Packet Tracer : configuration des listes de contrôle d'accès IPv4

standard
Topologie

© 2017 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 sur 4
Packet Tracer : configuration des listes de contrôle d'accès IPv4 standard

Table d'adressage

Appareil Interface Adresse IP Masque de sous-réseau Passerelle par défaut

G0/0 192.168.1.1 255.255.255.0

R1 G0/1 192.168.2.1 255.255.255.0 N/A
G0/2 192.168.250.1 255.255.255.0
G0/0 172.16.1.1 255.255.255.0
R2 G0/1 172.16.2.1 255.255.255.0 N/A
G0/2 192.168.250.2 255.255.255.0
PC-A Carte réseau 192.168.1.100 255.255.255.0 192.168.1.1
PC-B Carte réseau 192.168.1.150 255.255.255.0 192.168.1.1
PC-C Carte réseau 192.168.2.50 255.255.255.0 192.168.2.1
PC-D Carte réseau 192.168.2.112 255.255.255.0 192.168.2.1
PC-E Carte réseau 172.16.1.10 255.255.255.0 172.16.1.1
PC-F Carte réseau 172.16.1.20 255.255.255.0 172.16.1.1
PC-G Carte réseau 172.16.2.100 255.255.255.0 172.16.2.1
PC-H Carte réseau 172.16.2.200 255.255.255.0 172.16.2.1

Objectifs
Contrôler le trafic sur le réseau en configurant des listes de contrôle d'accès IPv4 standard.

Contexte/scénario
Une entreprise a récemment décidé de contrôler le trafic sur son réseau en utilisant des listes de contrôle
d'accès IPv4 standard. Votre mission en tant qu'administrateur du réseau consiste à configurer 2 listes de
contrôle d'accès IPv4 standard de façon à contrôler le trafic vers le LAN rose et le LAN bleu (voir le
diagramme de topologie PT). Vous devez également configurer une liste de contrôle d'accès IPv4 nommée
standard pour contrôler l'accès à distance au routeur R1. Les interfaces du routeur et les routes par
défaut/statiques sont déjà configurées. L'accès SSH à distance est également activé sur les routeurs. Vous
aurez besoin des informations ci-après pour accéder à la console, au VTY et au mode d'exécution privilégié :
Nom d'utilisateur : admin01
Mot de passe : ciscoPA55
Mot de passe sécurisé : secretPA55

Partie 1 : configuration d'une liste de contrôle d'accès IPv4 standard pour

limiter l'accès au LAN rose
Dans la Partie 1, vous configurerez et appliquerez la liste d'accès 10 pour le contrôle d'accès au LAN rose.

© 2017 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 2 sur 4
Packet Tracer : configuration des listes de contrôle d'accès IPv4 standard

Étape 1 : Déterminez dans les grandes lignes ce que vous souhaitez réaliser avec la liste
d'accès 10.
La liste d'accès 10 doit comporter 4 éléments de contrôle d'accès qui permettent de réaliser les actions
présentées ci-après :
1) La liste d'accès 10 doit commencer par le commentaire suivant : ACL_TO_PINK_LAN
2) Autorisez le PC-C à atteindre le LAN rose
3) Autorisez uniquement la première moitié des hôtes du LAN jaune à atteindre le LAN rose
4) Autorisez tous les hôtes sur le LAN bleu à atteindre le LAN rose
La liste d'accès 10 doit être configurée pour le bon routeur, et appliquée à la bonne interface et dans la bonne
direction.

Étape 2 : Créez, appliquez et testez la liste d'accès 10.

