ACL Cisco PDF

F
.

N
o
l
o
t
Master 2 Professionnel STIC-Informatique 1
Universit de Reims Chama!ne - "rdenne
Les ACL Cisco

F
.

N
o
l
o
t
Les ACL Cisco
Prsentation

F
.

N
o
l
o
t
Les ACL Cisco ?
Les ACL (Access Control Lists) permettent de filtrer des packets suivant des
critres dfinis par l'utilisateur
Sur des packets IP, il est ainsi possile de filtrer les pa!uets entrants ou
sortant d'un routeur en fonction
"e l'IP source
"e l'IP destination
###
Il e$iste % t&pes d'ACL
Standard ' uni!uement sur les IP sources
(tendue ' sur !uasiment tous les c)amps des en*t+tes IP, ,CP et -"P

F
.

N
o
l
o
t
Sc)ma du principe
Routage
Outbound
ACL
Inbound
ACL
Trash
Deny
Deny
Permit Permit

F
.

N
o
l
o
t
Les ACL Cisco
Fontionnement et on"iguration

F
.

N
o
l
o
t
Master 2 Professionnel STIC-Informatique #
La lo.i!ue des ACL
Il est possile de rsumer le fonctionnement des ACL de la fa/on suivante '
Le p0!uet est vrifi par rapport au 1er critre dfini
S'il vrifie le critre, l'action dfinie est appli!ue
Sinon le pa!uet est compar successivement par rapport au$ ACL suivants
S'il ne satisfait aucun critre, l'action den# est appli!ue
Les critres sont dfinit sur les informations contenues dans les en*t+tes IP, ,CP ou
-"P
"es mas!ues ont t dfini pour pouvoir identifier une ou plusieurs adresses IP en une
seule dfinition
Ce mas!ue dfini la portion de l'adresse IP !ui doit +tre e$amine
2#2#%33#%33 si.nifie !ue seuls les % premiers octets doivent +tre e$amins
den& 12#1#4#2 avec 2#2#2#%33 ' refus de toutes les IP commencant par 12#1#4

F
.

N
o
l
o
t
Master 2 Professionnel STIC-Informatique $
Standard IP Access List Confi.uration
5onctionnement des ACL
,est des r.les les unes aprs les autres
Si aucune r.le n'est applicale, re6et du pa!uet
"finition d'une r.le
access-list number [deny|permit] source [source-wildcard]
Number compris entre 1 et 77 ou entre 1422 et 1777
access-list number remark test
Activation d'une ACL sur une interface
ip access-group 8 num$er 9 name 8 in 9 out : :
;isualiser les ACL
show access-lists 8 num$er 9 name : ' toutes les ACL !uel!ue soit
l'interface
show ip access-lists 8 num$er 9 name : ' les ACL uni!uement lis au
protocole IP

F
.

N
o
l
o
t
Master 2 Professionnel STIC-Informatique %
($emple (1<4)
access*list 1 den& 1=%#1>#4#12 2#2#2#2
?efuse les pa!uets d'IP source 1=%#1>#4#12
Le mas!ue (.alement appel @ildcard mask) si.nifie ici !ue tous les
its de l'adresse IP sont si.nificatifs
access*list 1 permit 2#2#2#2 %33#%33#%33#%33
,ous les pa!uets IP sont autoriss
Le mas!ue %33#%33#%33#%33 si.nifie !u'aucun it n'est si.nificatif
inter"ae &thernet'
i( address 1$2)1#)1)1 255)255)255)'
i( aess*grou( 1 out
aess*+ist 1 remar, sto( tous +es (a-uets d.IP soure 1$2)1#)3)1'
aess*+ist 1 deny 1$2)1#)3)1' ')')')'
aess*+ist 1 (ermit ')')')' 255)255)255)255

F
.

N
o
l
o
t
Master 2 Professionnel STIC-Informatique /
($emple (%<4)
-ne notation amliore est possile pour remplacer
le mas!ue %33#%33#%33#%33 !ui dsi.ne une mac)ine
-tilisation du terme host
2#2#2#2 avec le @ildcard mas!ue A %33#%33#%33#%33 !ui dsi.ne tout le
monde
-tilisation du terme any
inter"ae &thernet'
i( address 1$2)1#)1)1 255)255)255)'
i( aess*grou( 1 out
aess*+ist 1 remar, sto( tous +es (a-uets d.IP soure 1$2)1#)3)1'
aess*+ist 1 deny host 1$2)1#)3)1'
aess*+ist 1 (ermit any

F
.

