Outils pour utilisateurs

Outils du site


reseaux:cisco:acl

CISCO Routeur : ACL

Qu'est ce qu' une Access-List ?

  • Une liste d'accès comme son nom l'indique, est une règle de filtrage sur le trafic qui transite par le routeur.
  • Pour bien comprendre, il faut distinguer trafic entrant (IN) et trafic sortant (OUT).
  • Le type de filtre appliqué: autoriser (PERMIT) ou refuser (DENY)
  • Il existe 2 types d'ACL : standard (0-99) et étendue (100-199)

Access List

Schéma du traitement d'une Access-List

Traitement ACL

Configuration d' ACL standards

  • Une liste d'accès standard se définit sur le range 0 à 99
  • Filtrage réseau ou host
  • Une règle PERMIT induit par défaut que le reste sera DENY
  • Une règle DENY n'induit pas que le reste sera PERMIT :!:

Implémentation d'une ACL standard

  • Passer en configuration terminal:

conf t

  • Interdire le trafic du réseau de source 10/8 (autoriser le reste):

access-list 1 deny 10.0.0.0 0.225.255.255
access-list 1 permit any

  • Appliquer l'ACL sur le trafic entrant de l'interface Serial 0:

int s0
ip access-group 1 in

  • Autoriser le trafic du host de source 192.168.1.1/32 (le reste sera refusé par défaut):

access-list 2 permit 192.168.1.1 0.0.0.0

  • Appliquer l'ACL sur le trafic sortant de l'interface Serial 1:

int s1
ip access-group 1 out

ACL standard

Vérification

  • Visualiser la configuration en RAM:

sh run

  • Visualiser les définitions d'ACL:

sh access-list

Configuration d' ACL étendues

  • Une liste d'accès étendue se définit sur le range 100 à 199
  • Filtrage réseau ou host
  • Filtrage sur le protocole
  • Filtrage sur le port
  • Une règle PERMIT induit par défaut que le reste sera DENY
  • Une règle DENY n'induit pas que le reste sera PERMIT :!:

Implémentation d'une ACL étendue

  • Passer en configuration terminal:

conf t

  • Interdire le trafic du réseau de source 10/8 vers le host 192.168.1.1 sur le port 80:

access-list 101 deny tcp 10.0.0.0 0.225.255.255 host 192.168.1.1 eq 80

  • Interdire le ping de tous vers notre réseau interne (en gardant la possibilité de pinger les réseaux externes):

access-list 101 deny icmp any 192.168.1.0 0.0.0.255 echo
access-list 101 permit any any

  • Appliquer l'ACL sur le trafic entrant de l'interface Serial 0:

int s0
ip access-group 101 in

ACL étendue

Vérification

  • Visualiser la configuration en RAM:

sh run

  • Visualiser les définitions d'ACL:

sh access-list



Pour vous aider dans la configuration des ACL étendues, voici quelques well know port et leur protocole de fonctionnement :

Well know port

reseaux/cisco/acl.txt · Dernière modification: 15/04/2016 à 21:15 (modification externe)

Outils de la page