Tp Acl Avec Vlan
Transcript of Tp Acl Avec Vlan
-
8/14/2019 Tp Acl Avec Vlan
1/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
Configuration et vrification de listes de contrle daccs pour filtrerle trafic entre rseaux locaux virtuels (VLAN)
-
8/14/2019 Tp Acl Avec Vlan
2/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
-
8/14/2019 Tp Acl Avec Vlan
3/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
Priph-rique
Nomdelhte Adresse IPFastEthernet
Adresse IPde lapasserellepar dfaut Numros et nomsVLAN
Affectationsde ports decommutateur
Mot depassesecretactif
Mot depasseenable/vtyet console
Routeur 1
R1
Fa0/0 : aucunFa0/0.1 :192.168.1.1/24Fa0/0.2 :
192.168.2.1/24Fa0/0.3 :192.168.3.1/24Fa0/0.4 :192.168.4.1/24
class
cisco
Commu-tateur 1 Comm1 192.168.1.2/24 192.168.1.1
VLAN 1 NatifVLAN 10 ServeursVLAN 20 Utilisateurs1VLAN 30 Utilisateurs2
Fa0/1Fa0/2Fa0/5Fa0/8
class ciscoHte 1 H1 192.168.2.10/24 192.168.2.1Hte 2 H2 192.168.3.10/24 192.168.3.1Hte 3 H3 192.168.4.10/24 192.168.4.1
Objectifs
Configurer des rseaux locaux virtuels sur un commutateur Configurer et vrifier lagrgation Configurer un routeur pour le routage entre rseaux locaux virtuels Configurer, appliquer et tester une liste de contrle d accs pour filtrer le trafic entre rseaux locaux
virtuels
Contexte / Prparation
Installez un rseau similaire celui du schma. Tout routeur dot dune interface indique dans le schma de
topologie peut tre utilis. Exemple : les routeurs de la gamme 800, 1600, 1700, 1800, 2500, 2600, 2800 outoute combinaison de ces routeurs sont utilisables.
Les informations prsentes dans ces travaux pratiques sappliquent au routeur 1841. Il est possible dutiliserdautres routeurs ; cependant la syntaxe des commandes peut varier. Les interfaces peuvent tre diffrentesen fonction du modle de routeur. Par exemple, sur certains routeurs, Serial 0 peut tre Serial 0/0 ou Serial0/0/0 et Ethernet 0 peut tre FastEthernet 0/0. Le commutateur Cisco Catalyst 2960 est fourni prconfigur :il ne ncessite que laffectation dinformations de scurit de base avant la connexion un rseau.
Ressources ncessaires :
Un commutateur Cisco 2960 ou comparable Un routeur Cisco 1841 ou comparable
-
8/14/2019 Tp Acl Avec Vlan
4/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
Trois PC Windows avec un programme dmulation de terminal Au moins un cble console connecteur RJ-45/DB-9 pour configurer le routeur et le commutateur Quatre cbles directs Ethernet
-
8/14/2019 Tp Acl Avec Vlan
5/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
tape1:connexiondumatriel
a. Connectez linterface Fa0/0 du Routeur1 linterface Fa0/1 du Commutateur 1 laide dun cbledirect.
b. Connectez les PC laide de cbles console pour procder aux configurations sur le routeur et lecommutateur.
c. Connectez les PC htes avec des cbles directs aux ports du commutateur suivants : Hte 1, versFa0/2 ; Hte 2, vers Fa0/5 ; Hte 3, vers Fa0/8.
tape2:configurationdebaseduRouteur1
tape3:configurationdeR1pourprendreenchargeletraficentrerseauxlocauxvirtuels
Linterface FastEthernet 0/0 sur R1 sera divise en sous-interfaces pour acheminer le trafic provenant dechacun des trois rseaux locaux virtuels. Ladresse IP de chaque sous-interface deviendra la passerelle pardfaut pour le rseau virtuel auquel elle est associe.
R1#configure terminalR1(config)#interface fastethernet 0/0R1(config-if)#no shutdownR1(config-if)#interface fastethernet 0/0.1R1(config-subif)#encapsulation dot1q 1
R1(config-subif)#ip address 192.168.1.1 255.255.255.0R1(config-subif)#interface fastethernet 0/0,2R1(config-subif)#encapsulation dot1q 10R1(config-subif)#ip address 192.168.2.1 255.255.255.0
R1(config-subif)#interface fastethernet 0/0,3R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#ip address 192.168.3.1 255.255.255.0R1(config-subif)#interface fastethernet 0/0,4R1(config-subif)#encapsulation dot1q 30R1(config-subif)#ip address 192.168.4.1 255.255.255.0R1(config-subif)#endR1#copy running-config startup-config
Pourquoi la commande no shutdown est-elle uniquement excute sur linterfaceFastEthernet 0/0 ?
___ ___ ___ ___ ___ ___ _____
Pourquoi est-il ncessaire dindiquer le type dencapsulation sur chaque sous-interface ?
___ ___ ___ ___ ___ ___ _____
-
8/14/2019 Tp Acl Avec Vlan
6/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
tape4:configurationdebaseduCommutateur1
tape5:crationetdsignationdetroisrseauxlocauxvirtuelssurComm1puisattribution deportscesrseaux
Ce rseau contient un rseau local virtuel pour la batterie de serveurs et deux pour des groupes d utilisateurs.
Pourquoi est-il recommand de placer la batterie de serveurs dans un rseau local virtuel spar ?
