Beruflich Dokumente
Kultur Dokumente
Table dadressage
Priphrique
R1
R2
R3
Interface
Adresse IP
Masque de
sous-rseau
Passerelle
par dfaut
Fa0/0
192.168.10.1
255.255.255.0
N/D
Fa0/1
192.168.11.1
255.255.255.0
N/D
S0/0/0
10.1.1.1
255.255.255.252
N/D
Fa0/0
192.168.20.1
255.255.255.0
N/D
S0/0/0
10.1.1.2
255.255.255.252
N/D
S0/0/1
10.2.2.1
255.255.255.252
N/D
Lo0
209.165.200.225
255.255.255.224
N/D
Fa0/0
192.168.30.1
255.255.255.0
N/D
10.2.2.2
255.255.255.252
N/D
S0/0/1
Table dadressage la page suivante
Page 1 sur 6
CCNA Exploration
Accs au rseau tendu : listes de contrle daccs
VLAN 1
192.168.10.2
255.255.255.0
192.168.10.1
Comm2
VLAN 1
192.168.11.2
255.255.255.0
192.168.11.1
Comm3
VLAN 1
192.168.30.2
255.255.255.0
192.168.30.1
PC1
Carte rseau
192.168.10.10
255.255.255.0
192.168.10.1
PC2
Carte rseau
192.168.11.10
255.255.255.0
192.168.11.1
PC3
Carte rseau
192.168.30.10
255.255.255.0
192.168.30.1
Serveur Web
Carte rseau
192.168.20.254
255.255.255.0
192.168.20.1
Objectifs pdagogiques
Contrler laccs aux lignes vty avec une liste de contrle daccs standard
Prsentation
Au cours de cet exercice, vous allez concevoir, appliquer, tester et dpanner des configurations de
listes daccs.
Configurez les adresses IP et les masques sur tous les priphriques. Frquence dhorloge
64000.
Activez le protocole OSPF en utilisant lID de processus 1 sur tous les routeurs pour tous
les rseaux.
Page 2 sur 6
CCNA Exploration
Accs au rseau tendu : listes de contrle daccs
Page 3 sur 6
CCNA Exploration
Accs au rseau tendu : listes de contrle daccs
Au cours de cette tche, vous allez configurer une liste de contrle daccs tendue sur R1 qui
empche le trafic en provenance de tout priphrique du rseau 192.168.10.0 /24 daccder lhte
209.165.200.255. Cette liste de contrle daccs sapplique en sortie de linterface srie 0/0/0 de R1.
tape 1. Configuration dune liste de contrle daccs tendue nomme
En mode de configuration globale, crez une liste de contrle daccs tendue nomme appele extend-1.
R1(config)#ip access-list extended extend-1
Remarquez que linvite du routeur change pour indiquer que vous tes dsormais en mode de
configuration de liste de contrle daccs tendue. partir de cette invite, ajoutez les instructions
ncessaires au blocage du trafic partant du rseau 192.168.10.0 /24 vers lhte. Utilisez le mot cl
host lorsque vous dfinissez la destination.
R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225
Noubliez pas que le refus global implicite ( deny all ) bloque tout autre trafic sans linstruction
supplmentaire permit. Ajoutez linstruction permit pour vous assurer quaucun autre trafic nest bloqu.
R1(config-ext-nacl)#permit ip any any
tape 2. Application de la liste de contrle daccs
Avec les listes de contrle daccs standard, la mthode recommande consiste placer la liste de
contrle daccs le plus prs possible de la destination. Les listes de contrle daccs tendues se
trouvent gnralement prs de la source. Placez la liste de contrle daccs extend-1 sur linterface
srie afin de filtrer le trafic sortant.
R1(config)#interface serial 0/0/0
R1(config-if)#ip access-group extend-1 out
tape 3. Test de la liste de contrle daccs
partir de PC1 ou de tout autre priphrique du rseau 192.168.10.0 /24, envoyez une requte ping
linterface de bouclage sur R2. Ces requtes ping doivent chouer car tout le trafic en provenance
du rseau 192.168.10.0 /24 est filtr lorsque la destination est 209.165.200.225. Si la destination est
nimporte quelle autre adresse, les requtes ping doivent aboutir. Assurez-vous que cest bien le cas
en envoyant une requte ping R3 partir du priphrique rseau 192.168.10.0/24.
Pour vrifier encore cela, lancez la commande show ip access-list sur R1 aprs lenvoi de la requte ping.
Des correspondances doivent exister pour les deux rgles de la liste de contrle daccs. En effet, la
requte ping de PC1 vers linterface de bouclage de R2 a t refuse tandis que la requte ping vers R3
a t autorise.
R1#show ip access-list
Extended IP access list extend-1
deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 match(es))
permit ip any any (4 match(es))
Tche 4 : contrle de laccs aux lignes vty laide dune liste de contrle daccs standard
Il est recommand de restreindre laccs aux lignes vty du routeur pour une administration distance.
Appliquez une liste de contrle daccs aux lignes vty pour restreindre laccs des htes ou des
rseaux spcifiques. Au cours de cette tche, vous allez configurer une liste de contrle daccs standard
pour permettre des htes de deux rseaux daccder aux lignes vty. Tous les autres htes sont rejets.
Vrifiez que vous pouvez tablir une connexion Telnet vers R2 partir de R1 et de R3.
Page 4 sur 6
CCNA Exploration
Accs au rseau tendu : listes de contrle daccs
______________________________________________________________________
______________________________________________________________________
Tche 5 : dpannage des listes de contrle daccs
Lorsquune liste de contrle daccs nest pas correctement configure ou est applique une interface
errone ou dans la mauvaise direction, il est possible que le trafic rseau en soit affect de manire
indsirable.
tape 1. Test de la liste de contrle daccs
Au cours dune tche prcdente, vous avez cr et appliqu une liste de contrle daccs standard
nomme sur R3. Pour afficher la liste de contrle daccs et son emplacement, utilisez la commande
show running-config. Vous devez voir quune liste de contrle daccs nomme std-1 a t configure
et applique en entre sur Serial 0/0/1. Cette liste de contrle daccs a t cre pour empcher tout
trafic rseau avec une adresse source du rseau 192.168.11.0/24 daccder au rseau local sur R3.
Pour supprimer la liste de contrle daccs, passez en mode de configuration dinterface pour
Serial 0/0/1 sur R3.
R3(config)#interface serial 0/0/1
Page 5 sur 6
CCNA Exploration
Accs au rseau tendu : listes de contrle daccs
Page 6 sur 6