Amri Najeh
Compte Rendu Lab 5.5.1
Étape 1: Vérifiez la connectivité dans le nouveau réseau d'entreprise :
Tout d'abord, testez la connectivité sur le réseau tel qu'il est avant de configurer les ACL. Tous les
hôtes doivent pouvoir effectuer un ping sur tous les autres hôtes.
Étape 2: Configurez les ACL standard et étendues selon les exigences :
Configurez les ACL pour qu'ils répondent aux exigences suivantes:
Directives importantes:
o N' utilisez pas d'instructions de refus explicite à la fin de vos listes de contrôle
d'accès.
o Utiliser des raccourcis (hôte et tout) chaque fois que possible.
o Écrivez vos instructions ACL pour répondre aux exigences dans l'ordre dans lequel
elles sont spécifiées ici.
o Placez vos ACL dans l'emplacement et la direction les plus efficaces.
Exigences ACL 1 :
o Créer ACL 101.
o Bloquer explicitement l'accès FTP au serveur Web d'entreprise à partir d'Internet.
o Aucun trafic ICMP à partir d'Internet ne doit être autorisé à des hôtes sur le réseau
local 1 du HQ
o Autoriser tout autre trafic.
Exigences ACL 2 :
o Utiliser le numéro ACL 111
o Aucun hôte sur le réseau local 1 du HQ ne doit pouvoir accéder au serveur de filiale.
o Tout autre trafic devrait être autorisé.
� Exigences ACL 3 :
o Créer une liste de contrôle d'accès standard nommée. Utilisez le nom vty_block. Le
nom de votre ACL doit correspondre exactement à ce nom.
o Seules les adresses du réseau LAN 2 du HQ doivent pouvoir accéder aux lignes VTY
du routeur HQ.
Exigences ACL 4 :
o Créez une liste ACL étendue nommée branch_to_hq. Le nom de votre ACL doit
correspondre exactement à ce nom.
o Aucun hôte sur l'un ou l'autre des réseaux locaux de la filiale ne devrait être autorisé
à accéder au réseau local 1 HQ. Utilisez une instruction de liste d'accès pour
chacun des réseaux locaux de branche.
o Tout autre trafic devrait être autorisé.
Étape 3: Vérifiez l'opération ACL :
a. Effectuez les tests de connectivité suivants entre les périphériques de la topologie.
Notez s'ils réussissent ou non.
Remarque: Utilisez la commandeshow ip access-lists pour vérifier l'opération ACL.
Utilisez la commande clear access list counters pour réinitialiser les compteurs de
correspondance.
Questions:
Envoyez une requête ping depuis PC Filiale vers Serveur Web d'Entreprise A-t-elle
abouti? Expliquez votre réponse.
Le ping a réussi car il était autorisé par l’ACL
Quelle instruction ACL a permis ou refusé le ping entre ces deux périphériques?
Indiquez le nom ou le numéro de la liste d'accès, le routeur sur lequel il a été appliqué
et la ligne spécifique correspondant au trafic.
La dernière ligne de l'ACL branch_to_HQ sur le routeur de la succursale est
une règle qui autorise tout le trafic IP provenant de n'importe quelle source
vers n'importe quelle destination
� Essayez d'effectuer un ping depuis le PC-1 sur le HQ LAN 1 vers le Serveur Filiale. A-t-
elle abouti? Expliquez votre réponse.
Le ping n’a pas réussi car le trafic a été bloqué par une liste d’accès
Quelle instruction ACL a permis ou refusé le ping entre ces deux périphériques?
L’instruction 10 dans la liste d’accès 111 sur le routeur HQ refuse tout le
trafic vers le serveur de succursale
Ouvrez un navigateur Web sur le serveur externe et essayez d' afficher une page Web
stockée sur le serveur Web d'entreprise. A-t-elle abouti? Expliquez votre réponse.
Oui, un serveur externe peut accéder à une page web hébergée sur le serveur
web de l'entreprise, car le trafic HTTP vers ce serveur n'est pas bloqué
Quelle instruction ACL a permis ou refusé le ping entre ces deux périphériques?
La ligne 20 de la liste d’accès 101 sur le routeur HQ a autorisé ce trafic
b. Testez les connexions à un serveur interne à partir de l'internet.
Questions:
À partir de la ligne de commande sur le PC utilisateur Internet, essayez d'établir une
connexion FTP au serveur de branche. La connexion FTP est-elle réussie?
Oui, la connexion FTP entre le PC de l'utilisateur externe et le serveur de la
succursale a été établie avec succès
Quelle liste d'accès doit être modifiée pour empêcher les utilisateurs d'Internet d'établir
des connexions FTP au Serveur Filiale?
La liste d’accès 101 sur le routeur HQ doit être modifiée pour refuser ce trafic
Quelles instructions doivent être ajoutées à la liste d'accès pour refuser ce trafic?
L’instruction “deny tcp any host [Link] eq 21” ou “deny tcp any host
[Link] range 20 21” doit être ajoutée à la liste d’accès 101.
Fin du document==
