Tp Acl Avec Vlan

8/14/2019 Tp Acl Avec Vlan

1/11

WWW.RESEAUMAROC.COM

Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.

Contact : [email protected] : 00212669324964

Configuration et vrification de listes de contrle daccs pour filtrerle trafic entre rseaux locaux virtuels (VLAN)


2/11

WWW.RESEAUMAROC.COM




3/11

WWW.RESEAUMAROC.COM



Priph-rique

Nomdelhte Adresse IPFastEthernet

Adresse IPde lapasserellepar dfaut Numros et nomsVLAN

Affectationsde ports decommutateur

Mot depassesecretactif

Mot depasseenable/vtyet console

Routeur 1

R1

Fa0/0 : aucunFa0/0.1 :192.168.1.1/24Fa0/0.2 :

192.168.2.1/24Fa0/0.3 :192.168.3.1/24Fa0/0.4 :192.168.4.1/24

class

cisco

Commu-tateur 1 Comm1 192.168.1.2/24 192.168.1.1

VLAN 1 NatifVLAN 10 ServeursVLAN 20 Utilisateurs1VLAN 30 Utilisateurs2

Fa0/1Fa0/2Fa0/5Fa0/8

class ciscoHte 1 H1 192.168.2.10/24 192.168.2.1Hte 2 H2 192.168.3.10/24 192.168.3.1Hte 3 H3 192.168.4.10/24 192.168.4.1

Objectifs

Configurer des rseaux locaux virtuels sur un commutateur Configurer et vrifier lagrgation Configurer un routeur pour le routage entre rseaux locaux virtuels Configurer, appliquer et tester une liste de contrle d accs pour filtrer le trafic entre rseaux locaux

virtuels

Contexte / Prparation

Installez un rseau similaire celui du schma. Tout routeur dot dune interface indique dans le schma de

topologie peut tre utilis. Exemple : les routeurs de la gamme 800, 1600, 1700, 1800, 2500, 2600, 2800 outoute combinaison de ces routeurs sont utilisables.

Les informations prsentes dans ces travaux pratiques sappliquent au routeur 1841. Il est possible dutiliserdautres routeurs ; cependant la syntaxe des commandes peut varier. Les interfaces peuvent tre diffrentesen fonction du modle de routeur. Par exemple, sur certains routeurs, Serial 0 peut tre Serial 0/0 ou Serial0/0/0 et Ethernet 0 peut tre FastEthernet 0/0. Le commutateur Cisco Catalyst 2960 est fourni prconfigur :il ne ncessite que laffectation dinformations de scurit de base avant la connexion un rseau.

Ressources ncessaires :

Un commutateur Cisco 2960 ou comparable Un routeur Cisco 1841 ou comparable


4/11

WWW.RESEAUMAROC.COM



Trois PC Windows avec un programme dmulation de terminal Au moins un cble console connecteur RJ-45/DB-9 pour configurer le routeur et le commutateur Quatre cbles directs Ethernet


5/11

WWW.RESEAUMAROC.COM



tape1:connexiondumatriel

a. Connectez linterface Fa0/0 du Routeur1 linterface Fa0/1 du Commutateur 1 laide dun cbledirect.

b. Connectez les PC laide de cbles console pour procder aux configurations sur le routeur et lecommutateur.

c. Connectez les PC htes avec des cbles directs aux ports du commutateur suivants : Hte 1, versFa0/2 ; Hte 2, vers Fa0/5 ; Hte 3, vers Fa0/8.

tape2:configurationdebaseduRouteur1

tape3:configurationdeR1pourprendreenchargeletraficentrerseauxlocauxvirtuels

Linterface FastEthernet 0/0 sur R1 sera divise en sous-interfaces pour acheminer le trafic provenant dechacun des trois rseaux locaux virtuels. Ladresse IP de chaque sous-interface deviendra la passerelle pardfaut pour le rseau virtuel auquel elle est associe.

R1#configure terminalR1(config)#interface fastethernet 0/0R1(config-if)#no shutdownR1(config-if)#interface fastethernet 0/0.1R1(config-subif)#encapsulation dot1q 1

R1(config-subif)#ip address 192.168.1.1 255.255.255.0R1(config-subif)#interface fastethernet 0/0,2R1(config-subif)#encapsulation dot1q 10R1(config-subif)#ip address 192.168.2.1 255.255.255.0

R1(config-subif)#interface fastethernet 0/0,3R1(config-subif)#encapsulation dot1q 20

R1(config-subif)#ip address 192.168.3.1 255.255.255.0R1(config-subif)#interface fastethernet 0/0,4R1(config-subif)#encapsulation dot1q 30R1(config-subif)#ip address 192.168.4.1 255.255.255.0R1(config-subif)#endR1#copy running-config startup-config

Pourquoi la commande no shutdown est-elle uniquement excute sur linterfaceFastEthernet 0/0 ?

___ ___ ___ ___ ___ ___ _____

Pourquoi est-il ncessaire dindiquer le type dencapsulation sur chaque sous-interface ?

___ ___ ___ ___ ___ ___ _____


6/11

WWW.RESEAUMAROC.COM



tape4:configurationdebaseduCommutateur1

tape5:crationetdsignationdetroisrseauxlocauxvirtuelssurComm1puisattribution deportscesrseaux

Ce rseau contient un rseau local virtuel pour la batterie de serveurs et deux pour des groupes d utilisateurs.

Pourquoi est-il recommand de placer la batterie de serveurs dans un rseau local virtuel spar ?

