ACE just rolled out Partner Programs. Check Now!

ACL Etendue : Configuration

Les bases du réseau

Catégories

Configuration d'une liste d'accès (ACL Etendue)

ACL Etendue: Nous allons voir les différentes commandes pour configurer des ACL’s Standard et des ACL’s étendues.

Aussi bien au format numérique qu’au format nommé !

|Pour une ACL standard au format numérique, on utilisera la commande « access-list » pour entrée nos ACL une par une !

Dans l’exemple on choisit l’access list 1 et on lui déclare 3 lignes :

  • La première autorise tout le réseau 192.168.1.0 avec un masque en /24 c’est-à-dire de la 1.0 à la 1.255.
  • La seconde refuse tout le réseau de la 1.0 à la 3.255 !
  • Et la dernière autorise tout le reste !

En gros, cela signifie que tout le réseau |192.168.0.0/22 est bloqué à l’exception du réseau| 192.168.1.0/24.

S’il n’avait pas eu la| troisième ACL , alors le reste du trafic aurait été |bloquer par la règle par défaut « deny any any »

|Pour une ACL nommée, le principe est le même, sauf qu’on nomme l’ACL avec la commande « ip access-list standard » ici elle s’appellera « Mon ACL ».

Vous remarquerez qu’on est plus en mode « config » mais dans celui de notre ACL.

Ensuite, il reste plus qu’à insérer nos ACL dedans !

|La commande « show access-lists » permet de vérifier nos ACL.


On voit bien notre ACL numérique en numéro « 1 » et celle qui porte le nom de « MonACL ».

Chaque ACL porte un identifiant qui s’incrémente en 10.

C’est tout simplement pour pouvoir ajouter d’autre ACL entre-deux.

Car une Access list est lue de haut en bas.

Passons maintenant au ACL étendu.
|Une ACL étendue, à un format un peux plus complexe qu’une ACL standard.


Dans le champ | « Action » il ne peut y avoir que « permit » ou « deny »,

|Le champ protocole, permet de spécifier un protocole qu’on voudrait autorisé ou interdire.

Et les champs de |l’IP source ou destinations comporte soit l’adresse + le masque, ou bien l’host, suivi de son IP.

Dans ce dernier, ce sera qu’une seul IP qui sera ciblé.

Ou bien avec le mot « Any » qui signifie : n’importe quelle source ou destination !

|Voici maintenant un exemple de configuration d’une ACL étendue, numérique et nommée !

Le principe reste le même.

Dans cet exemple, notre première ACL, autorise le trafic TCP sur le port 80, de toutes les sources vers l’hôte 192.168.1.2, qui est probablement un serveur Web !

Et la seconde ACL autorise le réseau qui va de 192.168.0.0 à .255, à envoyer des requêtes ICMP vers l’hôte 192.168.1.2 !

Par exemple pour faire du ping

|Tout le reste sera refusé avec la règle deny any any par défaut !

|Pour vérifier les ACL étendus, la commande est la même que pour une ACL standard. « show access-lists »

|Maintenant qu’on a créé nos ACL, il faut l’appliquer à une interface.

  • Soit en sortit
  • ou soit en entrée.

|Les ACLs standard sont à appliquer le plus proche possible de la destination, en raison de leur faible précision.

|Et Les ACLs étendues sont à appliquer le plus proche possible de la source. Pour éviter que le routeur route des données inutiles, qui seront de toute façon supprimées.

|La commande « ip access-group » permet d’appliquer une ACL sur une interface.

Ici on choisi d’appliquer l’ACL N°1 sur l’interface 0/0 en entrée et l’ACL étendue numéro 100 sur l’interface 0/1 en sortie !

|Si on lance un « show ip interface » sur la 0/0, on peut voir que l’ACL 1 est appliqué en entrée, et la 100 est appliquée en sortie.

|Si on souhaite désactiver une ACL sur une interface, il suffit de la supprimé avec un « no » devant la commande

|Il est aussi possible d’appliquer une ACL directement sur des lignes virtuelles, avec la commande « access-class » pour autoriser un administrateur à se connecter sur un routeur.

Dans ce cas l’ACL sera à appliquer en entrée

Voyons maintenant comment modifier une ACL.

|Nous avons notre ACL 1, qui autorise le réseau 192.168.1.0.
On souhaiterait que ce soit plutôt le réseau en 2.0.

|Dans ce cas, on supprime d’abord l’ACL qui porte le numéro de séquence « 10 » et on ajoute notre règle avec le numéro de séquence «15 » !

|Si on refait un « show access-lists », on peut voir que la modification a bien été prise en compte !

|Et pour finir, si on souhaite supprimer une acl nommée, on utilisera la commande « no access-list » avec le type d’acl et le nom qu’il porte.

Et pour une ACL numérotée, ce sera « no access-list » + le numéro de l’Access List !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Légal

Vos informations sont 100% sécurisées, nous nous engageons à ne pas les revendre.

FORMIP

Siège social : 38 rue Pasteur, 39110 Salins-les-bains.

SIRET. 890 495 294 00013 ⎜Numero DATA DOCK:0085 282 ⎜Déclaration d’activité enregistré auprès du préfet de region Bourgogne-Franche-Comté sous le numéro : 27390126739

© Copyright 2017 - Formip par Damien.S