N
o
l
o
t
Master 2 Professionnel STIC-Informatique 1'
($emple (4<4)
inter"ae &thernet'
i( address 1$2)1#)1)1 255)255)255)'
i( aess*grou( 1 out
inter"ae &thernet1
i( address 1$2)1#)2)1 255)255)255)'
i( aess*grou( 2 in
aess*+ist 1 remar, 0to((e tous +es (a-uets d.IP soure 1$2)1#)3)1'
aess*+ist 1 deny host 1$2)1#)3)1'
aess*+ist 1 (ermit any
aess*+ist 2 remar, Autorise -ue +es trames d.IP soure 1$2)1#)3)'124
aess*+ist 2 (ermit 1$2)1#)3)' ')')')255

F
.

N
o
l
o
t
Les e$tended ACL
Les e$tended ACL permettent filtrer des pa!uets en fonction
de l'adresse de destination IP
"u t&pe de protocole (,CP, -"P, ICBP, IC?P, ICBP, ###)
Port source
Port destination
###

F
.

N
o
l
o
t
La s&nta$e et e$emple
access-list number { deny | permit } protocol source source-
wildcard destination dest.-wildcard
numer ' compris entre 122 et 177 ou %222 et %>77
access-list 101 deny ip any host 10.1.1.1
?efus des pa!uets IP A destination de la mac)ine 12#1#1#1 et provenant
de n'importe !uelle source
access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23
?efus de pa!uet ,CP provenant d'un port D 12%4 et A destiantion du
port %4 de la mac)ine d'IP 12#1#1#1
access-list 101 deny tcp any host 10.1.1.1 eq http
?efus des pa!uets ,CP A destination du port E2 de la mac)ine d'IP
12#1#1#1

F
.

N
o
l
o
t
Les ACL nomms
-ne ACL numrot peut +tre compos de nomreuses r.les# La seule fa/on de la
modifier et de faire
no access-list number
Puis de la redfinir
Avec les ACL nommes, il est possile de supprimer !u'une seule li.ne au lieu de toute
l'ACL
Sa dfinition se fait de la manire suivante
?outer(confi.)F ip access-list extended bart
?outer(confi.*e$t*nacl)F deny tcp host 10.1.1.2 eq www any
?outer(confi.*e$t*nacl)F deny ip 10.1.1.0 0.0.0.255 any
?outer(confi.*e$t*nacl)F permit ip any any
Pour supprimer une des li.nes, il suffit de refaire un
ip access-list extended bart
Puis un no deny ip 10.1.1.0 0.0.0.255 any

F
.

N
o
l
o
t
L'accs au ,elnet avec une ACL
Pour utiliser une ACL dans le ut de controler l'accs au telnet (donc au vt&)
access-class number { in | out }
+ine 2ty ' 4
+ogin
(ass3ord Ciso
aess*+ass 3 in
4
4
aess*+ist 3 (ermit 1')1)1)' ')')')255

F
.

N
o
l
o
t
Les ACL Cisco
&n (rodution

F
.

N
o
l
o
t
Master 2 Professionnel STIC-Informatique 1#
Guel!ues conseils
La cration, la mise A 6our, le deu..a.e ncessitent eaucoup de temps et
de ri.eur dans la s&nta$e
Il est donc conseill
"e crer les ACL A l'aide d'un diteur de te$te et de faire un
copier<coller dans la confi.uration du routeur
Placer les e$tended ACL au plus prs de la source du pa!uet !ue
possile pour le dtruire le plus vite possile
Placer les ACL standard au plus prs de la destination sinon, vous
ris!ueH de dtruire un pa!uet trop top
?appel ' les ACL standard ne re.ardent !ue l'IP source
Placer la r.le la plus spcifi!ue en premier
Avant de faire le moindre c)an.ement sur une ACL, dsactiver sur
l'interface concern celle*ci (no ip access*.roup)

ACL Cisco PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ACL Cisco PDF

Transféré par

Droits d'auteur :

Formats disponibles

F

Vous aimerez peut-être aussi