IP Access Lists

Qu'est-ce qu'une liste d'accès?

Listes d'accès sont utilisés pour contrôler et gérer l'accès d'intéressant et non de trafic intéressant.
Listes d'accès sont des outils puissants pour contrôler l'accès vers et à partir de deux segments de
réseau. Ils peuvent filtrer les paquets inintéressants et être utilisées pour mettre en œuvre les
politiques de sécurité. En utilisant la bonne combinaison de listes d'accès, gestionnaires de réseau
sera armé avec le pouvoir de faire appliquer une politique d'accès près qu'ils peuvent inventer. Après
les listes sont construites, elles peuvent être appliquées soit à l'arrivée ou le trafic sortant sur une
interface. En appliquant des listes d'accès du routeur peut effectuer pour analyser chaque paquet en
passant par l'interface spécifique à la direction et également prendre des mesures.

Règles de base pour les IP Access Lists

Il ya quelques règles importantes qui suit doit un paquet quand il est mis en rapport avec une liste
d'accès:

• C'est toujours par rapport à chaque ligne de la liste d'accès dans l'ordre, cela signifie qu'il
commence toujours avec la ligne 1, puis passez à la ligne 2, puis la ligne 3, et ainsi de suite.
• Elle est comparée avec des lignes de la liste d'accès que jusqu'à ce que le match est faite. Une
fois le paquet correspond à une ligne de la liste d'accès, pas d'autres comparaisons lieu.
• "deny all" est utilisé à la fin de chaque liste d'accès. Cela signifie que si un paquet ne
correspond pas à une déclaration de la liste d'accès, il sera jeté.

Types d'IP Access Lists

Il existe deux types de listes d'accès IP utilisés:

• Listes d'accès standard: Le standard de listes d'accès IP uniquement l'adresse IP source dans
un paquet IP à filtrer le réseau. Cela permet, ou non, de toute une suite de protocoles.
• Listes d'accès étendu: Les listes de contrôle d'accès étendu à la source et de destination,
adresse IP, le protocole de terrain en tête de la couche 3, et le numéro de port à la tête de la
couche 4.

Après la création d'une liste d'accès IP, vous l'appliquer à une interface avec soit une liste d'entrée et
de sortie:

• Inbound listes d'accès: Les paquets sont traités par l'arrivée de la liste d'accès avant d'être
acheminés à l'interface sortante.
• Outbound listes d'accès: Les paquets sont routés vers l'interface de sortie et ensuite par la
liste d'accès sortant.

Lignes directrices pour la création et la mise en œuvre IP Access Lists

Il existe également des lignes directrices qui devraient être suivies lors de la création et l'application de
listes d'accès IP sur un routeur:

• Vous ne pouvez attribuer une seule liste d'accès par l'interface, par protocole, ou par la
direction. Cela signifie que si vous faites des listes d'accès IP, vous pouvez utiliser un seul
récepteur et un émetteur liste d'accès sur chaque interface.
• Vous devez avoir organisé les listes d'accès de sorte que plus des tests spécifiques sont au
sommet de la liste d'accès.
• Chaque fois qu'une nouvelle déclaration est ajoutée à la liste d'accès, il sera placé au bas de la
liste.
• Vous ne pouvez pas supprimer une ligne spécifique à partir d'une liste d'accès. Vous devrez
retirer la totalité de la liste. Vous pouvez copier le bloc-notes pour accéder à la configuration
avant de l'éditer. La seule exception est le nom de listes d'accès.

1
 • La liste d'accès doit se terminer avec un permis de commande, tous les paquets seront rejetées
si elles ne remplissent pas l'une des listes de tests. Chaque liste doit avoir accès à un permis
de déclaration et vous pouvez fermer l'interface.
• Vous devez créer des listes d'accès et ensuite les appliquer à une interface. Liste d'accès qui
est mis en œuvre pour l'interface ne sera pas toujours filtrer le trafic.
• Les listes d'accès sont conçus pour filtrer le trafic passant par le routeur. Ils ne veulent pas
filtrer le trafic qui est l'origine du routeur.
• Vous devez placer les listes d'accès IP standard comme près de la destination possible.
• Il s'agit de placer la propriété intellectuelle a élargi l'accès des listes au plus près de la source
que possible.

Standard IP Access Lists Exemple

Les listes d'accès IP standard filtre le réseau en utilisant l'adresse IP source dans un paquet IP. Vous
pouvez créer une liste d'accès IP en utilisant la liste des numéros d'accès 1-99.

Router # configure terminal

Router (config) # access-list 10 nier 172.16.40.0 0.0.0.255
Router (config) # access-list 10 permettre à toute
Router (config) # interface e0
Router (config-if) # ip access-groupe 10

Extended IP Access Lists Exemple

L'extension de listes d'accès IP pour vous permettre de choisir la source et la destination de votre
adresse IP ainsi que le protocole et le numéro de port logique, permettant d'identifier la partie
supérieure de la couche de protocole ou de l'application. En utilisant des listes d'accès étendu IP, vous
pouvez effectivement vous permettre l'accès physique à un réseau local et de les empêcher d'utiliser
certains services. Vous pourrez utiliser la liste d'accès étendu IP allant de 100 à 199.

Router # configure terminal

Router (config) # access-list 110 tcp refuser tout hôte 172.16.10.5 eq 21
Router (config) # access-list 110 tcp refuser tout hôte 172.16.10.5 eq 23
Router (config) # access-list 110 permis toute une ip

Surveillance IP Access Lists

Il est important d'être en mesure de vérifier la liste d'accès sur la configuration d'un routeur. Les
commandes suivantes peuvent être utilisées pour vérifier la liste d'accès de configuration

Voir la liste d'accès: Cette commande affiche toutes les listes d'accès et leurs paramètres configurés
sur le routeur. Cette commande ne vous montrer que l'interface à laquelle la liste est fixée.

Voir ip access-list: Cette commande ne montre que les listes d'accès IP configurés sur le routeur.

Voir ip access-list pas accéder à la liste: Cette commande affiche le détail de la liste d'accès IP
configurés sur le routeur.

Show ip interface no: Cette commande montre que les interfaces qui ont accès à des listes établies et
dans quelle direction.

Voir la marche-config: Cette commande affiche la configuration de listes d'accès et de l'état