Appearance
TP 2 — Infrastructure réseau multi-sites & ACL
BTS SIO SISR 2ème année Bloc 2 — Sécurité réseau & Pare-feu Cisco Packet TracerContexte
La société TechSolutions possède deux sites géographiques : le siège social (Site A) et une agence distante (Site B). Les deux sites sont reliés entre eux par une liaison WAN. Une zone DMZ héberge les serveurs internes accessibles aux deux sites.
Votre mission est de configurer l'intégralité de l'infrastructure réseau, puis de mettre en place les règles de sécurité définies par la politique de l'entreprise.
Modalités
Toutes les configurations sont à réaliser sur Cisco Packet Tracer. Vous devrez constituer un rapport-annexe contenant les captures d'écran demandées à chaque étape. Les captures sont indiquées par 📸. Sauvegardez votre fichier Packet Tracer régulièrement.
Topologie du réseau
Plan d'adressage
| Équipement | Interface | Adresse IP | Masque | Passerelle | Zone |
|---|---|---|---|---|---|
| R1 | Gi0/0.10 | 192.168.10.1 | /24 | — | VLAN 10 |
| R1 | Gi0/0.20 | 192.168.20.1 | /24 | — | VLAN 20 |
| R1 | Gi0/1 | 10.10.12.1 | /30 | — | WAN |
| R1 | Gi0/2 | 10.0.100.1 | /24 | — | DMZ |
| R2 | Gi0/0 | 10.10.12.2 | /30 | — | WAN |
| R2 | Gi0/1.30 | 172.16.30.1 | /24 | — | VLAN 30 |
| R2 | Gi0/1.40 | 172.16.40.1 | /24 | — | VLAN 40 |
| SRV-Web | NIC | 10.0.100.10 | /24 | 10.0.100.1 | DMZ |
| SRV-FTP | NIC | 10.0.100.20 | /24 | 10.0.100.1 | DMZ |
| PC-Dir-1 / PC-Dir-2 | NIC | DHCP (.10 à .100) | /24 | 192.168.10.1 | VLAN 10 |
| PC-Com-1 / PC-Com-2 | NIC | DHCP (.10 à .100) | /24 | 192.168.20.1 | VLAN 20 |
| PC-Tech-1 / PC-Tech-2 | NIC | DHCP (.10 à .100) | /24 | 172.16.30.1 | VLAN 30 |
| PC-RH-1 / PC-RH-2 | NIC | DHCP (.10 à .100) | /24 | 172.16.40.1 | VLAN 40 |
Politique de sécurité — ACL à mettre en place
Une fois l'infrastructure opérationnelle, les règles suivantes doivent être appliquées :
ACL sur R1 — appliquée sur l'interface Gi0/0.20 (VLAN 20 — Commerciaux)
| # | Source | Destination | Protocole | Action |
|---|---|---|---|---|
| 1 | VLAN 20 — Commerciaux | SRV-Web — 10.0.100.10 | HTTP — TCP/80 | ✅ PERMIT |
| 2 | VLAN 20 — Commerciaux | SRV-FTP — 10.0.100.20 | FTP — TCP/21 | ❌ DENY |
| 3 | VLAN 20 — Commerciaux | VLAN 10 — 192.168.10.0/24 | Tout trafic IP | ❌ DENY |
| 4 | VLAN 20 — Commerciaux | Toutes destinations | Tout trafic IP | ✅ PERMIT |
ACL sur R2 — appliquée sur l'interface Gi0/1.40 (VLAN 40 — RH)
| # | Source | Destination | Protocole | Action |
|---|---|---|---|---|
| 5 | VLAN 40 — RH | VLAN 30 — 172.16.30.0/24 | Tout trafic IP | ❌ DENY |
| 6 | VLAN 40 — RH | Toutes destinations | Tout trafic IP | ✅ PERMIT |
Missions de configuration
Rappel
Les commandes ne sont pas fournies — vous devez les retrouver à partir de vos notes de cours. En cas de blocage, utilisez la commande ? dans la CLI Cisco ou consultez votre cours.
Mission 1 — Création de la topologie dans Packet Tracer
Ouvrez Packet Tracer et reproduisez la topologie du schéma ci-dessus.
- Ajoutez : 2 routeurs Cisco 2911 (R1 et R2), 2 switchs Cisco 2960 (SW1 et SW2), 4 PCs par site (voir nommage du plan d'adressage), 2 serveurs génériques (SRV-Web et SRV-FTP).
- Reliez les équipements avec le type de câble adapté.
- Nommez chaque équipement exactement comme indiqué dans le plan d'adressage.
- Configurez les adresses IP statiques de SRV-Web et SRV-FTP selon le plan d'adressage.
📸 Capture 1
Vue d'ensemble de la topologie Packet Tracer avec tous les équipements reliés et nommés.
Mission 2 — Configuration des VLANs sur SW1 et SW2
SW1 — Site A (Siège)
Tâche 2.1 — Création des VLANs
Créez les deux VLANs suivants sur SW1 et attribuez-leur un nom :
- VLAN 10 — nom : Direction
- VLAN 20 — nom : Commerciaux
Tâche 2.2 — Affectation des ports d'accès
Configurez les ports du switch en mode access et affectez-les aux bons VLANs :
| Port SW1 | PC connecté | VLAN |
|---|---|---|
| Fa0/1 | PC-Dir-1 | 10 |
| Fa0/2 | PC-Dir-2 | 10 |
| Fa0/3 | PC-Com-1 | 20 |
| Fa0/4 | PC-Com-2 | 20 |
Tâche 2.3 — Lien trunk vers R1
Configurez le port Gi0/1 de SW1 en mode trunk (liaison vers R1).
📸 Capture 2
Sortie de show vlan brief sur SW1 (VLANs 10 et 20 visibles avec leurs ports).
📸 Capture 3
Sortie de show interfaces trunk sur SW1 (Gi0/1 en mode trunk).
SW2 — Site B (Agence)
Tâche 2.4 — Création des VLANs
Créez les deux VLANs suivants sur SW2 :
- VLAN 30 — nom : Technique
- VLAN 40 — nom : RH
Tâche 2.5 — Affectation des ports et trunk
Affectez les ports de SW2 aux VLANs correspondants (PC-Tech → VLAN 30, PC-RH → VLAN 40) et configurez le port relié à R2 en mode trunk.
📸 Capture 4
Sortie de show vlan brief sur SW2.
Mission 3 — Routage inter-VLAN et adressage des routeurs
Rappel
La technique Router-on-a-Stick consiste à créer une sous-interface par VLAN sur une seule interface physique du routeur, avec encapsulation dot1Q. Chaque sous-interface devient la passerelle du VLAN correspondant.
R1 — Siège social
Tâche 3.1 — Sous-interfaces VLAN 10 et VLAN 20
Sur l'interface Gi0/0 de R1, créez deux sous-interfaces :
Gi0/0.10→ encapsulation VLAN 10 → adresse IP :192.168.10.1/24Gi0/0.20→ encapsulation VLAN 20 → adresse IP :192.168.20.1/24
N'oubliez pas d'activer l'interface physique Gi0/0 avec no shutdown.
Tâche 3.2 — Interface WAN (liaison vers R2)
Configurez l'interface Gi0/1 de R1 avec l'adresse 10.10.12.1/30.
Tâche 3.3 — Interface DMZ (vers les serveurs)
Configurez l'interface Gi0/2 de R1 avec l'adresse 10.0.100.1/24. Reliez SRV-Web et SRV-FTP à R1 via un switch supplémentaire ou directement (au choix).
R2 — Agence distante
Tâche 3.4 — Interface WAN et sous-interfaces VLAN 30 et VLAN 40
Sur R2, configurez :
- Gi0/0 → adresse IP :
10.10.12.2/30(liaison WAN vers R1) Gi0/1.30→ encapsulation VLAN 30 → adresse IP :172.16.30.1/24Gi0/1.40→ encapsulation VLAN 40 → adresse IP :172.16.40.1/24
📸 Capture 5
Sortie de show ip interface brief sur R1 (toutes interfaces up/up).
📸 Capture 6
Sortie de show ip interface brief sur R2 (toutes interfaces up/up).
📸 Capture 7
Ping depuis PC-Dir-1 vers sa passerelle (192.168.10.1) : succès attendu.
Mission 4 — Configuration du service DHCP sur les routeurs
Tâche 4.1 — DHCP sur R1 pour le VLAN 10 (Direction)
Créez un pool DHCP nommé POOL-VLAN10 sur R1 avec :
- Réseau :
192.168.10.0/24 - Passerelle par défaut :
192.168.10.1 - DNS :
8.8.8.8 - Excluez les adresses
.1à.9de la distribution automatique.
