RSE6 Instructor Materials Chapter7 ACL

Supports du formateur
Chapitre 7 : Listes de
contrôle d'accès
CCNA Routing and Switching,

Routing and Switching Essentials v6.0
ID_présentation © 2008 Cisco Systems, Inc. Tous droits réservés. Informations confidentielles de Cisco 1
Supports du formateur –
Chapitre 7 Guide de planification
Cette présentation PowerPoint est divisée en deux
parties :
1. Guide de planification du formateur
 Informations destinées à vous familiariser avec le chapitre
 Outils pédagogiques
2. Présentation en classe pour le formateur

 Diapositives facultatives que vous pouvez utiliser en classe
 Commence à la diapositive 13
Remarque : retirez le guide de planification de cette présentation

avant de la partager avec quiconque.
Routing and Switching
Essentials 6.0 Guide de
planification
Chapitre 7 : listes de
contrôle d'accès
Chapitre 7 : exercices
Quels sont les exercices associés à ce chapitre ?
N° de Type d'exercice Nom de l'exercice Facultatif ?
page
7.0.1.2 Exercice en classe Laissez-moi donc vous aider En option
7.1.1.4 Packet Tracer Démonstration du fonctionnement des listes de Recommandé
contrôle d'accès
7.1.2.6 Exercice Détermination du masque générique approprié -
7.1.2.7 Exercice Détermination de l'autorisation ou du refus -
7.1.3.3 Exercice Fonctionnement des listes de contrôle d'accès -
7.2.1.5 Exercice Configuration des listes de contrôle -
d'accès IPv4 standard
7.2.1.6 Packet Tracer Configuration de listes de contrôle d'accès IPv4 Recommandé
standard numérotées
7.2.1.7 Packet Tracer Configuration de listes de contrôle d'accès IPv4 Recommandé
standard nommées
7.2.2.7 Travaux pratiques Configuration et modification de listes de En option
contrôle d'accès IPv4 standard
Le mot de passe utilisé dans le cadre des exercices Packet Tracer de ce chapitre est :
PT_ccna5
Chapitre 7 : exercices
Quels sont les exercices associés à ce chapitre ?
N° de Type d'exercice Nom de l'exercice Facultatif ?
page
7.2.3.1 Contrôleur de syntaxe Sécurisation des lignes VTY à l'aide d'une liste -
de contrôle d'accès IPv4 standard
7.2.3.3 Packet Tracer Configuration d'une liste de contrôle d'accès Recommandé
IPv4 sur les lignes VTY
7.2.3.4 Travaux pratiques Configuration et vérification des restrictions En option
VTY
7.3.2.4 Packet Tracer Dépannage des listes de contrôle d'accès IPv4 Recommandé
standard
7.3.2.5 Travaux pratiques Dépannage de la configuration et du placement En option
des listes ACL IPv4 standard
7.4.1.1 Exercice en classe Accès FTP refusé En option
7.4.1.2 Packet Tracer Intégration des compétences Recommandé
Le mot de passe utilisé dans le cadre des exercices Packet Tracer de ce chapitre est :
PT_ccna5
Chapitre 7 : évaluation
 Une fois qu'ils ont terminé le chapitre 7, les élèves doivent se
soumettre à l'évaluation correspondante.
 Les questionnaires, les travaux pratiques, les exercices dans
Packet Tracer, ainsi que les autres activités peuvent servir à
évaluer, de manière informelle, les progrès des élèves.
Chapitre 7 : bonnes pratiques
Avant d'enseigner le contenu du chapitre 7, le formateur doit :
 terminer la partie « Évaluation » du chapitre 7.
 Les objectifs de ce chapitre sont les suivants :
• Expliquer comment les listes de contrôle d'accès filtrent le trafic
• Expliquer comment les listes de contrôle d'accès utilisent des masques
génériques
• Expliquer comment créer des listes de contrôle d'accès
• Expliquer comment placer des listes de contrôle d'accès
• Configurer des listes de contrôle d'accès IPv4 standard pour filtrer le trafic afin
de répondre aux besoins du réseau
• Utiliser les numéros d'ordre pour modifier des listes de contrôle d'accès IPv4
standard
• Configurer une liste de contrôle d'accès standard pour sécuriser l'accès vty
• Expliquer comment un routeur traite les paquets lorsqu'une liste de contrôle
d'accès est appliquée
• Résoudre des erreurs liées aux listes de contrôle d'accès IPv4 standard à
l'aide de commandes CLI
Chapitre 7 : bonnes pratiques (suite)
Section 7.1
 Rendez ce chapitre aussi concret que possible.
 Insistez sur le fait qu'une liste de contrôle d'accès est une liste séquentielle
d'instructions d'autorisation et/ou de refus. L'ordre n'a pas d'importance.
 Les routeurs n'appliquent pas les listes de contrôle d'accès sur eux-mêmes.
Le trafic généré par le routeur n'est affecté par aucune liste de contrôle
d'accès, de sorte que tester ces listes à partir d'un routeur ne générera pas
les résultats attendus.
Section 7.2
 Expliquez aux élèves comment ils peuvent utiliser un éditeur de texte pour créer,
puis coller, leurs listes de contrôle d'accès dans le programme de leur terminal.
C'est ainsi beaucoup plus facile de travailler sur les listes de contrôle d'accès.
Section 7.3
 Rien ne vaut la pratique
 Demandez aux élèves de créer des situations dans lesquelles les paquets
doivent être autorisés et/ou bloqués.
Chapitre 7 : aide supplémentaire
 Pour obtenir davantage d'aide sur les stratégies d'enseignement,
notamment les plans de cours, l'utilisation d'analogies pour expliquer
des concepts difficiles et les sujets de discussion, consultez la
communauté CCNA à l'adresse
https://www.netacad.com/group/communities/community-home
 Les bonnes pratiques du monde entier relatives au programme