Après avoir configuré et appliqué la liste d'accès 10, vous devriez pouvoir réaliser sur le réseau les tests
décrits ci-après :
1) Une requête ping depuis le PC-A vers un hôte du LAN rose devrait aboutir, mais une requête ping
depuis le PC-B devrait échouer.
2) Une requête ping depuis le PC-C vers un hôte du LAN rose devrait aboutir, mais une requête ping
depuis le PC-D devrait échouer.
3) Les requêtes ping depuis des hôtes du LAN bleu vers des hôtes du LAN rose devraient aboutir.
Quel message est renvoyé aux PC lorsqu'une requête ping est rejetée à cause d'une liste de contrôle
d'accès ?
____________________________________________________________________________________
Quelles adresses IP sur le LAN jaune sont autorisées à envoyer des requêtes ping aux hôtes sur le LAN
rose ?
____________________________________________________________________________________

Partie 2 : configuration d'une liste de contrôle d'accès IPv4 standard pour

limiter l'accès au LAN bleu
Dans la Partie 2, vous configurerez et appliquerez la liste d'accès 20 pour le contrôle d'accès au LAN bleu.

Étape 1 : Déterminez dans les grandes lignes ce que vous souhaitez réaliser avec la liste
d'accès 20.
La liste d'accès 20 doit comporter 3 éléments de contrôle d'accès qui permettent de réaliser les actions
présentées ci-après :
1) La liste d'accès 20 doit commencer par le commentaire suivant : ACL_TO_BLUE_LAN
2) Autorisez le PC-A à atteindre le LAN bleu
3) Interdisez au LAN jaune d'atteindre le LAN bleu
4) Autorisez tous les autres réseaux à atteindre le LAN bleu
La liste d'accès 20 doit être configurée pour le bon routeur, et appliquée à la bonne interface et dans la bonne
direction.

© 2017 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 3 sur 4
Packet Tracer : configuration des listes de contrôle d'accès IPv4 standard

Étape 2 : Créez, appliquez et testez la liste d'accès 20.

Après avoir configuré et appliqué la liste d'accès 20, vous devriez pouvoir réaliser sur le réseau les tests
décrits ci-après :
1) Seul le PC-A sur le LAN jaune peut envoyer une requête ping au LAN bleu.
2) Les requêtes ping depuis des hôtes du LAN jaune vers le LAN bleu devraient échouer.
3) Les requêtes ping depuis des hôtes des LAN vert et rose vers le LAN bleu devraient aboutir.

Étape 3 : Ajoutez une ACE dans la liste d'accès 20.

Vous devez faire une modification dans la liste d'accès 20. Insérez un élément de contrôle d'accès dans la
liste d'accès 20 pour permettre à PC-A d'atteindre le LAN bleu. Insérez l'ACE avant l'autorisation de l'autre
liste d'accès 20 et rejetez les éléments de contrôle d'accès.
Comment faites-vous pour insérer ou retirer une ACE dans une ligne spécifique de liste de contrôle d'accès ?
____________________________________________________________________________________
À quelle ligne avez-vous saisi l'ACE ?
____________________________________________________________________________________

Partie 3 : configuration d'une liste de contrôle d'accès IPv4 standard

nommée
Dans la partie 3, vous configurerez et appliquerez une liste de contrôle d'accès IPv4 standard nommée pour
contrôler l'accès à distance au routeur R1.

Étape 1 : définition dans les grandes lignes de ce que vous souhaitez réaliser avec la liste de
contrôle d'accès standard nommée.
La liste d'accès nommée doit permettre de réaliser les actions suivantes :
1) Sur R1, créez une liste de contrôle d'accès standard appelée ADMIN_VTY.
2) Autorisez un seul hôte, le PC-C.
3) Appliquez la liste de contrôle d'accès aux lignes VTY.

Étape 2 : test de la liste d'accès ADMIN_VTY.

Après avoir configuré et appliqué la liste d'accès ADMIN_VTY, vous devez pouvoir réaliser les tests sur le
réseau présentés ci-après :
1) Une connexion SSH entre le PC-C hôte et R1 devrait être établie.
2) Les connexions SSH depuis tous les autres hôtes devraient échouer.

Remarques générales
Cet exercice repose sur 2 listes de contrôle d'accès standard pour contrôler le trafic vers les LAN rose et bleu.
Pouvez-vous créer 2 listes de contrôle d'accès standard de plus pour contrôler le trafic vers les LAN jaune et
vert et déterminer sur quel routeur ces listes de contrôle d'accès doivent être créées ?
_______________________________________________________________________________________
_______________________________________________________________________________________

© 2017 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 4 sur 4