12.3.4 – Packet Tracer – Démonstration de la liste de contrôle d’accès
Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur.
Objectifs
Partie 1 : vérification de la connectivité locale et test de la liste de contrôle d’accès
Partie 2 : suppression de la liste de contrôle d’accès et répétition du test
Contexte
Dans cet exercice, vous allez observer comment une liste de contrôle d’accès peut être utilisée pour empêcher une requête ping d’atteindre les hôtes sur des réseaux distants. Après le retrait de la liste de contrôle d’accès de la configuration, les requêtes ping aboutiront.
Instructions
Partie 1 : Vérification de la connectivité locale et test de la liste de contrôle
d’accès
Étape 1: Envoyez une requête ping au réseau local pour vérifier la connectivité.
a. À partir de l’invite de commande de PC1, envoyez une requête ping à PC2.
b. À partir de l’invite de commande de PC1, envoyez une requête ping à PC3.
Pourquoi les requêtes ping ont-elles abouti?
Parce que les couches 1 à 3 sont entièrement fonctionnelles et qu’aucune politique ne filtre actuellement les messages ICMP entre les deux réseaux locaux.
Étape 2: Envoyez une requête ping aux périphériques des réseaux distants pour tester le fonctionnement des listes de contrôle d’accès.
a. À partir de l’invite de commande de PC1, envoyez une requête ping à PC4.
b. À partir de l’invite de commande de PC1, envoyez une requête ping à DNS Server.
Pourquoi les requêtes ping ont-elles échoué ? (Conseil : utilisez le mode de simulation ou afficher les configurations des routeurs pour élucider la question.)
Les pings échouent car R1 est configuré avec une ACL pour empêcher tout ping de quitter l’interface série 0/0/0.
Partie 2 : Suppression
de la liste de contrôle d’accès et répétition du test
Étape 1: Utilisez les commandes show pour examiner la configuration de la liste de contrôle d’accès.
a. Utilisez les commandes show run et show access-lists pour afficher les listes de contrôle d’accès actuellement configurées. Pour afficher rapidement les listes de contrôle d’accès actuelles, utilisez show access-lists. Entrez la commande show access-lists suivie d’un espace et d’un point d’interrogation (?) pour afficher les options disponibles:
R1# show access-lists ? <1-199> ACL number WORD ACL name
Si vous connaissez le numéro ou le nom de la liste de contrôle d’accès, vous pouvez limiter davantage les résultats de la commande show. Toutefois, R1 a une seule liste de contrôle d’accès. Par conséquent, la commande show access-lists suffira.
R1# show access-lists Standard IP access list 11 10 deny 192.168.10.0 0.0.0.255 20 permit any
La première ligne de la liste ACL bloque tous les paquets provenant du réseau 192.168.10.0/24, notamment les échos (requêtes ping) du protocole ICMP (Internet Control Message Protocol). La deuxième ligne de la liste ACL permet à tous les autres trafics IP provenant de n’importe quelle source de traverser le routeur.
b. Pour que la liste ACL influence le fonctionnement du routeur, elle doit être appliquée à une interface dans une direction définie. Dans ce scénario, la liste ACL est utilisée pour filtrer le trafic sortant d’une interface. Par conséquent, chaque trafic provenant de l’interface spécifiée du routeur R1 sera inspecté selon ACL 11.
Bien que vous puissiez voir les informations IP avec la commande show ip interface, dans certaines situations il est plus judicieux d’utiliser simplement la commande show run.
En utilisant l’une de ces commandes ou les deux, à quelle interface et vers quelle direction la liste ACL est-elle appliquée ?
Série 0/0/0, trafic sortant.
Étape 2: Supprimez la liste de contrôle d’accès 11 de la configuration.
Vous pouvez supprimer des listes de contrôle d’accès de la configuration en exécutant la commande no access list [numéro de la liste de contrôle d’accès]. La commande no access-list permet de supprimer toutes les listes ACL configurées sur le routeur. La commande no access-list [number of the ACL] permet de supprimer uniquement une liste ACL précise.
a. Sous l’interface Serial0/0/0, supprimez la liste d’accès 11 précédemment appliquée à l’interface comme un filtre sortant :
R1(config)# int se0/0/0 R1(config-if)#no ip access-group 11 out
b. En mode de configuration globale, supprimez la liste de contrôle d’accès en tapant la commande suivante :
R1(config)# no access-list 11
c. Vérifiez que le PC1 peut maintenant envoyer une requête ping vers le serveur DNS et vers le PC4.
Very useful