CCNA Routing and Switching sont disponibles à l'adresse
https://www.netacad.com/group/communities/ccna-blog
 Si vous souhaitez partager des plans de cours ou des ressources,

téléchargez-les sur le site de la communauté CCNA afin d'aider les
autres formateurs.
 Les élèves peuvent s'inscrire à la formation Packet Tracer Know
How 1: Packet Tracer 101 (inscription en libre-service).
Chapitre 7 : listes de
contrôle d'accès
Routing and Switching Essentials v6.0
Chapitre 7 – Sections et objectifs
7.1 Fonctionnement des listes de contrôle d'accès
génériques
7.2 Listes de contrôle d'accès IPv4 standard

• Configurer des listes de contrôle d'accès IPv4 standard pour filtrer le trafic afin
de répondre aux besoins du réseau
standard
7.3 Dépannage des listes de contrôle d'accès

7.1 Fonctionnement des
listes de contrôle d'accès
Objectif des listes de contrôle d'accès
Qu'est-ce qu'une liste de contrôle d'accès ?
 Par défaut, aucune liste de contrôle d'accès n'est configurée sur les
routeurs. Par conséquent, les routeurs ne filtrent pas le trafic, par défaut.
Le filtrage des paquets
 Le filtrage des paquets, parfois appelé filtrage statique des paquets,
contrôle l'accès à un réseau en analysant les paquets entrants et
sortants et en les transmettant ou en rejetant selon des critères
spécifiques, tels que l'adresse IP source, les adresses IP de destination
et le protocole transporté dans le paquet.
 Un routeur filtre les paquets lors de leur transmission ou de leur refus
conformément aux règles de filtrage.
 Une liste de contrôle d'accès est un ensemble séquentiel d'instructions
d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE).
Le fonctionnement des listes de contrôle
d'accès
Masques génériques dans les listes de contrôle d'accès
Présentation des masques génériques des
Présentation des masques génériques des
listes de contrôle d'accès (suite)
Exemple
Exemples de masques génériques
Exemples de masques génériques (suite)
Calculer un masque générique
 Le calcul des masques génériques peut être complexe. La méthode

