Close Menu
  • CCNA 1 – ITN v7
  • CCNA 2 – SRWE v7
  • CCNA 3 – ENSA v7
  • Banque de questions
Facebook X (Twitter) Instagram
CCNA Réponses – Questions et réponses aux ExamensCCNA Réponses – Questions et réponses aux Examens
  • Banque de questions
  • Contact
Subscribe
  • Home
  • CCNA 1
  • CCNA 2
  • CCNA 3
  • CyberOps Associate
CCNA Réponses – Questions et réponses aux ExamensCCNA Réponses – Questions et réponses aux Examens

5.4.13 – Packet Tracer – Configurer les listes de contrôle d’accès IPv4 étendues – Scénario 2

04/11/2022Updated:05/07/2023Aucun commentaire CCNA v7 #3
Copy Link Facebook Twitter WhatsApp Telegram Pinterest LinkedIn Email Reddit VKontakte

5.4.13 – Packet Tracer – Configurer les listes de contrôle d’accès IPv4 étendues – Scénario 2

Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur.

Table d’adressage

Appareil Interface Adresse IP Masque de sous-réseau Passerelle par défaut
RT1 G0/0 172.31.1.126 255.255.255.224 N/A
S0/0/0 209.165.1.2 255.255.255.252
PC1 Carte réseau 172.31.1.101 255.255.255.224 172.31.1.126
PC2 Carte réseau 172.31.1.102 255.255.255.224 172.31.1.126
PC3 Carte réseau 172.31.1.103 255.255.255.224 172.31.1.126
Serveur 1 Carte réseau 64.101.255.254 255.254.0.0 64.100.1.1
Serveur 2 Carte réseau 64.103.255.254 255.254.0.0 64.102.1.1

Objectifs

Partie 1: Configurer une liste de contrôle d’accès ACL étendue nommée
Partie 2: Appliquer et vérifier la liste de contrôle d’accès ACL étendue

Contexte/scénario

Dans ce scénario, certains appareils du LAN sont autorisés à accéder à différents services sur des serveurs sur Internet.

Instructions

Partie 1: Configurer une liste de contrôle d’accès ACL étendue nommée

Configurez une liste de contrôle d’accès nommée pour implémenter la stratégie suivante:

  • Bloquer les accès HTTP et HTTPS de PC1 au Serveur 1 et Serveur 2. Les serveurs sont dans le cloud et vous êtes la seule personne qui connaît leur adresse IP.
  • Bloquer l’accès FTP de PC2 au Serveur 1 et Serveur 2.
  • Bloquez l’accès ICMP de PC3 au Serveur 1 et Serveur 2.

Remarque: À des fins d’évaluation, vous devez configurer les instructions dans l’ordre indiqué dans les étapes suivantes.

Étape 1: Refusez à PC1 l’accès aux services HTTP et HTTPS sur Serveur1 et Serveu` r2.

a. Créez une liste de contrôle d’accès IP nommée qui empêchera PC1 d’accéder aux services HTTP et HTTPS de Serveur 1 et Serveur 2. Quatre instructions de contrôle d’accès sont requises.

Quelle est la commande pour commencer la configuration d’une liste d’accès étendue avec le nom ACL?

ip access-list extended ACL

b. Commencez la configuration d’ACL avec une déclaration qui refuse l’accès de PC1 au Serveur 1, uniquement pour HTTP (port 80). Consultez le tableau d’adressage pour l’adresse IP de PC1 et Serveur 1.

RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.101.255.254 eq 80

c. Ensuite, saisissez la déclaration qui refuse l’accès du PC1 au Serveur 1, uniquement pour HTTPS (port 443).

RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.101.255.254 eq 443

d. Saisissez la déclaration qui refuse l’accès du PC1 au Serveur 2, uniquement pour HTTP. Consultez la table d’adressage pour l’adresse IP de Serveur 2.

RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.103.255.254 eq 80

e. Saisissez la déclaration qui refuse l’accès du PC1 au Serveur 2, uniquement pour HTTP.

RT1(config-ext-nacl)# deny tcp host 172.31.1.101 host 64.103.255.254 eq 443
Étape 2: Refusez à PC2 l’accès aux services FTP sur Serveur 1 et Serveur 2.

Consultez la table d’adressage pour l’adresse IP de PC2.

a. Saisissez la déclaration qui refuse l’accès du PC2 au Serveur 1, uniquement pour FTP (port 21 seulement).

RT1(config-ext-nacl)# deny tcp host 172.31.1.102 host 64.101.255.254 eq 21

b. Saisissez la déclaration qui refuse l’accès du PC2 au Serveur 2, uniquement pour FTP (port 21 seulement).

