Vous êtes sur la page 1sur 6

Exercice PT 5.6.

1 : exercice dintgration des comptences Packet Tracer


Diagramme de topologie

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 6

CCNA Exploration Accs au rseau tendu : listes de contrle daccs

Exercice PT 5.6.1 : exercice dintgration des comptences Packet Tracer

Table dadressage
Priphrique Interface S0/0/0 S0/0/1 SIGE S0/1/0 Fa0/0 Fa0/1 S0/0/0 B1 Fa0/0 Fa0/1 S0/0/0 B2 Fa0/0 Fa0/1 FAI Serveur Web S0/0/0 Fa0/0 Carte rseau Adresse IP 10.1.1.1 10.1.1.5 209.165.201.2 10.1.50.1 10.1.40.1 10.1.1.2 10.1.10.1 10.1.20.1 10.1.1.6 10.1.80.1 10.1.70.1 209.165.201.1 209.165.202.129 209.165.202.130 Masque de sous-rseau 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.252

Objectifs pdagogiques
Configurer le protocole PPP avec lauthentification CHAP Configurer le routage par dfaut Configurer le routage OSPF Mettre en uvre et vrifier plusieurs stratgies de scurit de listes de contrle daccs

Prsentation
Au cours de cet exercice, vous allez faire preuve de votre capacit configurer des listes de contrle daccs qui appliquent cinq stratgies de scurit. Vous allez galement configurer le protocole PPP et le routage OSPF. Ladressage IP des priphriques est dj configur. Le mot de passe dexcution utilisateur est cisco et le mot de passe dexcution privilgi est class.

Tche 1 : configuration du protocole PPP avec lauthentification CHAP


tape 1. Configuration de la liaison entre SIGE et B1 pour utiliser lencapsulation PPP avec lauthentification CHAP Le mot de passe pour lauthentification CHAP est cisco123. tape 2. Configuration de la liaison entre SIGE et B2 pour utiliser lencapsulation PPP avec lauthentification CHAP Le mot de passe pour lauthentification CHAP est cisco123.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 6

CCNA Exploration Accs au rseau tendu : listes de contrle daccs

Exercice PT 5.6.1 : exercice dintgration des comptences Packet Tracer

tape 3. Vrification du rtablissement de la connectivit entre les routeurs SIGE doit tre en mesure denvoyer une requte ping B1 et B2. Quelques minutes peuvent tre ncessaires pour que les interfaces se rtablissent. Pour acclrer le processus, vous pouvez alterner entre les modes Realtime (temps rel) et Simulation. Une autre solution permettant de contourner ce comportement de Packet Tracer consiste utiliser les commandes shutdown et no shutdown sur les interfaces. Remarque : il est possible que les interfaces se dsactivent de faon alatoire pendant lexercice cause dun bogue de Packet Tracer. En principe, linterface se rtablit seule aprs quelques secondes dattente. tape 4. Vrification des rsultats Votre taux de ralisation doit tre de 29 %. Si ce nest pas le cas, cliquez sur Check Results pour identifier les composants ncessaires qui ne sont pas complets.

Tche 2 : configuration du routage par dfaut


tape 1. Configuration du routage par dfaut de SIGE vers FAI Configurez une route par dfaut sur SIGE en utilisant largument exit interface pour envoyer tout le trafic par dfaut vers FAI. tape 2. Test de la connectivit au serveur Web SIGE doit tre en mesure denvoyer une requte ping au serveur Web ladresse 209.165.202.130 tant que la requte ping provient de linterface Serial0/1/0. tape 3. Vrification des rsultats Votre taux de ralisation doit tre de 32 %. Si ce nest pas le cas, cliquez sur Check Results pour identifier les composants ncessaires qui ne sont pas complets.

Tche 3 : configuration du routage OSPF


tape 1. Configuration dOSPF sur SIGE Configurez OSPF laide de lID de processus 1. Annoncez tous les sous-rseaux lexception du rseau 209.165.201.0. Transmettez les informations de route par dfaut aux voisins OSPF. Dsactivez les mises jour dOSPF vers FAI et vers les rseaux locaux de SIGE.

tape 2. Configuration dOSPF sur B1 et B2 Configurez OSPF laide de lID de processus 1. Sur chaque routeur, configurez les sous-rseaux adquats. Dsactivez les mises jour dOSPF vers les rseaux locaux.

tape 3. Test de la connectivit dans lensemble du rseau Le rseau doit maintenant avoir une connectivit totale de bout en bout. Chaque priphrique doit tre en mesure denvoyer une requte ping tout autre priphrique, y compris au serveur Web ladresse 209.165.202.130. tape 4. Vrification des rsultats Votre taux de ralisation doit tre de 76 %. Si ce nest pas le cas, cliquez sur Check Results pour identifier les composants ncessaires qui ne sont pas complets.
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco. Page 3 sur 6

CCNA Exploration Accs au rseau tendu : listes de contrle daccs

Exercice PT 5.6.1 : exercice dintgration des comptences Packet Tracer

Tche 4 : mise en uvre de plusieurs stratgies de scurit de listes de contrle daccs


tape 1. Mise en uvre de la stratgie de scurit numro 1 Empchez le rseau 10.1.10.0 daccder au rseau 10.1.40.0. Tout autre accs 10.1.40.0 est autoris. Configurez la liste de contrle daccs sur SIGE en utilisant la liste de contrle daccs numro 10. Utiliser une liste de contrle daccs standard ou tendue ? _______________ quelle interface appliquer la liste de contrle daccs ? _________________ Dans quel sens appliquer la liste de contrle daccs ? ___________________