___ ___ ___ ___ ___ ___ _____

a. Entrez les commandes suivantes pour crer les trois rseaux virtuels :

Comm1(config)#vlan 10

Comm1(config)#name ServeursComm1(config)#vlan 20Comm1(config)#name Utilisateurs1

Comm1(config)#vlan 30Comm1(config)#name Utilisateurs2

b. Attribuez un port chaque rseau, conformment la table dadressage.

Comm1#configure terminalComm1(config)#interface fastethernet0/2Comm1(config-if)#switchport mode accessComm1(config-if)#switchport access vlan 10

Comm1(config)#interface fastethernet0/5Comm1(config-if)#switchport mode accessComm1(config-if)#switchport access vlan 20

Comm1(config)#interface fastethernet0/8

Comm1(config-if)#switchport mode accessComm1(config-if)#switchport access vlan 30

REMARQUE : dans le cadre de ces travaux pratiques, une seule interface reprsentative estattribue chaque rseau local virtuel. Pour attribuer plusieurs ports un rseau virtuel, utilisez leparamtre range. Par exemple, pour attribuer les ports 0/2 0/4 au rseau VLAN 10, utilisez lasquence de commandes suivante :

Comm1(config)#interface range fastethernet 0/2 - 4

Comm1(config-if-range)#switchport mode accessComm1(config-if-range)#switchport access vlan 10

tape6:crationdelagrgationsurComm1

Entrez la commande suivante pour dfinir linterface Fa0/1 comme port agrg :

Comm1(config)#interface fastethernet 0/1Comm1(config-if)#switchport mode trunkComm1(config-if)#end

Pourquoi est-il facultatif dindiquer le protocole dagrgation (dot1q, ISL) qui sera utilis ?


7/11

WWW.RESEAUMAROC.COM



___ ___ ___ ___ ___ ___ _____

Copyright sur lintgralit du contenu 1992-2007 Cisco Systems, Inc. Page 4 sur 6Tous droits rservs. Ce document contient des informations publiques Cisco.


8/11

WWW.RESEAUMAROC.COM



tape7:configurationdeshtes

Configurez chaque hte avec ladresse IP, le masque de sous-rseau et la passerelle par dfaut corrects,en fonction de la table dadressage.

Prvoyez la rponse la question suivante : si les configurations sont correctes, quelspriphriques un utilisateur sur PC1 doit-il pouvoir envoyer une requte ping qui aboutisse ?

___ ___ ___ ___ ___ ___ _____

tape8:vrificationdufonctionnementdurseau

a. partir de chaque hte connect, envoyez une requte ping aux deux autres htes et chacune desadresses IP des sous-interfaces du routeur.

La requte ping a-t-elle abouti ? __

Si la rponse est non, vrifiez la configuration du routeur, du commu tateur et de lhte pour trouverlerreur.

b. partir du commutateur Comm1, envoyez une requte ping la passerelle par dfaut du routeur192.168.1.1.

La requte ping a-t-elle abouti ? __

c. Utilisez la commande show ip interface brief pour vrifier ltat de chaque interface ou sous-interface.

Quel est ltat des interfaces ?

R1 :

FastEthernet 0/0 : _

FastEthernet 0/0,1 : _



FastEthernet 0/0.4 : _

Comm1 :

Interface VLAN1 : _

d. Envoyez de nouvelles requtes ping jusqu ce quelles aboutissent.


9/11

WWW.RESEAUMAROC.COM



Copyright sur lintgralit du contenu 1992-2007 Cisco Systems, Inc. Page 5 sur 6Tous droits rservs. Ce document contient des informations publiques Cisco.


10/11

WWW.RESEAUMAROC.COM



CCNA DiscoveryPrsentation du routage et de la commutation au sein dune entreprise

tape9:configuration, applicationettestdunelistedecontrledaccstenduepourfiltrerletraficentrerseauxlocauxvirtuels

Les membres du rseau local virtuel Utilisateurs1 ne doivent pas pouvoir atteindre la batterie de serveurs,tandis que les membres de lautre rseau doivent pouvoir se joindre mutuellement ainsi quatteindre lerouteur. Utilisateur1 doit pouvoir atteindre des rseaux locaux virtuels autres que la batterie de serveurs.

a. Crez les instructions de la liste de contrle daccs tendue :

R1(config)#access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.2.0

0.0.0.255R1(config)#access-list 100 permit ip any any

R1 possde une interface FastEthernet 0/0 et quatre sous-interfaces. O doit tre place cette listeet dans quelle direction ? Pourquoi ?

___ ___ ___ ___ ___ ___ ____

b. Appliquez la liste de contrle daccs et effectuez un test en envoyant une requte ping de PC2 PC1 et PC3.

Si la liste fonctionne correctement, les requtes ping de PC2 PC1 doivent chouer. Toutes lesautres requtes ping doivent aboutir. Si les rsultats ne rpondent pas ces critres, corrigez lasyntaxe et lemplacement de la liste de contrle daccs.

tape10:remarquesgnralesa. Pourquoi est-il recommand deffectuer et de vrifier des configurations de base et de rseau local

virtuel avant de crer et dappliquer une liste de contrle daccs ?

___ ___ ___ ___ ___ ___ _____

___ ___ ___ ___ ___ ___ _____

b. Quels rsultats auraient t produits si la liste de contrle daccs tait place sur la sous-interfaceFastEthernet 0/0.3 en sortie et si PC2 avait envoy une requte ping PC3 ?

___ ___ ___ ___ ___ ___ _____


11/11

WWW.RESEAUMAROC.COM



Tp Acl Avec Vlan

Documents

Transcript of Tp Acl Avec Vlan