à placer au plus proche de la destination du trafic Etendue : filtrage sur la source, la destination et/ou le protocole du trafic ; à placer au plus proche de la source du trafic Nommée : idem étendue Jean-Luc Damoiseaux / Dpt R&T ACL vs Routage (I)
Jean-Luc Damoiseaux / Dpt R&T
ACL vs Routage (II)
Jean-Luc Damoiseaux / Dpt R&T
Commandes IOS
Définition de l’ACL (config)#access-list n°ACL {permit|deny}…
s’applique ou non au paquet Si le xième bit est à 0 dans le masque, alors les xième bits de l’adresse du paquet et de l’adresse de la liste doivent correspondre Si le xième bit est à 1 dans le masque, alors aucune correspondance n’est exigée entre les xième bits de l’adresse du paquet et de l’adresse de la liste Jean-Luc Damoiseaux / Dpt R&T Masque générique (II)
Jean-Luc Damoiseaux / Dpt R&T
Masque générique (III)
Jean-Luc Damoiseaux / Dpt R&T
Masque générique (IV)
Jean-Luc Damoiseaux / Dpt R&T
Raccourcis host et any
host : correspondance parfaite sur l’hôte
host @ip @ip 0.0.0.0 masque générique
any : aucune correspondance sur rien
any 0.0.0.0 255.255.255.255 toutes adresses masque générique
Jean-Luc Damoiseaux / Dpt R&T
Exemples
access-list 2 permit 172.16.1.10 0.0.0.0
ou access-list 2 permit host 172.16.1.10
access-list 3 deny 172.16.1.0 0.0.0.255
access-list 3 deny 172.16.2.0 0.0.0.255 access-list 3 permit 172.16.0.0 0.0.255.255 access-list 3 deny any ou access-list 3 deny 0.0.0.0 255.255.255.255
Jean-Luc Damoiseaux / Dpt R&T
Exemples
access-list 101 permit tcp host 172.16.1.10 any eq
telnet
access-list 103 permit ip 172.16.1.0 0.0.0.255 any
access-list 103 permit tcp 10.0.0.0 0.255.255.255 any eq telnet access-list 103 permit tcp any any eq ftp