12.3.4 – Packet Tracer – Démonstration du fonctionnement des listes de contrôle d’accès

0

12.3.4 – Packet Tracer – Démonstration de la liste de contrôle d’accès

Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur.

Objectifs

Partie 1 : vérification de la connectivité locale et test de la liste de contrôle d’accès

Partie 2 : suppression de la liste de contrôle d’accès et répétition du test

Contexte

Dans cet exercice, vous allez observer comment une liste de contrôle d’accès peut être utilisée pour empêcher une requête ping d’atteindre les hôtes sur des réseaux distants. Après le retrait de la liste de contrôle d’accès de la configuration, les requêtes ping aboutiront.

Instructions

Partie 1 : Vérification de la connectivité locale et test de la liste de contrôle
d’accès

Étape 1: Envoyez une requête ping au réseau local pour vérifier la connectivité.

a. À partir de l’invite de commande de PC1, envoyez une requête ping à PC2.

b. À partir de l’invite de commande de PC1, envoyez une requête ping à PC3.

Pourquoi les requêtes ping ont-elles abouti?

Parce que les couches 1 à 3 sont entièrement fonctionnelles et qu’aucune politique ne filtre actuellement les messages ICMP entre les deux réseaux locaux.

Étape 2: Envoyez une requête ping aux périphériques des réseaux distants pour tester le fonctionnement des listes de contrôle d’accès.

a. À partir de l’invite de commande de PC1, envoyez une requête ping à PC4.

b. À partir de l’invite de commande de PC1, envoyez une requête ping à DNS Server.

Pourquoi les requêtes ping ont-elles échoué ? (Conseil : utilisez le mode de simulation ou afficher les configurations des routeurs pour élucider la question.)

Les pings échouent car R1 est configuré avec une ACL pour empêcher tout ping de quitter l’interface série 0/0/0.

Partie 2 : Suppression

de la liste de contrôle d’accès et répétition du test

Étape 1: Utilisez les commandes show pour examiner la configuration de la liste de contrôle d’accès.

a. Utilisez les commandes show run et show access-lists pour afficher les listes de contrôle d’accès actuellement configurées. Pour afficher rapidement les listes de contrôle d’accès actuelles, utilisez show access-lists. Entrez la commande show access-lists suivie d’un espace et d’un point d’interrogation (?) pour afficher les options disponibles:

R1# show access-lists ?
<1-199> ACL number WORD ACL name

Si vous connaissez le numéro ou le nom de la liste de contrôle d’accès, vous pouvez limiter davantage les résultats de la commande show. Toutefois, R1 a une seule liste de contrôle d’accès. Par conséquent, la commande show access-lists suffira.

R1# show access-lists
Standard IP access list 11
    10 deny 192.168.10.0 0.0.0.255
    20 permit any

La première ligne de la liste ACL bloque tous les paquets provenant du réseau 192.168.10.0/24, notamment les échos (requêtes ping) du protocole ICMP (Internet Control Message Protocol). La deuxième ligne de la liste ACL permet à tous les autres trafics IP provenant de n’importe quelle source de traverser le routeur.

b. Pour que la liste ACL influence le fonctionnement du routeur, elle doit être appliquée à une interface dans une direction définie. Dans ce scénario, la liste ACL est utilisée pour filtrer le trafic sortant d’une interface. Par conséquent, chaque trafic provenant de l’interface spécifiée du routeur R1 sera inspecté selon ACL 11.

Bien que vous puissiez voir les informations IP avec la commande show ip interface, dans certaines situations il est plus judicieux d’utiliser simplement la commande show run.

En utilisant l’une de ces commandes ou les deux, à quelle interface et vers quelle direction la liste ACL est-elle appliquée ?

Série 0/0/0, trafic sortant.

Étape 2: Supprimez la liste de contrôle d’accès 11 de la configuration.

Vous pouvez supprimer des listes de contrôle d’accès de la configuration en exécutant la commande no access list [numéro de la liste de contrôle d’accès]. La commande no access-list permet de supprimer toutes les listes ACL configurées sur le routeur. La commande no access-list [number of the ACL] permet de supprimer uniquement une liste ACL précise.

a. Sous l’interface Serial0/0/0, supprimez la liste d’accès 11 précédemment appliquée à l’interface comme un filtre sortant :

R1(config)# int se0/0/0
R1(config-if)#no ip access-group 11 out

b. En mode de configuration globale, supprimez la liste de contrôle d’accès en tapant la commande suivante :

R1(config)# no access-list 11

c. Vérifiez que le PC1 peut maintenant envoyer une requête ping vers le serveur DNS et vers le PC4.

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments