ACL et masque inversé (Wildcard Mask)

Wildcard Mask: Une ACL, est une fonctionnalité de l’IOS Cisco qui est utilisée pour identifier le trafic. 

Elle permet à un admin réseau, de créer un ensemble de règles qui vont soit autoriser ou soit interdire, n’importe quel type de trafic en fonction des informations que contiennes le paquet IP.
Elles peuvent être utilisées sur des routeurs ou des switchs.

|L’ACL fonctionne dans un ordre séquentiel.

L’en-tête du paquet est analysé par les ACL, l’une à la suite de l’autre, de haut en bas.

Si une ACL correspond au paquet, alors le reste des ACL seront ignorés.
Le paquet est alors soit autorisé ou soit refusé. 
Si l’en-tête du paquet ne correspond pas à la première ligne ACL, alors le paquet est testé à la seconde ligne et ainsi de suite.

Ce processus se poursuit jusqu’à la dernière ACL.

|Et la dernière ACL de la liste, est-ce qu’on appelle une acl implicite de deny, qui refuse systématiquement le paquet.

Si aucune des ACL ne matche avec l’entête IP, alors par sécurité, le paquet sera supprimé !

|Pour utiliser certains protocoles ou bien certaines fonctionnalités du routeur, on fait parfois appel aux « wildcard masks », qui se traduit par « masques inverses » (Wildcard Mask).

Cela permet d’identifier un sous-réseau ou une plage d’adresses IP.

|Le protocole de routage OSPF et aussi le NAT, utilisent des masques inversés.

Les masques inversés (Wildcard Mask) servent à identifier les adresses qui correspondent ou non à certains critères, c’est-à-dire en fonction d’un range d’IP.

Quand on doit appliquer un masque inversé, il faut garder à l’esprit que:

  • |un bit avec une valeur de « 0 » vérifie la correspondance de l’adresse.
  • |Et un bit avec une valeur de « 1 » ignore la valeur correspondante de l’adresse.

Pour bien comprendre, on va prendre un exemple :

|Nous avons le réseau 192.168.1.0 |avec un masque inversé en 3 fois « 0 ».63,ce qui correspond à un /26.

Pour chaque adresse, je vous ai mis la forme décimale, et la forme binaire.

|Chaque bit de l’adresse qui correspond à un bit à 0 dans le masque devra être identique pour correspondre au réseau.

Dans cet exemple, seuls les 6 derniers bits de l’adresse peuvent varier. Toutes les adresses qui commenceront par les binaires représenté en vert,  feront donc partie de la plage IP.

C’est-à-dire de 0 à 63 !

Alors même si je sais que maintenant vous êtes incollable en binaire, je vais comme même vous montrer une technique pour calculer plus rapidement les masques inversés (Wildcard Mask) !

Généralement on utilise des masques inversés qui correspondent à des sous-réseaux:

  • |Par exemple un masque inversé (Wildcard Mask) en 4 fois « 0 » correspond à un masque normal de 4 fois « 255 », un /32. Dans ce cas, le masque ne matche qu’une seule adresse !
  • |Un masque inversé en 3 fois « 0 » .63, correspond à un masque normal de 3 fois 255.192. C’est-à-dire un /26.
  • |3 fois « 0 ».255, correspond à un masque en /24. 3 fois 255.0.
  • |2 fois « 0 ». 2 fois « 255 » revient à un masque en /16 : 2 fois « 255. 2 fois « 0 ».

Et ainsi de suite.

|Pour calculer rapidement le masque inversé (Wildcard Mask), le plus simple est de faire une simple soustraction de 4 fois « 255 » par le masque normal qu’on souhaite convertir en inversé !

  • | « 255 » moins 255 nous donne 0.
  • | « 255 » moins 192 faits 63.
  • |Et « 255 » moins 0 donne 255.

Pour terminer ce cours d’introduction au ACL’s, nous allons voir les 2 types d’ACL qu’il existe :

|On a des ACL standards qui permettent de vérifier les adresses sources des paquets pouvant être acheminés.

Elles sont numérotées de 1 à 99 et de 1300 à 1999.

|En général on les appliquera principalement le plus proche possible de la destination en raison de leurs faibles précisions.

|Et on a, les ACL de type étendu qui permettent de vérifier les adresses des paquets source et de destination. 
Elles peuvent également cibler des protocoles spécifiques, des numéros de port et d’autres paramètres.
Ce qui donne aux admin plus de flexibilité et de contrôle.
Elles sont numérotées de 100 à 199 et de 2000 à 2699.

Continuer vers le cours suivant : Configuration ACL Standard

Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.

A lire également

inter-vlan : Routage entre Vlan’s – Routage inter-VLAN

ParDamien Soulages

Routage entre Vlan’s Routage inter-VLAN Chaque VLAN est un domaine de broadcast unique. Les ordinateurs sur des VLAN séparés sont, par défaut, incapables de communiquer. Pour autoriser une communication entre vlan, il faut faire du routage inter-VLAN. Ce routage est faisable avec un périphérique de couche 3. Par exemple un routeur. Le switch est un périphérique de couche…

DTP Dynamic Trunking Protocol VLAN Trunking Protocol

ParDamien Soulages

DTP qui signifie Dynamic Trunking Procotol, est un protocole propriétaire Cisco. C’est-à-dire qu’il ne fonctionne qu’entre switchs Cisco! DTP Dynamic Trunking Protocol DTP qui signifie Dynamic Trunking Procotol, est un protocole propriétaire Cisco. C’est-à-dire qu’il ne fonctionne qu’entre switchs Cisco! Le tableau reprend toutes les possibilités que nous pouvons retrouver avec la configuration du DTP…
|

VTP DANGER

ParDamien Soulages

VLAN-VTP DANGER Dans ce cours, nous allons voir en détail, le danger que peut représenter le protocole VTP en pleine prod, car un switch en mode vtp client peut prendre le dessus sur un switch en mode VTP serveur, s’il a uniquement un numéro de révision supérieur ! Pour voir ça en détail, nous allons utiliser…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *