TP 11.2.

1b Listes de contrle daccs standard

Objectif
Planifier, configurer et appliquer une liste de contrle pour autoriser ou refuser un certain type de
trafic et tester la liste de contrle pour dterminer si les rsultats escompts ont t atteints.

Scnario
Le bureau principal de la socit, qui se trouve Gadsden (GAD), offre des services aux agences
telles que le bureau de Birmingham (BHM). La scurit et les performances ne sont pas des
proccupations majeures pour ces bureaux. Une liste de contrle standard doit tre mise en uvre
comme un outil simple et efficace de contrle du trafic.

1-4

CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.1b

Copyright 2003, Cisco Systems, Inc.

Infrastructure
Lhte 3 reprsente un ordinateur en libre service qui doit disposer dun accs limit au rseau local.
Lhte 4 reprsente un hte qui se trouve dans le bureau de Birmingham et linterface en mode
boucl 0 sur le routeur GAD reprsente Internet.

tape 1 Interconnexion de base des routeurs

a. Connectez les routeurs comme indiqu dans le schma.

tape 2 Configuration de base

a. Le routeur peut avoir conserv la configuration quil avait lors dune prcdente utilisation. Pour
cette raison, effacez la configuration de dmarrage et rechargez le routeur pour supprimer
toutes les configurations restantes. laide des informations apparaissant la premire page,
configurez le routeur et lhte puis vrifiez laccessibilit en envoyant, depuis chaque systme,
une requte ping tous les systmes et tous les routeurs.
b. Pour simuler Internet, ajoutez la configuration suivante au routeur GAD.
GAD(config)#interface loopback0
GAD(config-if)#address 172.16.1.1 255.255.255.0
GAD(config-if)#exit
GAD(config)#router rip
GAD(config-router)#network 172.16.0.0
GAD(config-if)#^z

tape 3 Dfinissez les besoins en termes de liste de contrle daccs

a. Lordinateur en libre service (hte 3) doit disposer dun accs limit au rseau local. Il faut donc
crer une liste de contrle standard pour empcher le trafic provenant de cet hte datteindre les
autres rseaux. La liste de contrle daccs doit bloquer le trafic provenant de cet hte mais
autoriser tout autre trafic provenant de ce rseau. Dans ce cas, lutilisation dune liste de
contrle IP standard est approprie car elle permet un filtrage en fonction de ladresse source
vers nimporte quelle destination.
b. Quelle est ladresse source du poste de travail interactif ? ____________________________

tape 4 Planifiez les besoins en termes de liste de contrle daccs

a. Comme dans la plupart des projets, la planification est ltape la plus importante du processus. Il
faut dabord dfinir les informations requises pour crer la liste de contrle daccs. Une liste de
contrle daccs est constitue dune srie dinstructions ACL. Chacune des ces instructions est
ajoute de faon squentielle la liste de contrle daccs. tant donn que la liste contient
plusieurs instructions, il faut prvoir soigneusement la position de linstruction.
b. Il a t dcid que cette liste ncessite deux tapes logiques. Chacune de ces tapes peut tre
accomplie par une instruction. Un diteur de texte tel que Bloc-notes peut tre utilis en tant
quoutil de planification pour dfinir la logique et crire la liste. Dcrivez la logique dans lditeur
de texte en entrant les lignes suivantes :
! arrter le trafic provenant de lhte 3
! autoriser tout autre trafic

2-4

CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.1b

Copyright 2003, Cisco Systems, Inc.

c.

La liste de contrle daccs actuelle sera dfinie en fonction de cette logique. laide des tables
ci-dessous, indiquez les informations requises pour chaque instruction.

arrter le trafic provenant de lhte 3

N de liste
Refuser ou autoriser

Adresse dorigine

Masque gnrique

autoriser tout autre trafic

N de liste
Refuser ou autoriser

Adresse dorigine

Masque gnrique

d. Quel serait le rsultat si vous naviez pas insr linstruction autorisant toutes les autres
adresses source ?
_____________________________________________________________________________________
e. Quel serait le rsultat si lordre des deux instructions tait invers ?
_____________________________________________________________________________________
f.