la plus rapide consiste à soustraire le masque de sous-réseau de
255.255.255.255.
Les mots-clés des masques génériques
Des exemples de mots-clés de masques
génériques
Directives sur la création des listes de contrôle d'accès
Directives générales sur la création des
Directives sur la création des listes de contrôle d'accès
Les bonnes pratiques relatives aux listes de
contrôle d'accès
Directives sur l'emplacement des listes de contrôle d'accès
Où placer les listes de contrôle d'accès ?
Où placer les listes de contrôle d'accès ?
(suite)
 Chaque liste de contrôle d'accès doit être placée là où elle aura le plus
grand impact sur les performances. Règles de base :
 Listes de contrôle d'accès étendues : placez les listes de contrôle
d'accès étendues le plus près possible de la source du trafic à
filtrer.
 Listes de contrôle d'accès standard : étant donné que les listes de
contrôle d'accès standard ne précisent pas les adresses de
destination, placez-les le plus près possible de la destination.
 L'emplacement de la liste de contrôle d'accès et donc son type
peuvent aussi dépendre de l'étendue du contrôle de
l'administrateur réseau, de la bande passante des réseaux
concernés et de la facilité de configuration.
L'emplacement d'une liste de contrôle
d'accès standard
 L'administrateur souhaite empêcher le trafic provenant du réseau
192.168.10.0/24 d'atteindre le réseau 192.168.30.0/24.
7.2 Listes de contrôle
d'accès IPv4 standard
Configuration des listes de contrôle d'accès IPv4 standard
Syntaxe des listes de contrôle d'accès IPv4
 Router(config)# access-list access-list-number { deny | permit | remark }
source [ source-wildcard ] [ log ]
Application de listes de contrôle d'accès
IPv4 standard aux interfaces
Application de listes de contrôle d'accès
IPv4 standard aux interfaces (suite)
Exemples de listes de contrôle d'accès IPv4
Exemples de listes de contrôle d'accès IPv4
standard numérotées (suite)
standard nommées
standard nommées (suite)
Modification des listes de contrôle d'accès IPv4
Méthode 1 : à l'aide d'un éditeur de texte
Méthode 2 : à l'aide de numéros d'ordre
Modification des listes de contrôle d'accès
nommées standard
Vérification des listes de contrôle d'accès
Les statistiques des listes de contrôle
d'accès
Sécurisation des ports VTY à l'aide d'une liste de contrôle d'accès IPv4 standard
La commande access-class
 La commande access-class configurée en mode de configuration de
ligne limite les connexions entrantes et sortantes entre un VTY spécifique
(vers un appareil Cisco) et les adresses renseignées dans une liste de
contrôle d'accès.
Sécurisation des ports VTY à l'aide d'une liste de contrôle d'accès IPv4 standard
Vérification de la sécurité du port VTY
7.3 Dépannage des listes
de contrôle d'accès
Traitement des paquets avec les listes de contrôle d'accès
L'énoncé deny any implicite
 Au moins une ACE d'autorisation doit être configurée dans toute liste de contrôle d'accès.
Sinon, tout le trafic est bloqué.
 Pour le réseau sur la figure, l'application de la liste de contrôle d'accès 1 ou 2 à l'interface
S0/0/0 de R1 vers la sortie aura le même effet.
L'ordre des entrées ACE dans une liste de
contrôle d'accès
L'ordre des entrées ACE dans une liste de
contrôle d'accès (suite)
Cisco IOS réorganise les listes de contrôle
d'accès standard
Notez que les instructions figurent dans un ordre différent de celui dans lequel elles ont
été saisies.
Cisco IOS réorganise les listes de contrôle
d'accès standard (suite)
L'ordre dans lequel les ACE standard figurent correspond à la séquence qu'IOS utilise
pour traiter la liste.
Processus de routage et listes de contrôle
d'accès
