/24 PC11 (.1) · GW .254 LAN 1 192.168.12.0/24 PC12 (.1) · GW .254 LAN 2 G0/0 .254 G0/1 .254 192.168.21.0/24 PC21 (.1) · GW .254 LAN 3 192.168.22.0/24 PC22 (.1) · GW .254 LAN 4 (Srv web) G0/0 .254 G0/1 .254 ACL appliquées §10 : 111/112 + 100 sur R1 · §11–13 : WEB + WEB_RETOUR sur R3 G0/1 RIPv2 : tous les routeurs · no auto-summary
02
🖥️ Configuration des PC
IP · Masque · Passerelle
PCAdresse IPMasquePasserelle
PC11192.168.11.1255.255.255.0192.168.11.254
PC12192.168.12.1255.255.255.0192.168.12.254
PC21192.168.21.1255.255.255.0192.168.21.254
PC22192.168.22.1255.255.255.0192.168.22.254
SRV01200.0.0.2255.255.255.0200.0.0.1
PC Jules200.0.0.4255.255.255.0200.0.0.1
PC François200.0.0.3255.255.255.0200.0.0.1
04
🟠 Configuration de R2 — ajout interface 200.0.0.0
R1 et R3 : si déjà fait en Partie 1, passer cette étape
⚠️
R1 et R3 sont supposés configurés depuis la Partie 1. Sur R2 uniquement, ajouter l'interface vers le serveur SRV01 (Gi0/1 = passerelle du réseau 200.0.0.0/24).
Cisco IOS — R2
conf t
interface gi0/1
  ip address 200.0.0.1 255.255.255.0
  no shutdown
06–08
🌐 Configuration RIPv2 sur R1, R2, R3
version 2 · no auto-summary · network
R1RIPv2LAN 11 · LAN 12 · 10.0.12.0
Cisco IOS — R1
router rip
  version 2
  no auto-summary
  network 10.0.12.0
  network 192.168.11.0
  network 192.168.12.0
exit
R2RIPv210.0.12 · 10.0.23 · 200.0.0
Cisco IOS — R2
router rip
  version 2
  no auto-summary
  network 10.0.12.0
  network 10.0.23.0
  network 200.0.0.0
exit
R3RIPv210.0.23 · LAN 21 · LAN 22
Cisco IOS — R3
router rip
  version 2
  no auto-summary
  network 10.0.23.0
  network 192.168.21.0
  network 192.168.22.0
exit
09
🏓 Vérification de la connectivité
Pings + Web Browser — avant d'appliquer les ACL
Tester la connectivité avant d'appliquer les ACL. Si les pings fonctionnent, faire wr sur toutes les machines pour sauvegarder.
PC / Serveur
ping 192.168.11.1  ! → PC11
ping 192.168.12.1  ! → PC12
ping 192.168.21.1  ! → PC21
ping 192.168.22.1  ! → PC22

! Web Browser → http://200.0.0.2 (SRV01)
10
🚫 ACL numérotée — Autoriser LAN11 + LAN12 → LAN21 uniquement (sur R1)
Correction : 2 solutions possibles
📌
Objectif : Autoriser uniquement le trafic des réseaux 192.168.11.0 et 192.168.12.0 vers 192.168.21.0. La direction veut connaître le nombre de tentatives refusées → ajouter un deny ip any any explicite (comptabilisé dans show access-lists).

Solution A — 2 ACL séparées par interface LAN (recommandée)

Cisco IOS — R1 (Solution A)
conf t

! ACL 111 : LAN11 → LAN21 uniquement
access-list 111 permit ip 192.168.11.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 111 deny   ip any any  ! comptabilise les refus

! ACL 112 : LAN12 → LAN21 uniquement
access-list 112 permit ip 192.168.12.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 112 deny   ip any any

! Application en entrée (trafic source vers routeur)
interface Gi0/0
  ip access-group 111 in   ! LAN11

interface Gi0/1
  ip access-group 112 in   ! LAN12

Solution B — 1 seule ACL sur S0/0/0 (sortie vers R2)

