Packet Tracer 

: exercice d'intégration des compétences CCNA

Topologie

Table d'adressage

Appareil Interface Adresse IP Masque de sous-réseau

G0/0 10.0.1.1 255.255.255.0

G0/1 192.0.2.1 255.255.255.0
HQ S0/0/0 10.255.255.1 255.255.255.252
S0/0/1 10.255.255.253 255.255.255.252
S0/1/0 209.165.201.1 255.255.255.252
G0/0,10 10.1.10.1 255.255.255.0
G0/0,20 10.1.20.1 255.255.255.0
B1 G0/0.30 10.1.30.1 255.255.255.0
G0/0,99 10.1.99.1 255.255.255.0
S0/0/0 10.255.255.2 255.255.255.252
B1-S2 VLAN 99 10.1.99.22 255.255.255.0

© 2021 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 sur 6
Packet Tracer : exercice d'intégration des compétences CCNA

Configurations de réseaux VLAN et mappages des ports

Numéro de Adresse de Mappages de

VLAN réseau Nom de VLAN ports

10 10.1.10.0/24 Admin F0/6

20 10.1.20.0/24 Ventes F0/11
30 10.1.30.0/24 Production F0/16
99 10.1.99.0/24 Gestion&Native F0/1-4
999 N/A BlackHole Ports inutilisés

Scénario
Dans cet exercice complet autour des compétences CCNA, l'entreprise XYZ combine eBGP et PPP pour les
connexions WAN. Les autres technologies incluent la fonction NAT, le protocole DHCP, le routage statique et
le routage par défaut, le protocole EIGRP pour IPv4, le routage inter-VLAN et les configurations de VLAN.
Pour la sécurité, les configurations reposent sur SSH, la sécurité des ports, celles des commutateurs et les
listes de contrôle d'accès.
Remarque : seuls sont accessibles HQ, B1, B1-S2 et les PC. Le mot de passe d'exécution utilisateur est
cisco et le mot de passe d'exécution privilégié est class.

Conditions requises
PPP
 Configurez la liaison WAN depuis HQ vers Internet en utilisant l'encapsulation PPP et l'authentification
CHAP.
o Créez un utilisateur ISP avec le mot de passe cisco.
 Configurez la liaison WAN depuis HQ vers NewB en utilisant l'encapsulation PPP et l'authentification PAP.
o Créez un utilisateur NewB avec le mot de passe cisco.

Remarque : le ppp pap sent-username n'est pas noté par Packet Tracer. Il doit cependant être
configuré avant que la liaison entre HQ et NewB ne soit établie.
HQ(config)# interface s0/1/0
HQ(config-if)# encapsulation ppp
HQ(config-if)# ppp authentication chap
HQ(config-if)# exit
HQ(config)# username ISP password cisco
HQ(config)# interface s0/0/1
HQ(config-if)# encapsulation ppp
HQ(config-if)# ppp authentication pap
HQ(config-if)# ppp pap sent-username HQ password cisco
HQ(config-if)# exit
HQ(config)# username NewB password cisco
eBGP
 Configurez l'eBGP entre HQ et Internet.
o HQ fait partie de AS 65000.
o L'adresse IP du routeur BGP dans le cloud Internet est 209.165.201.2.
o Annoncez le réseau 192.0.2.0/24 à Internet.

© 2021 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 2 sur 6
Packet Tracer : exercice d'intégration des compétences CCNA

HQ(config)# router bgp 65000

HQ(config-router)# neighbor 209.165.201.2 remote-as 65001
HQ(config-router)# network 192.0.2.0 mask 255.255.255.0
NAT
 Configurez la fonction dynamique NAT sur HQ.
o Autorisez toutes les adresses de l'espace d'adressage 10.0.0.0/8 à traduire, en utilisant une liste
d'accès standard nommée NAT.
o La société XYZ est propriétaire de l'espace d'adressage 209.165.200.240/29. Le pool, HQ, utilise
les adresses .241 à .245 avec un masque /29. Reliez la liste de contrôle d'accès NAT au pool HQ.
Configurez PAT.
o Les connexions à Internet et à HQ-DataCenter se situent hors de l'entreprise XYZ.
HQ(config)# ip access-list standard NAT
HQ(config-std-nacl)# permit 10.0.0.0 0.255.255.255
HQ(config-std-nacl)# exit
HQ(config)# ip nat pool HQ 209.165.200.241 209.165.200.245 netmask
255.255.255.248
HQ(config)# ip nat inside source list NAT pool HQ overload
HQ(config)# interface s0/1/0
HQ(config-if)# ip nat outside
HQ(config-if)# interface g0/1
HQ(config-if)# ip nat outside
HQ(config-if)# interface s0/0/0
HQ(config-if)# ip nat inside
HQ(config-if)# interface s0/0/1
HQ(config-if)# ip nat inside
HQ(config-if)# interface g0/0
HQ(config-if)# ip nat inside