 À l'entrée d'une trame dans l'interface, le routeur vérifie si l'adresse de couche 2 de
destination correspond à la sienne ou s'il s'agit d'une trame de diffusion.
 Si l'adresse de la trame est acceptée, les informations sur la trame sont éliminées et le
routeur recherche une liste de contrôle d'accès sur l'interface d'entrée.
 Le cas échéant, le paquet est vérifié pour déceler des correspondances avec les
instructions de la liste.
 Si le paquet correspond à une instruction, il est autorisé ou refusé.
 Si le paquet est accepté, il est ensuite comparé aux entrées de la table de routage afin de
déterminer l'interface de destination.
 S'il existe une entrée de table de routage pour la destination, le paquet est alors transmis
à l'interface sortante. Dans le cas contraire, le paquet est abandonné.
 Le routeur vérifie ensuite si l'interface sortante possède une liste de contrôle d'accès. Le
cas échéant, le paquet est vérifié pour déceler des correspondances avec les instructions
de la liste. Si le paquet correspond à une instruction, il est autorisé ou refusé.
 En l'absence d'une liste de contrôle d'accès ou si le paquet est autorisé, ce dernier est
encapsulé dans le nouveau protocole de couche 2 et acheminé par l'interface jusqu'au
périphérique suivant.
Erreurs fréquentes liées aux listes de contrôle d'accès IPv4 standard
Dépannage de listes de contrôle d'accès
IPv4 standard – Exemple 1
IPv4 standard – Exemple 1 (suite)
Politique de sécurité : le réseau 192.168.11.0/24 ne doit pas être
autorisé à accéder au réseau 192.168.10.0/24.
La liste de contrôle d'accès 20 est appliquée à une mauvaise interface et
dans la mauvaise direction. Tout le trafic en provenance de
192.168.11.0/24 est refusé en entrée via l'interface G0/1.
Problème
Politique de
sécurité : seul PC1
est autorisé à
bénéficier de l'accès
à distance SSH à R1.
Solution
Politique de
sécurité : seul PC1
est autorisé à
bénéficier de l'accès
à distance SSH à R1.
7.4 Résumé
Synthèse du chapitre
Synthèse
génériques
• Configurer des listes de contrôle d'accès IPv4 standard pour filtrer le trafic
afin de répondre aux besoins du réseau
standard
Section 7.1
Nouveaux termes/commandes
 access-list  Listes de contrôle d'accès
access-list-number sortantes
permit address_ip
wildcard_mask  Listes de contrôle d'accès
standard
 any
 Listes de contrôle d'accès
 Bit de masque étendues
générique 0
 Masque générique
 Bit de masque
générique 1
 Entrées de contrôle
d'accès (ACE)
 Filtrage des paquets
 host
 Liste de contrôle d'accès
(ACL)
 Listes de contrôle
d'accès entrantes
Section 7.2
Nouveaux termes/commandes
 access-class  ip access-list
access-list-number standard name
{ in | out }
 no access-list
 access-list access- access-list-number
list-number { deny
 show access-lists
| permit | remark }
source [ source-
wildcard ] [ log ]
 clear access-list
counters
 ip access-
group {access-list-
number | access-
list-name} { in |
out }

RSE6 Instructor Materials Chapter7 ACL

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

RSE6 Instructor Materials Chapter7 ACL

Transféré par

Droits d'auteur :

Formats disponibles

Supports du formateur

CCNA Routing and Switching,

2. Présentation en classe pour le formateur

Remarque : retirez le guide de planification de cette présentation

 Les bonnes pratiques du monde entier relatives au programme

 Si vous souhaitez partager des plans de cours ou des ressources,

Routing and Switching Essentials v6.0

7.2 Listes de contrôle d'accès IPv4 standard

7.3 Dépannage des listes de contrôle d'accès

 Le calcul des masques génériques peut être complexe. La méthode

Vous aimerez peut-être aussi