____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ tape 2. Vrification de la mise en uvre de la stratgie de scurit numro 1 Une requte ping de PC5 PC1 doit chouer. tape 3. Vrification des rsultats Votre taux de ralisation doit tre de 80 %. Si ce nest pas le cas, cliquez sur Check Results pour identifier les composants ncessaires qui ne sont pas complets. tape 4. Mise en uvre de la stratgie de scurit numro 2 Lhte 10.1.10.5 nest pas autoris accder lhte 10.1.50.7. Tous les autres htes sont autoriss accder 10.1.50.7. Configurez la liste de contrle daccs sur B1 en utilisant la liste de contrle daccs numro 115. Utiliser une liste de contrle daccs standard ou tendue ? _______________ quelle interface appliquer la liste de contrle daccs ? _________________

Dans quel sens appliquer la liste de contrle daccs ? ___________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ tape 5. Vrification de la mise en uvre de la stratgie de scurit numro 2 Une requte ping de PC5 PC3 doit chouer.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 6

CCNA Exploration Accs au rseau tendu : listes de contrle daccs

Exercice PT 5.6.1 : exercice dintgration des comptences Packet Tracer

tape 6. Vrification des rsultats Votre taux de ralisation doit tre de 85 %. Si ce nest pas le cas, cliquez sur Check Results pour identifier les composants ncessaires qui ne sont pas complets. tape 7. Mise en uvre de la stratgie de scurit numro 3 Les htes 10.1.50.1 10.1.50.63 ne disposent pas dun accs Web au serveur Intranet ladresse 10.1.80.16. Tout autre accs est autoris. Configurez la liste de contrle daccs sur le routeur adquat en utilisant la liste de contrle daccs numro 101. Utiliser une liste de contrle daccs standard ou tendue ? _______________ Sur quel routeur configurer la liste de contrle daccs ? _________________ quelle interface appliquer la liste de contrle daccs ? _________________

Dans quel sens appliquer la liste de contrle daccs ? __________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ tape 8. Vrification de la mise en uvre de la stratgie de scurit numro 3 Pour tester cette stratgie, cliquez sur PC3, puis sur longlet Desktop, puis sur Web Browser. Pour lURL, saisissez ladresse IP du serveur Intranet, 10.1.80.16, puis appuyez sur Entre. Aprs quelques secondes, vous devez recevoir un message de dpassement de dlai dattente de la requte. PC2 et tout autre PC du rseau doivent tre en mesure daccder au serveur Intranet. tape 9. Vrification des rsultats Votre taux de ralisation doit tre de 90 %. Si ce nest pas le cas, cliquez sur Check Results pour identifier les composants ncessaires qui ne sont pas complets. tape 10. Mise en uvre de la stratgie de scurit numro 4 Utilisez le nom NO_FTP pour configurer une liste de contrle daccs nomme qui empche le rseau 10.1.70.0/24 daccder aux services FTP (port 21) du serveur de fichiers ladresse 10.1.10.2. Tout autre accs doit tre autoris. Remarque : les noms sont sensibles la casse. Utiliser une liste de contrle daccs standard ou tendue ? _______________ Sur quel routeur configurer la liste de contrle daccs ? __________________ quelle interface appliquer la liste de contrle daccs ? _________________

Dans quel sens appliquer la liste de contrle daccs ? ___________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________
Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco. Page 5 sur 6

CCNA Exploration Accs au rseau tendu : listes de contrle daccs

Exercice PT 5.6.1 : exercice dintgration des comptences Packet Tracer

tape 11. Vrification des rsultats Packet Tracer ne prenant pas en charge le test de laccs FTP, vous ne pourrez pas vrifier cette stratgie. Cependant, votre taux de ralisation doit tre de 95 %. Si ce nest pas le cas, cliquez sur Check Results pour identifier les composants ncessaires qui ne sont pas complets. tape 12. Mise en uvre de la stratgie de scurit numro 5 FAI reprsentant la connectivit Internet, configurez une liste de contrle daccs nomme appele FIREWALL dans lordre suivant : 1. Autorisez uniquement les rponses ping entrantes en provenance du FAI et de toute source au-del du FAI. 2. Autorisez uniquement les sessions TCP tablies partir du FAI et de toute source au-del du FAI. 3. Bloquez explicitement tout autre accs entrant partir du FAI et de toute source au-del du FAI. Utiliser une liste de contrle daccs standard ou tendue ? _______________ Sur quel routeur configurer la liste de contrle daccs ? __________________ quelle interface appliquer la liste de contrle daccs ? _________________

Dans quel sens appliquer la liste de contrle daccs ? ___________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ tape 13. Vrification de la mise en uvre de la stratgie de scurit numro 5 Pour tester cette stratgie, tout PC doit tre en mesure denvoyer une requte ping FAI ou au serveur Web. Cependant, ni FAI ni le serveur Web ne doivent pouvoir envoyer de requte ping SIGE ou tout autre priphrique au-del de la liste de contrle daccs FIREWALL. tape 14. Vrification des rsultats Votre taux de ralisation doit tre de 100%. Si ce nest pas le cas, cliquez sur Check Results pour identifier les composants ncessaires qui ne sont pas complets.

Copyright sur lintgralit du contenu 1992 2007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 6