RT1(config-ext-nacl)# deny tcp host 172.31.1.102 host 64.103.255.254 eq 21
Étape 3: Empêchez PC3 d’envoyer une requête ping à Serveur 1 et Serveur 2.

Consultez la table d’adressage pour l’adresse IP de PC3.

a. Saisissiez la déclaration qui refuse l’accès ICMP de PC3 vers Serveur 1.

RT1(config-ext-nacl)# deny icmp host 172.31.1.103 host 64.101.255.254

b. Saisissiez la déclaration qui refuse l’accès ICMP de PC3 vers Serveur 2.

RT1(config-ext-nacl)# deny icmp host 172.31.1.103 host 64.103.255.254
Étape 4: Autorisez tout autre trafic IP.

Par défaut, une liste d’accès refuse tout trafic qui ne correspond à aucune règle de la liste. Saisissiez la commande qui autorise tout le trafic qui ne correspond à aucune des instructions de liste d’accès configurées.

RT1(config-ext-nacl)# permit ip any any
Étape 5: Vérifiez la configuration de la liste d’accès avant de l’appliquer à une interface.

Avant d’appliquer une liste d’accès, la configuration doit être vérifiée pour s’assurer qu’il n’y a pas d’erreurs typographiques et que les déclarations sont dans le bon ordre. Pour afficher la configuration actuelle de la liste d’accès, utilisez la commande show access-lists ou show running-config .

RT1# show access-lists
Extended IP access list ACL
      10 deny tcp host 172.31.1.101 host 64.101.255.254 eq www
      20 deny tcp host 172.31.1.101 host 64.101.255.254 eq 443
      30 deny tcp host 172.31.1.101 host 64.103.255.254 eq www
      40 deny tcp host 172.31.1.101 host 64.103.255.254 eq 443
      50 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp
      60 deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp
      70 deny icmp host 172.31.1.103 host 64.101.255.254
      80 deny icmp host 172.31.1.103 host 64.103.255.254
      90 permit ip any any

RT1# show running-config | begin access-list
ip access-list extended ACL
      deny tcp host 172.31.1.101 host 64.101.255.254 eq www
      deny tcp host 172.31.1.101 host 64.101.255.254 eq 443
      deny tcp host 172.31.1.101 host 64.103.255.254 eq www
      deny tcp host 172.31.1.101 host 64.103.255.254 eq 443
      deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp
      deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp
      deny icmp host 172.31.1.103 host 64.101.255.254
      deny icmp host 172.31.1.103 host 64.103.255.254
      permit ip any any

Remarque: La différence entre la sortie de la commande show access-lists et la sortie de la commande show running-config est que la commande show access-lists inclut les numéros de séquence attribués à la commande instructions de configuration. Ces numéros de séquence permettent la modification, la suppression et l’insertion de lignes uniques dans la configuration de la liste d’accès. Les numéros de séquence définissent également l’ordre de traitement des instructions de contrôle d’accès individuelles, en commençant par le numéro de séquence le plus bas.

Partie 2: Appliquer et vérifier la liste de contrôle d’accès étendue

Le trafic à filtrer provient du réseau 172.31.1.96/27 et est à destination des réseaux distants. L’emplacement approprié de la liste de contrôle d’accès dépend également de la relation du trafic par rapport à RT1. En général, les listes d’accès étendues doivent être placées sur l’interface la plus proche de la source du trafic.

Étape 1: Appliquez la liste de contrôle d’accès à l’interface appropriée dans la bonne direction.

Remarque: Dans un réseau opérationnel réel, une ACL non testée ne doit jamais être appliquée à une interface active. Ce n’est pas une bonne pratique et peut perturber le fonctionnement du réseau.

Sur quelle interface l’ACL nommée doit-elle être appliquée et dans quelle direction?

Interface Gigabit Ethernet 0/0, en.

Passez en mode de configuration de commandes pour appliquer la liste de contrôle d’accès à l’interface.

RT1(config)# interface g0/0
RT1(config-f)# ip access-group ACL in
Étape 2: Testez l’accès pour chaque PC.

a. Accédez aux sites web de Serveur 1 et Serveur 2 en utilisant le navigateur web de PC1. Utilisez les protocoles HTTP et HTTPS. Utilisez la commande show access-lists pour afficher l’instruction liste d’accès autorisée ou refusée au trafic. La sortie de la commande show access-lists affiche le nombre de paquets correspondant à chaque instruction depuis la dernière fois que les compteurs ont été effacés ou que le routeur a redémarré.

Remarque: Pour effacer les compteurs d’une liste d’accès, utilisez la commande clear access-list counters .

