Académique Documents
Professionnel Documents
Culture Documents
Diagramme de topologie
Table dadressage
Masque de sous-
Priphrique Interface Adresse IP
rseau
S0/0/0 10.1.1.1 255.255.255.252
R1 Fa0/0 192.168.10.1 255.255.255.0
Fa0/1 192.168.11.1 255.255.255.0
S0/0/0 10.1.1.2 255.255.255.252
S0/0/1 10.2.2.1 255.255.255.252
R2
S0/1/0 209.165.200.225 255.255.255.224
Fa0/0 192.168.20.1 255.255.255.0
S0/0/1 10.2.2.2 255.255.255.252
R3
Fa0/0 192.168.30.1 255.255.255.0
S0/0/1 209.165.200.226 255.255.255.224
FAI Fa0/0 209.165.201.1 255.255.255.224
Fa0/1 209.165.202.129 255.255.255.224
PC1 Carte rseau 192.168.10.10 255.255.255.0
PC2 Carte rseau 192.168.11.10 255.255.255.0
PC3 Carte rseau 192.168.30.10 255.255.255.0
PC4 Carte rseau 192.168.30.128 255.255.255.0
Serveur TFTP/Web Carte rseau 192.168.20.254 255.255.255.0
Serveur Web Carte rseau 209.165.201.30 255.255.255.224
Hte externe Carte rseau 209.165.202.158 255.255.255.224
Objectifs pdagogiques
tudier la configuration actuelle du rseau
valuer une stratgie de rseau et planifier la mise en uvre de listes de contrle daccs
Configurer des listes de contrle daccs standard numrotes
Configurer des listes de contrle daccs standard nommes
Prsentation
Les listes de contrle daccs standard sont des scripts de configuration du routeur qui dfinissent si
celui-ci autorise ou refuse des paquets en fonction de ladresse source. Cet exercice porte principalement
sur la dfinition de critres de filtrage, la configuration de listes de contrle daccs standard, lapplication
de ces listes aux interfaces des routeurs, ainsi que sur la vrification et le test de leur mise en uvre.
Les routeurs sont dj configurs, notamment les adresses IP et le routage EIGRP. Le mot de passe
dexcution utilisateur est cisco et le mot de passe dexcution privilgi est class.
tape 2. Vrification que tous les priphriques ont accs tous les autres emplacements
Avant dappliquer des listes de contrle daccs un rseau, il est important de vrifier que vous
disposez dune connectivit complte. Si vous ne testez pas la connectivit de votre rseau avant
dappliquer une liste de contrle daccs, le dpannage sera plus difficile.
Pour tester la connectivit, vous pouvez afficher la table de routage de chaque priphrique et vrifier
que tous les rseaux y sont prsents. Sur R1, R2 et R3, lancez la commande show ip route. Vous
devez voir que chaque priphrique dispose de routes connectes vers les rseaux relis et de routes
dynamiques vers tous les autres rseaux distants. Tous les priphriques ont accs tous les autres
emplacements.
Bien que la table de routage soit utile pour valuer ltat du rseau, vous pouvez cependant tester
la connectivit laide de la commande ping. Effectuez les tests suivants :
partir de PC1, envoyez une requte ping PC2.
partir de PC2, envoyez une requte ping Hte externe.
partir de PC4, envoyez une requte ping au serveur Web/TFTP.
Tous ces tests de connectivit doivent russir.
tape 2. Planification de la mise en uvre des listes de contrle daccs pour les rseaux
locaux de R1
Deux listes de contrle daccs permettent de mettre en uvre intgralement la stratgie de
scurit pour les rseaux locaux de R1.
La premire liste de contrle daccs sur R1 refuse le trafic du rseau 192.168.10.0/24 vers
le rseau 192.168.11.0/24 mais autorise tout autre trafic.
Cette premire liste, applique en sortie sur linterface Fa0/1, surveille tout le trafic envoy vers
le rseau 192.168.11.0.
La seconde liste de contrle daccs sur R2 refuse au rseau 192.168.11.0/24 laccs FAI mais
autorise tout autre trafic.
Le trafic sortant de linterface S0/1/0 est contrl.
Classez les instructions des listes de contrle daccs par ordre dcroissant de spcificit.
Le refus de laccs dun trafic rseau un autre rseau est prioritaire sur lautorisation de tout
autre trafic.
tape 4. Planification de la mise en uvre des listes de contrle daccs pour le rseau local de R3
Une liste de contrle daccs permet de mettre en uvre intgralement la stratgie de scurit
pour le rseau local de R3.
La liste de contrle daccs est place sur R3 et refuse lhte 192.168.30.128 laccs hors
du rseau local mais autorise le trafic en provenance de tous les autres htes du rseau local.
Si elle est applique en entre sur linterface Fa0/0, cette liste de contrle daccs surveille
tout trafic essayant de quitter le rseau 192.168.30.0/10.
Classez les instructions des listes de contrle daccs par ordre dcroissant de spcificit.
Le refus de laccs de lhte 192.168.30.128 est prioritaire sur lautorisation de tout autre trafic.
Remarque : Packet Tracer value une configuration de liste de contrle daccs seulement lorsque toutes
les instructions sont saisies dans lordre correct.
Crez maintenant une liste de contrle daccs sur R2 pour refuser le rseau 192.168.11.0 et autoriser
tous les autres rseaux. Utilisez le numro 11 pour cette liste de contrle daccs. Configurez ce qui suit
sur R2 :
R2(config)#access-list 11 deny 192.168.11.0 0.0.0.255
R2(config)#access-list 11 permit any