Cisco IOS — R1 (Solution B)
conf t

access-list 100 permit ip 192.168.11.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 100 permit ip 192.168.12.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 100 deny   ip any any

interface S0/0/0
  ip access-group 100 out   ! trafic partant vers R2
11
🌐 ACL nommée WEB — LAN22 → Internet (HTTP/HTTPS/ICMP) sur R3
Correction officielle — numéros de séquence inclus
💡
Objectif : Autoriser HTTP (80), HTTPS (443) et les pings depuis 192.168.22.0/24. Ne pas bloquer l'accès à 192.168.21.0 depuis LAN11 et LAN12 → permit ip any any implicitement préservé par l'absence de deny global côté R1.
R3ip access-list extended WEBGi0/1 — in
Cisco IOS — R3
conf t
ip access-list extended WEB
  10 permit tcp  192.168.22.0 0.0.0.255 any eq 80    ! HTTP
  20 permit tcp  192.168.22.0 0.0.0.255 any eq 443   ! HTTPS
  30 permit icmp 192.168.22.0 0.0.0.255 any echo-request
! implicit deny ip any any

interface g0/1
  ip access-group WEB in   ! trafic entrant de LAN22
12
↩️ ACL nommée WEB_RETOUR — trafic retour vers LAN22 sur R3
established + echo-reply · Gi0/1 — out
R3ip access-list extended WEB_RETOURGi0/1 — out
Cisco IOS — R3
conf t
ip access-list extended WEB_RETOUR
  10 permit tcp  any 192.168.22.0 0.0.0.255 established
  20 permit icmp any 192.168.22.0 0.0.0.255 echo-reply
! implicit deny ip any any

interface g0/1
  ip access-group WEB_RETOUR out   ! trafic sortant vers LAN22
📌
established autorise uniquement les sessions TCP déjà ouvertes (flag ACK/RST) — les nouvelles connexions entrantes non sollicitées sont bloquées. echo-reply autorise les réponses aux pings.

Tests ACL WEB + WEB_RETOUR

TestRésultat attendu
PC22 → http://200.0.0.2✅ Page Web OK
PC22 → https://200.0.0.2✅ HTTPS OK
PC22 → ping 200.0.0.2✅ ICMP OK (echo/echo-reply)
PC22 → ftp 200.0.0.2❌ Bloqué (FTP non autorisé)
13
📧 Modifier WEB — Autoriser POP3 + SMTP depuis LAN22
eq pop3 (110) · eq smtp (25)
R3Ajout POP3 + SMTP dans WEBdeny ip any any — comptabilise les refus
Cisco IOS — R3
conf t
ip access-list extended WEB
  permit tcp 192.168.22.0 0.0.0.255 any eq pop3   ! port 110 — lecture mails
  permit tcp 192.168.22.0 0.0.0.255 any eq smtp   ! port 25  — envoi mails
  deny   ip  any any                            ! comptabilise les refus
14
📨 Configuration e-mail — SRV01 + PC22
POP3 · SMTP · Test envoi/réception

Sur SRV01 — activer le service E-mail

Sur PC22 — configurer le client mail

ParamètreValeur
Your Nametest
Email Addresstest@gmail.fr
Incoming Mail Server (POP3)200.0.0.2
Outgoing Mail Server (SMTP)200.0.0.2
Usernametest (ou pc22)

Test POP3 — Envoyer un mail à Jules

PC22 → Mail Browser
To      : jules@gmail.fr
Subject : Test POP3
Message : Bonjour Jules, test depuis PC22

→ Cliquer Send
→ Sur PC Jules : ouvrir Mail → cliquer Receive
   Le mail apparaît ✅ (protocole POP3 port 110)
📋
Tableau récapitulatif des ACL
§ACLRouteurInterfaceDirectionAutorisationRefus
10A111/112R1Gi0/0 / Gi0/1inLAN11→LAN21 / LAN12→LAN21Tout le reste
10B100R1S0/0/0outLAN11+12→LAN21Tout le reste
11WEBR3Gi0/1inHTTP(80) HTTPS(443) ICMP echoTout le reste
12WEB_RETOURR3Gi0/1outTCP established · ICMP echo-replyTout le reste
13WEB (modif)R3Gi0/1in+ POP3(110) + SMTP(25)deny ip any any
🎯
Commandes de vérification :
show access-lists — règles + compteurs de hits (refus)
show running-config — vérifier les ip access-group sur les interfaces
show ip interface gi0/1 — voir les ACL appliquées sur l'interface

BTS SIO SISR — Cyber-Sécurité — TP ACL Étendues IPv4 — Cisco Packet Tracer