Tâche 4.2 — DHCP sur R1 pour le VLAN 20 (Commerciaux)
Créez un pool DHCP nommé POOL-VLAN20 sur R1 (réseau 192.168.20.0/24, passerelle 192.168.20.1).
Tâche 4.3 — DHCP sur R2 pour les VLANs 30 et 40
Créez sur R2 un pool POOL-VLAN30 (172.16.30.0/24) et un pool POOL-VLAN40 (172.16.40.0/24).
Tâche 4.4 — Test d'attribution DHCP
Passez les quatre PCs de chaque site en configuration DHCP automatique (Desktop → IP Configuration → DHCP) et vérifiez qu'ils obtiennent bien une adresse IP.
📸 Capture 8
Configuration IP de PC-Dir-1 et PC-Com-1 montrant les adresses obtenues en DHCP.
📸 Capture 9
Configuration IP de PC-Tech-1 et PC-RH-1 montrant les adresses obtenues en DHCP.
Mission 5 — Configuration des serveurs (HTTP et FTP)
Tâche 5.1 — Serveur web (SRV-Web)
Sur SRV-Web, activez le service HTTP (onglet Services → HTTP). Modifiez la page index.html pour afficher le message : "Portail interne TechSolutions — accès réservé".
Tâche 5.2 — Serveur FTP (SRV-FTP)
Sur SRV-FTP, activez le service FTP (onglet Services → FTP). Créez un utilisateur FTP : login admin, mot de passe cisco123, avec tous les droits activés.
Tâche 5.3 — Tests d'accès initiaux (avant ACL)
Avant de configurer les ACL, vérifiez que l'accès aux serveurs fonctionne depuis les deux sites :
- Depuis PC-Dir-1 : accédez à
http://10.0.100.10via Web Browser. - Depuis PC-Com-1 : accédez à
http://10.0.100.10via Web Browser. - Depuis PC-Com-1 : connectez-vous au FTP
10.0.100.20via Command Prompt (ftp 10.0.100.20).
Ces trois tests doivent réussir à ce stade.
📸 Capture 10
Page web affichée dans le browser de PC-Dir-1.
📸 Capture 11
Connexion FTP réussie depuis PC-Com-1 vers SRV-FTP (avant ACL).
Mission 6 — Routage dynamique RIP version 2
Rappel
Utilisez version 2 pour activer RIPv2 et no auto-summary pour désactiver la synthèse automatique des routes (indispensable avec des plages d'adresses discontinues).
Tâche 6.1 — RIP sur R1
Activez RIP v2 sur R1 et déclarez tous les réseaux directement connectés :
192.168.10.0192.168.20.010.10.12.010.0.100.0
Désactivez la synthèse automatique.
Tâche 6.2 — RIP sur R2
Activez RIP v2 sur R2 et déclarez les réseaux directement connectés :
10.10.12.0172.16.30.0172.16.40.0
Tâche 6.3 — Vérification des tables de routage
Attendez quelques secondes que RIP converge, puis vérifiez les tables de routage sur R1 et R2. Les routes apprises via RIP sont indiquées par la lettre R dans la table.
Tâche 6.4 — Test de connectivité inter-sites
Depuis PC-Dir-1 (VLAN 10, Site A), effectuez un ping vers PC-Tech-1 (VLAN 30, Site B). Ce ping doit réussir si RIP et le routage inter-VLAN sont correctement configurés.
📸 Capture 12
Sortie de show ip route sur R1 (routes RIP visibles avec la lettre R).
📸 Capture 13
Sortie de show ip route sur R2.
📸 Capture 14
Ping réussi depuis PC-Dir-1 vers PC-Tech-1 (adresse IP obtenue en DHCP).
Mission 7 — Mise en place des ACL de sécurité
Avant de commencer
Relisez attentivement la politique de sécurité définie plus haut. Identifiez pour chaque ACL : le type (étendue nommée), l'interface d'application, le sens (in/out) et l'ordre des règles. Réfléchissez aux wildcards nécessaires.
ACL 1 — Filtrage des Commerciaux (sur R1)
Tâche 7.1 — Création de l'ACL SECURITE-COMMERCIAUX
Sur R1, créez une ACL étendue nommée SECURITE-COMMERCIAUX qui applique les règles 1, 2, 3 et 4 de la politique de sécurité.
- Respectez l'ordre : les règles les plus spécifiques en premier.