Pourquoi les deux instructions utilisent-elles le mme numro de liste de contrle daccs ?
_____________________________________________________________________________________

g. Ltape finale du processus de planification consiste dterminer le meilleur emplacement pour

la liste de contrle daccs et le sens dans lequel elle doit tre applique. Examinez le schma
dinterrseau et choisissez linterface et le sens dapplication (direction) appropris. Consignez
les informations requises dans le tableau ci-dessous :
Routeur

Interface

Direction

tape 5 crivez et appliquez la liste de contrle daccs

a. Utilisez la logique prcdemment dfinie et les informations consignes de la liste de contrle
daccs pour complter les commandes dans lditeur de texte. La syntaxe de la liste doit tre
similaire la syntaxe suivante :

! arrter le trafic provenant de lhte 3

access-list #deny adresse masque_gnrique
! autoriser tout autre trafic
access-list #permit adresse masque_gnrique

b. Ajoutez ce fichier texte les instructions de configuration pour lapplication de la liste.

Les instructions de configuration ont la syntaxe suivante :

interface type #/#

ip access-group #{in, out}

3-4

CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.1b

Copyright 2003, Cisco Systems, Inc.

c.

Il faut maintenant appliquer la configuration du fichier texte au routeur. Passez en mode

configuration sur le routeur appropri, puis copiez et collez la configuration. Observez laffichage
CLI pour vous assurer quaucune erreur ne sest produite.

tape 6 Vrifiez la liste de contrle daccs

Maintenant que la liste de contrle daccs est cre, elle doit tre confirme et teste.
a. La premire tape consiste vrifier si la liste a t configure correctement dans le routeur.
Utilisez la commande show access-lists pour vrifier la logique de la liste de contrle
d'accs. Notez le rsultat.
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
b. Ensuite, vrifiez si la liste daccs a t applique, dune part linterface approprie et dautre
part dans le bon sens. Utilisez donc la commande show ip interface pour contrler
linterface. Examinez le rsultat pour chacune des interfaces et notez les listes qui leur sont
appliques.
Interface ___________________________________________________________________________
Liste de contrle d'accs pour le trafic externe __________________________________________
Liste de contrle d'accs pour le trafic interne ___________________________________________
c.

Pour terminer, testez le fonctionnement de la liste de contrle daccs en envoyant des paquets
partir de lhte source et vrifiez que le rsultat escompt est atteint (envoi autoris ou refus
selon le cas). Pour ce test, utilisez une requte ping.

] vrifier que lhte 3 PEUT envoyer une requte ping lhte 4

[
1

] vrifier que lhte 3 NE PEUT PAS envoyer de requte ping lhte

[
2

] vrifier que lhte 3 NE PEUT PAS envoyer de requte ping lhte

[ ] vrifier que lhte 3 NE PEUT PAS envoyer de requte ping GAD

Fa0/0
[ ] vrifier que lhte 3 NE PEUT PAS envoyer de requte ping GAD
LO0
[

] vrifier que l'hte 4 PEUT envoyer une requte ping l'hte 1

] vrifier que l'hte 4 PEUT envoyer une requte ping l'hte 2

] vrifier que lhte 4 PEUT envoyer une requte ping GAD Fa0/0

] vrifier que lhte 4 PEUT envoyer une requte ping GAD LO0

tape 7 Dcrivez par crit la liste de contrle daccs

a. Toute administration rseau doit comporter une documentation. Utilisez le fichier texte cr pour
la configuration et ajoutez-y des commentaires. Ce fichier doit galement contenir les rsultats
gnrs par les commandes show access-lists et show ip interface.
b. Le fichier doit tre sauvegard avec le reste de la documentation rseau. La convention
d'attribution de noms doit reflter la fonction du fichier et indiquer la date de mise en uvre.
c.

4-4

Lorsque vous avez termin, effacez la configuration de dmarrage sur les routeurs, retirez les
cbles et les adaptateurs, puis rangez-les. Enfin, dconnectez-vous et mettez les routeurs hors
tension.

CCNA 2: Notions de base sur les routeurs et le routage v3.1 TP 11.2.1b

Copyright 2003, Cisco Systems, Inc.