Scribd Logo
Importer

Bienvenue sur Scribd !

  • Configuration Des ACL

    Transféré par

    Mehdi El Mokhtari
    424 vues6 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    424 vues6 pages

    Configuration Des ACL

    Transféré par

    Mehdi El Mokhtari

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 6

    IGA Marrakech Ecole dIngnierie 4me anne ISRI

    Anne Uni 2012/2013 Pr. ACHAHOD

    Filtrage des paquets : configuration des ACL sur un routeur Cisco 1 Gnralits

    Ce cours ainsi que les Tp qui suivront vont vous permettre de manipuler les ACL des routeurs Cisco. Les ACL (en anglais Acces Control Lists ) ou en Franais Listes de Contrle dAccs , vous permettent dtablir des rgles de filtrage sur les routeurs, pour rgler le trafic des datagrammes en transit. Les ACL permettent de mettre en place un filtrage dit statique des datagrammes, c'est-dire dinstaurer un certain nombre de rgles appliquer sur les champs concerns des en-ttes des divers protocoles.

    Fonctionnement des ACL

    2.1 Gnralits
    Quelque soit le type dACL dont il sagit ; leur utilisation se fait toujours selon les mmes principes gnraux : Premire tape : En mode config , on cre une ACL, c'est--dire une liste de rgles. Chaque rgle est du type (condition, action). Les rgles sont interprtes squentiellement. Si la condition analyse ne correspond pas, on passe la rgle suivante. Si la condition correspond, laction correspondante est effectue, et le parcours de lACL est interrompu. Par dfaut, toutes les ACL considrent la rgle (VRAI, REJET) si aucune des rgles prcdentes na t prise en compte, c'est--dire que tout datagramme non explicitement accept par une rgle pralable sera rejet. Deuxime tape : En mode config-int , on applique une ACL en entre (in) (respectivement en sortie(out)), c'est--dire que lon dcide dactiver la liste de rgles correspondante tous les datagrammes entrant dans le routeur (respectivement sortant du routeur) par linterface considre. En consquence, sur un routeur, il peut y avoir au maximum 2 ACLs (IP) par interface.

    1/6

    IGA Marrakech Ecole dIngnierie 4me anne ISRI

    Anne Uni 2012/2013 Pr. ACHAHOD

    Lorsque lon construit une ACL, les rgles sont ajoutes la fin de la liste dans lordre dans lequel on les saisit. On ne peut pas insrer de rgle dans une ACL, ni mme en supprimer le seul moyen reste deffacer compltement lACL et de recommencer ! En situation relle, pour saisir une ACL assez longue, il peut tre judicieux de crer un fichier texte et de le faire prendre en compte par la suite comme un fichier de capture de configuration de routeur

    2.2 Les ACL standards


    Les ACL standards noffrent pas normment de possibilits, elles permettent simplement de crer des rgles dont les conditions ne prennent en compte que les adresses IP sources des datagrammes IP analyss. Cest assez contraignant, mais cela permet dj un certain nombre de manipulations intressantes. La commande pour crer une ACL standard (ou ajouter une rgle une ACL existante) est la suivante : access-list <#ACL> {permit/deny} <@IP source> <masque> Le numro de liste (#ACL) doit tre compris entre 1 et 99 pour une ACL standard (tapez un ? aprs la commande access-list pour visualiser toutes les fourchettes possibles en fonctions des types dACL). Permit ou deny indique laction prendre (deux seules actions sont possibles : autoris ou refus) LIP source + masque indique la condition.