RT1#show ip access-lists
Extended IP access list ACL
10 deny tcp host 172.31.1.101 host 64.101.255.254 eq www (12 match(es))
20 deny tcp host 172.31.1.101 host 64.101.255.254 eq 443 (12 match(es))
30 deny tcp host 172.31.1.101 host 64.103.255.254 eq www
40 deny tcp host 172.31.1.101 host 64.103.255.254 eq 443
50 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp
60 deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp
70 deny icmp host 172.31.1.103 host 64.101.255.254
80 deny icmp host 172.31.1.103 host 64.103.255.254
90 permit ip any any

b. Accédez aux services FTP de Serveur 1 et Serveur 2 en utilisant PC1. Le nom d’utilisateur et le mot de passe sont cisco.

c. Envoyez une requête ping à Serveur 1 et Serveur 2 depuis PC1.

d. Répétez les étapes 2a à 2c avec PC2 et PC3 pour vérifier le bon fonctionnement de la liste d’accès.

Configuration de la réponse

Routeur RT1

enable
configure terminal
ip access-list extended ACL
 deny tcp host 172.31.1.101 host 64.101.255.254 eq www
 deny tcp host 172.31.1.101 host 64.101.255.254 eq 443
 deny tcp host 172.31.1.101 host 64.103.255.254 eq www
 deny tcp host 172.31.1.101 host 64.103.255.254 eq 443
 deny tcp host 172.31.1.102 host 64.101.255.254 eq ftp
 deny tcp host 172.31.1.102 host 64.103.255.254 eq ftp
 deny icmp host 172.31.1.103 host 64.101.255.254
 deny icmp host 172.31.1.103 host 64.103.255.254
 permit ip any any
interface GigabitEthernet0/0
 ip access-group ACL in
end
Icône

5.4.13 - Packet Tracer - Configurer les listes de contrôle d'accès IPv4 étendues - Scénario 2 .pka

1 fichier·s 659.33 KB
Télécharger
Previous Article5.4.12 – Packet Tracer – Configurer les listes de contrôle d’accès IPv4 étendues – Scenario 1
Next Article 5.5.1 – Packet Tracer – Mise en œuvre de l’ACL IPv4

Articles liés

14.7.2 Module Questionnaire – Automatisation des réseaux

31/12/2024

13.6.3 Module Questionnaire – Virtualisation des réseaux

31/12/2024

12.6.4 Module Questionnaire – Dépannage réseau

31/12/2024
S’abonner
Notification pour
guest

guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
Examen Checkpoint CCNA v7
  • CCNA 1
  • CCNA 2
  • CCNA 3
Modules 1 – 3 Examen Checkpoint: Examen sur la connectivité des réseaux de base et les communications
Modules 4 – 7 Examen Checkpoint: Examen sur les concepts d’Ethernet
Modules 8 – 10 Examen Checkpoint: Examen sur la communication entre les réseaux
Modules 11 – 13 Examen Checkpoint: Examen sur l’adressage IP
Modules 14 – 15 Examen Checkpoint: Examen sur les communications des applications du réseau
Modules 16 – 17 Examen Checkpoint: Examen sur la création et la sécurisation d’un réseau de petit taille
ITNv7 Practice Final Exam – Examen blanc final
CCNA 1 Examen final du cours ITNv7
Modules 1 - 4 Examen Checkpoint: Examen des Concepts de Commutation, des VLAN et du Routage Inter-VLAN
Modules 5 - 6 Examen Checkpoint: Examen de Réseaux Redondants
Modules 7 - 9 Examen Checkpoint: Examen des réseaux disponibles et fiables
Modules 10 - 13 Examen Checkpoint: Examen de sécurité de couche 2 et de réseau sans fil (WLAN)
Modules 14 - 16 Examen Checkpoint: Concepts de Routage et Examen de Configuration
SRWEv7 Practice Final Exam – Examen blanc final
CCNA 2 Examen final du cours SRWEv7
Modules 1 – 2 Examen Checkpoint: Concepts et examen de configuration de l’OSPF
Modules 3 – 5 Examen Checkpoint: Examen de la sécurité des réseaux
Modules 6 – 8 Examen Checkpoint: Examen des concepts WAN
Modules 9 – 12 Examen Checkpoint: Examen d’optimisation, de surveillance et de dépannage des réseaux
Modules 13 – 14 Examen Checkpoint: Examen des technologies de réseau émergentes
ENSAv7 Practice Final Exam – Examen blanc final
CCNA 3 Examen final du cours ENSAv7
Examen blanc de certification CCNA (200-301)
© 2025 ccnareponses.
  • Banque de questions
  • A Propos
  • Politique de confidentialité
  • Copyright policy
  • Contact

Type above and press Enter to search. Press Esc to cancel.

Défiler vers le haut
wpDiscuz