Exercice PT 5.2.

8 : configuration de listes de contrle daccs standard

Diagramme de topologie

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc.

Tous droits rservs. Ce document contient des informations publiques Cisco. Page 1 sur 6
 CCNA Exploration
Accs au rseau tendu : listes de contrle daccs Exercice PT 5.2.8 : configuration de listes de contrle daccs standard

Table dadressage
Masque de sous-
Priphrique Interface Adresse IP
rseau
S0/0/0 10.1.1.1 255.255.255.252
R1 Fa0/0 192.168.10.1 255.255.255.0
Fa0/1 192.168.11.1 255.255.255.0
S0/0/0 10.1.1.2 255.255.255.252
S0/0/1 10.2.2.1 255.255.255.252
R2
S0/1/0 209.165.200.225 255.255.255.224
Fa0/0 192.168.20.1 255.255.255.0
S0/0/1 10.2.2.2 255.255.255.252
R3
Fa0/0 192.168.30.1 255.255.255.0
S0/0/1 209.165.200.226 255.255.255.224
FAI Fa0/0 209.165.201.1 255.255.255.224
Fa0/1 209.165.202.129 255.255.255.224
PC1 Carte rseau 192.168.10.10 255.255.255.0
PC2 Carte rseau 192.168.11.10 255.255.255.0
PC3 Carte rseau 192.168.30.10 255.255.255.0
PC4 Carte rseau 192.168.30.128 255.255.255.0
Serveur TFTP/Web Carte rseau 192.168.20.254 255.255.255.0
Serveur Web Carte rseau 209.165.201.30 255.255.255.224
Hte externe Carte rseau 209.165.202.158 255.255.255.224

Objectifs pdagogiques
tudier la configuration actuelle du rseau
valuer une stratgie de rseau et planifier la mise en uvre de listes de contrle daccs
Configurer des listes de contrle daccs standard numrotes
Configurer des listes de contrle daccs standard nommes

Prsentation
Les listes de contrle daccs standard sont des scripts de configuration du routeur qui dfinissent si
celui-ci autorise ou refuse des paquets en fonction de ladresse source. Cet exercice porte principalement
sur la dfinition de critres de filtrage, la configuration de listes de contrle daccs standard, lapplication
de ces listes aux interfaces des routeurs, ainsi que sur la vrification et le test de leur mise en uvre.
Les routeurs sont dj configurs, notamment les adresses IP et le routage EIGRP. Le mot de passe
dexcution utilisateur est cisco et le mot de passe dexcution privilgi est class.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc.

Tous droits rservs. Ce document contient des informations publiques Cisco. Page 2 sur 6
 CCNA Exploration
Accs au rseau tendu : listes de contrle daccs Exercice PT 5.2.8 : configuration de listes de contrle daccs standard

Tche 1 : tude de la configuration actuelle du rseau

tape 1. Affichage de la configuration en cours sur les routeurs

Affichez les configurations en cours sur les trois routeurs laide de la commande show running-config
en mode dexcution privilgi. Remarquez que les interfaces et le routage sont entirement configurs.
Comparez les configurations dadresses IP la table dadressage ci-dessus. Aucune liste de contrle
daccs ne doit tre configure sur les routeurs ce stade.
Aucune configuration du routeur FAI nest ncessaire au cours de cet exercice. Considrez que vous
ntes pas responsable du routeur FAI et que celui-ci est configur et entretenu par ladministrateur FAI.

tape 2. Vrification que tous les priphriques ont accs tous les autres emplacements
Avant dappliquer des listes de contrle daccs un rseau, il est important de vrifier que vous
disposez dune connectivit complte. Si vous ne testez pas la connectivit de votre rseau avant
dappliquer une liste de contrle daccs, le dpannage sera plus difficile.
Pour tester la connectivit, vous pouvez afficher la table de routage de chaque priphrique et vrifier
que tous les rseaux y sont prsents. Sur R1, R2 et R3, lancez la commande show ip route. Vous
devez voir que chaque priphrique dispose de routes connectes vers les rseaux relis et de routes
dynamiques vers tous les autres rseaux distants. Tous les priphriques ont accs tous les autres
emplacements.
Bien que la table de routage soit utile pour valuer ltat du rseau, vous pouvez cependant tester
la connectivit laide de la commande ping. Effectuez les tests suivants :
partir de PC1, envoyez une requte ping PC2.
partir de PC2, envoyez une requte ping Hte externe.
partir de PC4, envoyez une requte ping au serveur Web/TFTP.
Tous ces tests de connectivit doivent russir.