Routage inter-VLAN
 Configurez B1 pour le routage inter-VLAN.
o À l'aide de l'espace d'adressage des routeurs de filiale, configurez et activez l'interface LAN pour
le routage inter-VLAN. Le VLAN 99 est le VLAN natif.
B1(config)# interface g0/0
B1(config-if)# no shutdown
B1(config-if)# interface g0/0,10
B1(config-subif)# encapsulation dot1q 10
B1(config-subif)# ip address 10.1.10.1 255.255.255.0
B1(config-subif)# interface g0/0.20
B1(config-subif)# encapsulation dot1q 20
B1(config-subif)# ip address 10.1.20.1 255.255.255.0
B1(config-subif)# interface g0/0.30
B1(config-subif)# encapsulation dot1q 30
B1(config-subif)# ip address 10.1.30.1 255.255.255.0
B1(config-subif)# interface g0/0.99
B1(config-subif)# encapsulation dot1q 99 native
B1(config-subif)# ip address 10.1.99.1 255.255.255.0

Routage statique et par défaut

© 2021 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 3 sur 6
Packet Tracer : exercice d'intégration des compétences CCNA

 Configurez HQ avec une route statique vers le LAN NewB. Utilisez l'interface de sortie comme argument.
 Configurez B1 avec une route par défaut vers HQ. Utilisez l'adresse IP du saut suivant comme argument.
HQ(config)# ip route 10.4.5.0 255.255.255.0 serial 0/0/1

B1(config)# ip route 0.0.0.0 0.0.0.0 10.255.255.1

Routage EIGRP
 Configurez et optimisez HQ et B1 avec le routage EIGRP.
o Utilisez le système autonome 100.
o Désactivez les mises à jour EIGRP sur les interfaces adéquates.
HQ(config)# router eigrp 100
HQ(config-router)# network 10.0.0.0
HQ(config-router)# passive-interface g0/0
HQ(config-router)# passive-interface s0/0/1

B1(config)# router eigrp 100

B1(config-router)#
B1(config-router)#
B1(config-router)#
B1(config-router)#
B1(config-router)#
network 10.0.0.0
passive-interface g0/0.10
passive-interface g0/0.20
passive-interface g0/0.30
passive-interface g0/0.99

Configurations de VLAN et de trunk

Remarque : la possibilité de se connecter à la console est supprimée pour B1-S2 de façon à ce que vos
configurations ne soient pas interrompues par les messages de non-correspondance du VLAN natif. Si vous
préférez voir les messages de la console, saisissez dans la console d'enregistrement des commandes pour la
configuration globale.
 Configurez trunking et les VLAN sur B1-S2.
o Créez et nommez les VLAN énumérés dans la table Configuration VLAN et mappages de
ports sur B1-S2 uniquement.
o Configurez l'interface VLAN 99 ainsi que la passerelle par défaut.
o Activez le mode trunking pour F0/1 et F0/4.
o Attribuez des VLAN aux ports d'accès appropriés.
o Désactivez tous les ports inutilisés et attribuez le VLAN BlackHole.
B1-S2(config)# vlan 10
B1-S2(config-vlan)# name Admin
B1-S2(config-vlan)# vlan 20
B1-S2(config-vlan)# name Sales
B1-S2(config-vlan)# vlan 30
B1-S2(config-vlan)# name Production
B1-S2(config-vlan)# vlan 99
B1-S2(config-vlan)# name Mgmt&Native
B1-S2(config-vlan)# vlan 999
B1-S2(config-vlan)# name BlackHole
B1-S2(config)# interface vlan 99
B1-S2(config-if)# ip address 10.1.99.22 255.255.255.0

© 2021 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 4 sur 6
Packet Tracer : exercice d'intégration des compétences CCNA