    2/6

    IGA Marrakech Ecole dIngnierie 4me anne ISRI

    Anne Uni 2012/2013 Pr. ACHAHOD

    2.3 Les ACL tendues


    La syntaxe un peu plus complte des ACL tendues, permet, selon le mme principe que prcdemment, de crer des rgles de filtrage plus prcises, en utilisant des conditions applicables sur dautres champs des en-ttes des divers protocoles. La commande pour crer une ACL (ou ajouter une rgle une ACL existante) est la suivante : access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque> [port] <@IPdest> <masque> [port] [established] Le numro de liste (#ACL) doit tre compris entre 100 et 199 pour une ACL tendue. Permit ou deny indique laction prendre (deux seules actions sont possibles : autoris ou refus) protocole indique le protocole concern par le filtre (tapez un ? pour avoir la liste des protocoles disponibles) Les protocoles indiqus peuvent tre de diffrents nivea ux jusquau niveau transport (ex : TCP ou UDP, mais galement IP ou ICMP). La distinction sur les protocoles applicatifs (http, FTP ) se fera sur le champ port . IP et masques suivent les mmes rgles que pour les ACL standards, port permet dindiquer un numro de port (ou son nom symbolique si il est connu http, FTP, Telnet, ). Notez quun port doit tre indiqu prcd dun oprateur (ex : eq http ou eq 80 ou lt 1024 ) avec eq (pour equal ), lt (pour lower than ) ou gt (pour greater than), established indique quil sagit dune communication TCP dj tablie (et donc pas dune demande de connexion avec le bit syn positionn).

    2.4 Remarques essentielles sur la syntaxe des ACL


    le masque est compltement invers par rapport la notion de masque que vous connaissez jusquici !!! (On parle de masque gnrique) ex : 193.55.221.0 avec le masque 0.0.0.255 dsigne toute adresse source du type 193.55.221.X merci Cisco !

    3/6

    IGA Marrakech Ecole dIngnierie 4me anne ISRI

    Anne Uni 2012/2013 Pr. ACHAHOD

    Abrviations dans une rgle : 0.0.0.0 255.255.255.255 qui signifie tout quipement peut tre remplac par le mot cl any . W.X.Y.Z 0.0.0.0 qui signifie lquipement W.X.Y.Z peut tre remplac par host W.X.Y.Z Par dfaut, la rgle deny any est prise en compte par toutes les ACL. En dautre termes, le simple fait de crer une ACL vide et de lappliquer une interface interdit le passage a tout datagramme. Pour changer de politique par dfaut dune ACL, il suffit de mettre la rgle permit any (ou permit ip any any pour les ACL tendues) en fin de liste. Cette rgle sera prise en compte si aucune des prcdentes ne lest. En mode enabled la commande show access-list <#ACL> vous permet de visualiser (et donc de capturer le cas chant ) le contenu de lACL dont vous donnez le numro.

    Exercice complter le masque gnrique

    Complter le tableau ci-dessous :

    4/6

    IGA Marrakech Ecole dIngnierie 4me anne ISRI

    Anne Uni 2012/2013 Pr. ACHAHOD

    2.5 Activation dune ACL


    Pour activer une ACL sur une interface, il faut : Se positionner dans le mode de configuration de linterface, grce la commande interface <nom de linterface> Saisir la commande : ip access-group <#ACL> < in | out> . Noubliez pas de vous considrer lintrieur du routeur , pour choisir entre le mot cl in et le mot cl out

    2.6 Dsactivation dune ACL


    Pour dsactiver une ACL, (comme toujours selon la logique Cisco), les manipulations sont les mmes que pour lactiver, en utilisant le mot cl no devant la commande

    2.7 Utilisation des ACL standards et tendues dans la vraie vie


    Dans la pratique, tant donn que les ACL standards ne peuvent prendre en compte que les adresse IP sources, il est logique quelles soient souvent utilises pour filtrer les datagrammes proches de la destination finale, sur un passage oblig pour joindre le destinataire final.

    5/6

    IGA Marrakech Ecole dIngnierie 4me anne ISRI

    Anne Uni 2012/2013 Pr. ACHAHOD

    En revanche, les ACL tendues prenant aussi en compte les adresses destination, peuvent tre utilises au contraire sur les routeurs les plus proches des quipements sources concerns, ceci afin dviter du trafic superflu sur le rseau.

    Exercices : activit packet tracer sur les ACL standarts activit packet tracer planification, configuration et verification des ACL standart, tendues et nommes.

    6/6

    Vous aimerez peut-être aussi