Tche 2 : valuation dune stratgie de rseau et planification de la mise en uvre

de listes de contrle daccs

tape 1. valuation de la stratgie pour les rseaux locaux de R1

Le rseau 192.168.10.0/24 a accs tous les emplacements, lexception du rseau
192.168.11.0/24.
Le rseau 192.168.11.0/24 a accs toutes les destinations, lexception des rseaux
connects FAI.

tape 2. Planification de la mise en uvre des listes de contrle daccs pour les rseaux
locaux de R1
Deux listes de contrle daccs permettent de mettre en uvre intgralement la stratgie de
scurit pour les rseaux locaux de R1.
La premire liste de contrle daccs sur R1 refuse le trafic du rseau 192.168.10.0/24 vers
le rseau 192.168.11.0/24 mais autorise tout autre trafic.
Cette premire liste, applique en sortie sur linterface Fa0/1, surveille tout le trafic envoy vers
le rseau 192.168.11.0.
La seconde liste de contrle daccs sur R2 refuse au rseau 192.168.11.0/24 laccs FAI mais
autorise tout autre trafic.
Le trafic sortant de linterface S0/1/0 est contrl.
Classez les instructions des listes de contrle daccs par ordre dcroissant de spcificit.
Le refus de laccs dun trafic rseau un autre rseau est prioritaire sur lautorisation de tout
autre trafic.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc.

Tous droits rservs. Ce document contient des informations publiques Cisco. Page 3 sur 6
 CCNA Exploration
Accs au rseau tendu : listes de contrle daccs Exercice PT 5.2.8 : configuration de listes de contrle daccs standard

tape 3. valuation de la stratgie pour le rseau local de R3

Le rseau 192.168.30.0/10 a accs toutes les destinations.
Lhte 192.168.30.128 nest pas autoris accder hors du rseau local.

tape 4. Planification de la mise en uvre des listes de contrle daccs pour le rseau local de R3
Une liste de contrle daccs permet de mettre en uvre intgralement la stratgie de scurit
pour le rseau local de R3.
La liste de contrle daccs est place sur R3 et refuse lhte 192.168.30.128 laccs hors
du rseau local mais autorise le trafic en provenance de tous les autres htes du rseau local.
Si elle est applique en entre sur linterface Fa0/0, cette liste de contrle daccs surveille
tout trafic essayant de quitter le rseau 192.168.30.0/10.
Classez les instructions des listes de contrle daccs par ordre dcroissant de spcificit.
Le refus de laccs de lhte 192.168.30.128 est prioritaire sur lautorisation de tout autre trafic.

Tche 3 : configuration de listes de contrle daccs standard numrotes

tape 1. Dfinition du masque gnrique

Le masque gnrique dune instruction de liste de contrle daccs dtermine la proportion dune adresse
de destination ou dune adresse source IP qui doit tre vrifie. Un bit 0 indique que cette valeur doit
correspondre dans ladresse, tandis quun bit 1 ignore cette valeur dans ladresse. Noubliez pas que
les listes de contrle daccs standard peuvent uniquement contrler les adresses source.
tant donn que la liste de contrle daccs sur R1 refuse tout trafic du rseau 192.168.10.0/24,
toute adresse IP source commenant par 192.168.10 est refuse. Le dernier octet de ladresse IP
pouvant tre ignor, le masque gnrique qui convient est 0.0.0.255. Chaque octet de ce
masque peut tre considr comme contrler, contrler, contrler, ignorer .
La liste de contrle daccs sur R2 refuse galement le trafic du rseau 192.168.11.0/24.
Vous pouvez appliquer le mme masque gnrique, 0.0.0.255.

tape 2. Dfinition des instructions

Les listes de contrle daccs sont configures en mode de configuration globale.
Pour les listes de contrle daccs standard, utilisez un nombre entre 1 et 99. Le nombre 10
est utilis pour cette liste sur R1 afin de rappeler que celle-ci surveille le rseau 192.168.10.0.
Sur R2, la liste daccs 11 refuse tout trafic en provenance du rseau 192.168.11.0 vers tout
rseau FAI. Par consquent, loption deny est configure avec le rseau 192.168.11.0 et le
masque gnrique 0.0.0.255.
Tout autre trafic doit tre autoris laide de loption permit en raison du refus implicite
( deny any ) la fin des listes de contrle daccs. Loption any indique tout hte source.

Configurez ce qui suit sur R1 :

R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255
R1(config)#access-list 10 permit any

Remarque : Packet Tracer value une configuration de liste de contrle daccs seulement lorsque toutes
les instructions sont saisies dans lordre correct.
Crez maintenant une liste de contrle daccs sur R2 pour refuser le rseau 192.168.11.0 et autoriser
tous les autres rseaux. Utilisez le numro 11 pour cette liste de contrle daccs. Configurez ce qui suit
sur R2 :
R2(config)#access-list 11 deny 192.168.11.0 0.0.0.255
R2(config)#access-list 11 permit any

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc.