- Pensez à terminer par une règle autorisant le reste du trafic (règle 4).
Tâche 7.2 — Application de l'ACL sur l'interface
Appliquez SECURITE-COMMERCIAUX sur la sous-interface Gi0/0.20 de R1, dans le bon sens (trafic entrant depuis les Commerciaux).
ACL 2 — Filtrage des RH (sur R2)
Tâche 7.3 — Création de l'ACL SECURITE-RH
Sur R2, créez une ACL étendue nommée SECURITE-RH qui applique les règles 5 et 6 de la politique de sécurité.
Tâche 7.4 — Application de l'ACL sur l'interface
Appliquez SECURITE-RH sur la sous-interface Gi0/1.40 de R2, dans le bon sens.
Tests de validation
Effectuez les tests suivants et vérifiez que les résultats correspondent aux attentes :
| # | Source | Test | Résultat attendu |
|---|---|---|---|
| T1 | PC-Com-1 | Web Browser → http://10.0.100.10 | ✅ Succès — page web visible |
| T2 | PC-Com-1 | ftp 10.0.100.20 | ❌ Échec — connexion refusée |
| T3 | PC-Com-1 | Ping → 192.168.10.x (PC-Dir-1) | ❌ Échec — bloqué par ACL |
| T4 | PC-Com-1 | Ping → 172.16.30.x (PC-Tech-1, Site B) | ✅ Succès — non bloqué |
| T5 | PC-Dir-1 | Web Browser → http://10.0.100.10 | ✅ Succès — accès total Direction |
| T6 | PC-Dir-1 | ftp 10.0.100.20 | ✅ Succès — accès total Direction |
| T7 | PC-RH-1 | Ping → 172.16.30.x (PC-Tech-1) | ❌ Échec — bloqué par ACL |
| T8 | PC-RH-1 | Web Browser → http://10.0.100.10 | ✅ Succès — RH peut accéder au web |
📸 Capture 15
show ip access-lists SECURITE-COMMERCIAUX sur R1 (après les tests, avec les matches).
📸 Capture 16
show ip access-lists SECURITE-RH sur R2.
📸 Capture 17
Test T1 — page web visible depuis PC-Com-1.
📸 Capture 18
Test T2 — connexion FTP refusée depuis PC-Com-1.
📸 Capture 19
Test T7 — ping refusé depuis PC-RH-1 vers PC-Tech-1.
Récapitulatif — Rapport annexe à rendre
À rendre
Votre rapport annexe doit contenir les 19 captures d'écran listées ci-dessous, dans l'ordre, avec pour chaque capture une légende indiquant ce qu'elle montre.
| N° | Contenu de la capture | Mission |
|---|---|---|
| 1 | Vue d'ensemble de la topologie Packet Tracer | 1 |
| 2 | show vlan brief sur SW1 | 2 |
| 3 | show interfaces trunk sur SW1 | 2 |
| 4 | show vlan brief sur SW2 | 2 |
| 5 | show ip interface brief sur R1 | 3 |
| 6 | show ip interface brief sur R2 | 3 |
| 7 | Ping depuis PC-Dir-1 vers 192.168.10.1 | 3 |
| 8 | Configuration IP de PC-Dir-1 et PC-Com-1 (DHCP) | 4 |
| 9 | Configuration IP de PC-Tech-1 et PC-RH-1 (DHCP) | 4 |
| 10 | Page web dans le browser de PC-Dir-1 | 5 |
| 11 | Connexion FTP réussie depuis PC-Com-1 (avant ACL) | 5 |
| 12 | show ip route sur R1 (routes RIP) | 6 |
| 13 | show ip route sur R2 (routes RIP) | 6 |
| 14 | Ping réussi PC-Dir-1 → PC-Tech-1 (inter-sites) | 6 |
| 15 | show ip access-lists SECURITE-COMMERCIAUX | 7 |
| 16 | show ip access-lists SECURITE-RH | 7 |
| 17 | Test T1 — page web depuis PC-Com-1 | 7 |
| 18 | Test T2 — FTP refusé depuis PC-Com-1 | 7 |
| 19 | Test T7 — ping refusé PC-RH-1 → PC-Tech-1 | 7 |
Attention
Vérifiez que chaque capture montre clairement le résultat (pas de fenêtre coupée, texte lisible). Numérotez chaque capture et mentionnez dans votre rapport le nom de l'équipement et la commande utilisée pour chaque capture CLI.