B1-S2(config-if)# exit
B1-S2(config)# ip default-gateway 10.1.99.1
B1-S2(config)# interface range f0/1 - 4
B1-S2(config-if-range)# switchport mode trunk
B1-S2(config-if-range)# switchport trunk native vlan 99
B1-S2(config-if-range)# exit
B1-S2(config)# interface f0/6
B1-S2(config-if)# switchport mode access
B1-S2(config-if)# switchport access vlan 10
B1-S2(config-if)# interface f0/11
B1-S2(config-if)# switchport mode access
B1-S2(config-if)# switchport access vlan 20
B1-S2(config-if)# interface f0/16
B1-S2(config-if)# switchport mode access
B1-S2(config-if)# switchport access vlan 30
B1-S2(config-if)# exit
B1-S2(config)# interface range f0/5, f0/7-10, f0/12-15, f0/17-24, g0/1-2
B1-S2(config-if-range)# switchport access vlan 999
B1-S2(config-if-range)# shutdown

Sécurité des ports

 Utilisez la stratégie suivante pour établir la sécurité des ports sur les ports d'accès B1-S2 :
o Autorisez l'apprentissage de deux adresses MAC sur le port.
o Configurez les adresses MAC apprises à ajouter à la configuration.
o Paramétrez le port afin qu'il envoie un message en cas d'infraction à la sécurité. Le trafic est
toujours autorisé depuis les deux premières adresses MAC apprises.
B1-S2(config)# interface range f0/6, f0/11, f0/16
B1-S2(config-if-range)# switchport port-security
B1-S2(config-if-range)# switchport port-security maximum 2
B1-S2(config-if-range)# switchport port-security mac-address sticky
B1-S2(config-if-range)# switchport port-security violation restrict

SSH
 Configurez HQ de manière à utiliser SSH pour l'accès à distance.
o Définissez la valeur du module à 2048. Le nom de domaine est CCNASkills.com.
o Le nom d'utilisateur est admin et le mot de passe est adminonly.
o Seul SSH doit être autorisé sur les lignes VTY.
o Modifiez les valeurs SSH par défaut : version 2 ; délai de 60 secondes ; 2 essais.
HQ(config)# ip domain-name CCNASkills.com
HQ(config)# crypto key generate rsa

HQ(config)# username admin password adminonly

HQ(config)# line vty 0 4
HQ(config-line)# transport input ssh
HQ(config-line)# login local
HQ(config-line)# exit
HQ(config)# ip ssh version 2

© 2021 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 5 sur 6
Packet Tracer : exercice d'intégration des compétences CCNA

HQ(config)# ip ssh time-out 60

HQ(config)# ip ssh authentication-retries 2

DHCP
 Sur B1, configurez un pool DHCP pour le VLAN 20 Sales avec les spécifications suivantes :
o Excluez les 10 premières adresses IP de la plage.
o Le nom de pool sensible à la casse est VLAN20.
o Incluez le serveur DNS associé au LAN HQ en tant qu'élément de la configuration DHCP.
 Configurez le PC Sales de manière à utiliser DHCP.
B1(config)# ip dhcp excluded-address 10.1.20.1 10.1.20.10
B1(config)# ip dhcp pool VLAN20
B1(dhcp-config)# network 10.1.20.0 255.255.255.0
B1(dhcp-config)# default-router 10.1.20.1
B1(dhcp-config)# dns-server 10.0.1.4

Cliquez sur Sales PC > Desktop > IP Configuration

Sélectionnez la configuration DHCP, puis vérifier que le PC obtient bien les
informations d'adressage.

Politiques relatives aux listes d'accès

 Comme HQ est connecté à Internet, configurez et appliquez une liste de contrôle d'accès appelée
HQINBOUND en procédant selon l'ordre suivant :
o Autorisez les mises à jour BGP entrantes (port TCP 179) pour toute source vers n'importe quelle
destination.
o Autorisez les requêtes HTTP entrantes de toute source adressées au réseau HQ-DataCenter.
o Autorisez uniquement les sessions TCP établies à partir d'Internet.
o Autorisez uniquement les réponses ping entrantes à partir d'Internet.
o Bloquez explicitement tous les autres accès entrants à partir d'Internet.
HQ(config)# ip access-list extended HQINBOUND
HQ(config-ext-nacl)# permit tcp any any eq 179
HQ(config-ext-nacl)# permit tcp any 192.0.2.0 0.0.0.255 eq www
HQ(config-ext-nacl)# permit tcp any any established
HQ(config-ext-nacl)# permit icmp any any echo-reply
HQ(config-ext-nacl)# deny ip any any
HQ(config-ext-nacl)# exit
HQ(config)# interface s0/1/0
HQ(config-if)# ip access-group HQINBOUND in

Connectivité
 Vérifiez la connectivité complète à partir de chaque PC vers WWW.pka et www.cisco.pka.
 L'hôte externe doit pouvoir accéder à la page web sur WWW.pka.
 L'ensemble du test effectué dans le scénario 0 doit être réussi.

© 2021 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 6 sur 6