Tous droits rservs. Ce document contient des informations publiques Cisco. Page 4 sur 6
 CCNA Exploration
Accs au rseau tendu : listes de contrle daccs Exercice PT 5.2.8 : configuration de listes de contrle daccs standard

tape 3. Application des instructions aux interfaces

Sur R1, passez en mode de configuration pour linterface Fa0/1.
Lancez la commande ip access-group 10 out pour appliquer la liste de contrle daccs standard en
sortie de linterface.
R1(config)#interface fa0/1
R1(config-if)#ip access-group 10 out

Sur R2, passez en mode de configuration pour linterface S0/1/0.

Lancez la commande ip access-group 11 out pour appliquer la liste de contrle daccs standard en
sortie de linterface.
R2(config)#interface s0/1/0
R2(config-if)#ip access-group 11 out

tape 4. Vrification et test des listes de contrle daccs

Une fois les listes de contrle daccs configures et appliques, PC1 (192.168.10.10) ne doit pas
tre en mesure denvoyer de requte ping PC2 (192.168.11.10) car la liste de contrle daccs est
applique en sortie de Fa0/1 sur R1.
PC2 (192.168.11.10) ne doit pas tre en mesure denvoyer de requte ping au serveur Web
(209.165.201.30) ni Hte externe (209.165.202.158) mais doit pouvoir le faire vers toutes les
autres destinations, car la liste de contrle daccs est applique en sortie de linterface S0/1/0 sur R2.
Cependant, PC2 ne peut pas envoyer de requte ping PC1 car la liste de contrle daccs 10 sur R1
empche la rponse dcho de PC1 PC2.

tape 5. Vrification des rsultats

Votre taux de ralisation doit tre de 67 %. Si ce nest pas le cas, cliquez sur Check Results pour
identifier les composants ncessaires qui ne sont pas complets.

Tche 4 : configuration dune liste de contrle daccs standard nomme

tape 1. Dfinition du masque gnrique

La stratgie daccs pour R3 indique que lhte ladresse 192.168.30.128 ne doit pas pouvoir
accder hors du rseau local. Tous les autres htes du rseau 192.168.30.0 doivent pouvoir
accder tous les autres emplacements.
Pour vrifier un seul hte, il est ncessaire de vrifier lintgralit de ladresse IP. Le mot de
passe host permet cela.
Tous les paquets ne correspondant pas linstruction relative lhte sont autoriss.

tape 2. Dfinition des instructions

Sur R3, passez en mode de configuration globale.
Crez une liste de contrle daccs nomme NO_ACCESS laide de la commande ip access-
list standard NO_ACCESS. Vous passez en mode de configuration de liste de contrle daccs.
Toutes les instructions permit et deny sont configures partir de ce mode de configuration.
Refusez le trafic en provenance de lhte 192.168.30.128 laide de loption host.
Autorisez tout autre trafic laide de permit any.
Configurez la liste de contrle daccs nomme suivante sur R3 :
R3(config)#ip access-list standard NO_ACCESS
R3(config-std-nacl)#deny host 192.168.30.128
R3(config-std-nacl)#permit any

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc.

Tous droits rservs. Ce document contient des informations publiques Cisco. Page 5 sur 6
CCNA Exploration
Accs au rseau tendu : listes de contrle daccs Exercice PT 5.2.8 : configuration de listes de contrle daccs standard

tape 3. Application des instructions linterface correcte

Sur R3, passez en mode de configuration pour linterface Fa0/0.
Lancez la commande ip access-group NO_ACCESS in pour appliquer la liste de contrle daccs
nomme en entre de linterface. Avec cette commande, tout le trafic entrant sur linterface Fa0/0 en
provenance du rseau local 192.168.30.0/24 est contrl par rapport la liste de contrle daccs.
R3(config)#interface fa0/0
R3(config-if)#ip access-group NO_ACCESS in

tape 4. Vrification et test des listes de contrle daccs

Cliquez sur Check Results, puis sur Connectivity Tests. Les tests suivants doivent chouer :
PC1 vers PC2
PC2 vers Hte externe
PC2 vers Serveur Web
Toutes les requtes ping en provenance de/vers PC4, sauf entre PC3 et PC4.

tape 5. Vrification des rsultats

Votre taux de ralisation doit tre de 100 %. Si ce nest pas le cas, cliquez sur Check Results pour
identifier les composants ncessaires qui ne sont pas complets.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc.

Tous droits rservs. Ce document contient des informations publiques Cisco. Page 6 sur 6