___ ___ ___ ___ ___ ___ _____
a. Entrez les commandes suivantes pour crer les trois rseaux virtuels :
Comm1(config)#vlan 10
Comm1(config)#name ServeursComm1(config)#vlan 20Comm1(config)#name Utilisateurs1
Comm1(config)#vlan 30Comm1(config)#name Utilisateurs2
b. Attribuez un port chaque rseau, conformment la table dadressage.
Comm1#configure terminalComm1(config)#interface fastethernet0/2Comm1(config-if)#switchport mode accessComm1(config-if)#switchport access vlan 10
Comm1(config)#interface fastethernet0/5Comm1(config-if)#switchport mode accessComm1(config-if)#switchport access vlan 20
Comm1(config)#interface fastethernet0/8
Comm1(config-if)#switchport mode accessComm1(config-if)#switchport access vlan 30
REMARQUE : dans le cadre de ces travaux pratiques, une seule interface reprsentative estattribue chaque rseau local virtuel. Pour attribuer plusieurs ports un rseau virtuel, utilisez leparamtre range. Par exemple, pour attribuer les ports 0/2 0/4 au rseau VLAN 10, utilisez lasquence de commandes suivante :
Comm1(config)#interface range fastethernet 0/2 - 4
Comm1(config-if-range)#switchport mode accessComm1(config-if-range)#switchport access vlan 10
tape6:crationdelagrgationsurComm1
Entrez la commande suivante pour dfinir linterface Fa0/1 comme port agrg :
Comm1(config)#interface fastethernet 0/1Comm1(config-if)#switchport mode trunkComm1(config-if)#end
Pourquoi est-il facultatif dindiquer le protocole dagrgation (dot1q, ISL) qui sera utilis ?
-
8/14/2019 Tp Acl Avec Vlan
7/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
___ ___ ___ ___ ___ ___ _____
Copyright sur lintgralit du contenu 1992-2007 Cisco Systems, Inc. Page 4 sur 6Tous droits rservs. Ce document contient des informations publiques Cisco.
-
8/14/2019 Tp Acl Avec Vlan
8/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
tape7:configurationdeshtes
Configurez chaque hte avec ladresse IP, le masque de sous-rseau et la passerelle par dfaut corrects,en fonction de la table dadressage.
Prvoyez la rponse la question suivante : si les configurations sont correctes, quelspriphriques un utilisateur sur PC1 doit-il pouvoir envoyer une requte ping qui aboutisse ?
___ ___ ___ ___ ___ ___ _____
tape8:vrificationdufonctionnementdurseau
a. partir de chaque hte connect, envoyez une requte ping aux deux autres htes et chacune desadresses IP des sous-interfaces du routeur.
La requte ping a-t-elle abouti ? __
Si la rponse est non, vrifiez la configuration du routeur, du commu tateur et de lhte pour trouverlerreur.
b. partir du commutateur Comm1, envoyez une requte ping la passerelle par dfaut du routeur192.168.1.1.
La requte ping a-t-elle abouti ? __
c. Utilisez la commande show ip interface brief pour vrifier ltat de chaque interface ou sous-interface.
Quel est ltat des interfaces ?
R1 :
FastEthernet 0/0 : _
FastEthernet 0/0,1 : _
FastEthernet 0/0,2 : _
FastEthernet 0/0,3 : _
FastEthernet 0/0.4 : _
Comm1 :
Interface VLAN1 : _
d. Envoyez de nouvelles requtes ping jusqu ce quelles aboutissent.
-
8/14/2019 Tp Acl Avec Vlan
9/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
Copyright sur lintgralit du contenu 1992-2007 Cisco Systems, Inc. Page 5 sur 6Tous droits rservs. Ce document contient des informations publiques Cisco.
-
8/14/2019 Tp Acl Avec Vlan
10/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964
CCNA DiscoveryPrsentation du routage et de la commutation au sein dune entreprise
tape9:configuration, applicationettestdunelistedecontrledaccstenduepourfiltrerletraficentrerseauxlocauxvirtuels
Les membres du rseau local virtuel Utilisateurs1 ne doivent pas pouvoir atteindre la batterie de serveurs,tandis que les membres de lautre rseau doivent pouvoir se joindre mutuellement ainsi quatteindre lerouteur. Utilisateur1 doit pouvoir atteindre des rseaux locaux virtuels autres que la batterie de serveurs.
a. Crez les instructions de la liste de contrle daccs tendue :
R1(config)#access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.2.0
0.0.0.255R1(config)#access-list 100 permit ip any any
R1 possde une interface FastEthernet 0/0 et quatre sous-interfaces. O doit tre place cette listeet dans quelle direction ? Pourquoi ?
___ ___ ___ ___ ___ ___ ____
b. Appliquez la liste de contrle daccs et effectuez un test en envoyant une requte ping de PC2 PC1 et PC3.
Si la liste fonctionne correctement, les requtes ping de PC2 PC1 doivent chouer. Toutes lesautres requtes ping doivent aboutir. Si les rsultats ne rpondent pas ces critres, corrigez lasyntaxe et lemplacement de la liste de contrle daccs.
tape10:remarquesgnralesa. Pourquoi est-il recommand deffectuer et de vrifier des configurations de base et de rseau local
virtuel avant de crer et dappliquer une liste de contrle daccs ?
___ ___ ___ ___ ___ ___ _____
___ ___ ___ ___ ___ ___ _____
b. Quels rsultats auraient t produits si la liste de contrle daccs tait place sur la sous-interfaceFastEthernet 0/0.3 en sortie et si PC2 avait envoy une requte ping PC3 ?
___ ___ ___ ___ ___ ___ _____
-
8/14/2019 Tp Acl Avec Vlan
11/11
WWW.RESEAUMAROC.COM
Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.
Contact : [email protected] : 00212669324964