Scribd Logo
Importer

Bienvenue sur Scribd !

  • Les Access Lists

    Transféré par

    Mouad BenYassin
    21 vues5 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    RTF, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme RTF, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    21 vues5 pages

    Les Access Lists

    Transféré par

    Mouad BenYassin

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme RTF, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 5

    ACL Access

    Control List 1
    Gnralits
    Une ACL est une liste de rgles permettant de filtrer ou dautoriser du trafic sur un rseau en fonction de
    certains critres (IP source, IP destination, port source, port destination, protocole, )
    Une ACL permet de soit autoriser du trafic (permit) ou de le !lo"uer (den#)
    Il est possi!le dappli"uer au ma$imum une ACL par interface et par sens (input%output)
    Une ACL est anal#se par lI&' de manire s"uentielle
    (s "uune rgle correspond au trafic, laction dfinie est appli"ue, le reste de lACL nest pas anal#s
    )oute ACL par dfaut !lo"ue tout trafic (onc tout trafic ne correspondant * aucune rgle dune ACL est re+et
    ,emar"ue- Les ACLs ser.ent galement * identifier un trafic afin d/tre trait par un processus, dans ce cas le
    trafic correspondant * un 0 permit 1 est trait, et celui correspondant * un 0 den# 1 est ignor
    Les ACLs et le routage
    Interfacace de sortie
    Interfacace dentre
    ACL 'tandard
    ACL 2tendues
    Permet danal#ser du trafic en fonction de-
    Adresse IP source
    Permet danal#ser du trafic en fonction de-
    Adresse IP source
    Adresse IP destination
    Protocole (tcp, udp, icmp, )
    Port source
    Port destination
    2tc
    Les ACLs standard sont * appli"uer le plus proc3e
    possi!le de la destination en raison de leur fai!le
    prcision
    Les ACLs tendues sont * appli"uer le plus
    proc3e possi!le de la source
    Conce.oir une ACL
    Conseils
    Lors"uune ACL contient plusieurs rgles il
    faut placer les rgles les plus prcises en
    d!ut de liste, et donc les plus gnri"ues en
    fin de liste
    Conce.oir une ACL dans un diteur de te$te
    et la configurer par copier%coller
    (sacti.er une ACL sur une interface a.ant
    de la modifier
    )',I '45A 6A,,A72C8
    ACL Access Control List
    2
    Configuration dune ACL numri"ue standard
    R1(config)#access-list 1 permit 192.168.0.0 0.0.0.255
    R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
    R1(config)#access-list 1 deny 192.168.0.0 0.0.3.255
    R1(config)#access-list 1 permit any
    Configuration dune ACL nomme standard
    R1(config)#ip access-list standard mon!"
    R1(config-std-nacl)#permit 192.168.0.0 0.0.0.255
    R1(config-std-nacl)#permit 192.168.1.0 0.0.0.255
    R1(config-std-nacl)#deny 192.168.0.0 0.0.3.255
    R1(config-std-nacl)#permit any
    R1(config-std-nacl)#e#it
    9rification des ACLs
    R1#s$o% access-lists
    &tandard '( access list 1
    10 permit 192.168.0.0) %ildcard *its 0.0.0.255
    20 permit 192.168.1.0) %ildcard *its 0.0.0.255
    30 deny 192.168.0.0) %ildcard *its 0.0.3.255
    +0 permit any
    &tandard '( access list mon!"
    10 permit 192.168.0.0) %ildcard *its 0.0.0.255
    20 permit 192.168.1.0) %ildcard *its 0.0.0.255
    30 deny 192.168.0.0) %ildcard *its 0.0.3.255
    +0 permit any
    ACL 0 numri"ues 1
    ACL identifes par un nom!re
    : * ;; - ACL 'tandard
    :<< * :;; - ACL 2tendue
    :=<< * :;;; - ACL 'tandard
    ><<< * >?;; - ACL 2tendue
    ACL 0 nommes 1
    ACL identifies par un nom sous
    la forme dune c3a@ne de
    caractres alp3anumri"ues
    Ces deu$ ACLs sont identi"ues
    )out le trafic pro.enant du rseau :;>:?A<<%
    >> est !lo"u * le$ception des deu$ su!nets
    :;>:?A<<%>B et :;>:?A:<%>B
    R1#
    Configuration dune ACL numri"ue tendue
    R1(config)#access-list 100 permit tcp any $ost 192.168.1.100 e, 80
    R1(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 $ost 192.168.1.100
    Configuration dune ACL nomme tendue
    R1(config)#ip access-list e#tended mon!"e#tended
    R1(config-e#t-nacl)#permit tcp any $ost 192.168.1.100 e, 80
    R1(config-e#t-nacl)#permit icmp 192.168.0.0 0.0.0.255 $ost 192.168.1.100
    R1(config-e#t-nacl)#e#it
    9rification des ACLs
    R1#s$o% access-lists
    -#tended '( access list 100
    10 permit tcp any $ost 192.168.1.100 e, %%%
    20 permit icmp 192.168.0.0 0.0.0.255 $ost 192.168.1.100
    -#tended '( access list mon!"e#tended
    10 permit tcp any $ost 192.168.1.100 e, %%%
    20 permit icmp 192.168.0.0 0.0.0.255 $ost 192.168.1.100
    Ces deu$ ACLs sont identi"ues
    C )out trafic 8))P * destination de
    :;>:?A::<< est autoris
    C )out le traffic IC6P pro.enant de
    :;>:?A<<%>B * destination de
    :;>:?A::<< est autoris
    C )out autre trafic est re+et
    R1#
    Dormat gnral dune rgle tendue
    .action/ .protocole/ .'( so0rce/ 1port so0rce2 .'( dest/ 1port dest2 1options2
    Adresse E Fildcard
    masG
    Adresse E Fildcard
    masG
    &
    u
    &
    u
    )cp % udp , 8ost :;>:?A<: 8ost :;>:?A<:
    Ip H tous les (adresse dun 3Ite) (adresse dun 3Ite)
    protocoles &
    u
    &
    u
    An# H nimporte "uelle An# H nimporte "uelle
    sour
    ce
    sour
    ce
    Permit % den#
    ACL Access Control List
    3
    6odifier une ACL
    R1#s$o% access-list 1
    &tandard '( access list 1
    10 permit 192.168.0.0) %ildcard *its 0.0.0.255
    20 permit 192.168.1.0) %ildcard *its 0.0.0.255
    30 deny 192.168.0.0) %ildcard *its 0.0.3.255
    +0 permit any
    R1#config0re terminal
    R1(config)#ip access-list standard 1
    R1(config-std-nacl)#no 20
    R1(config-std-nacl)#15 permit 192.168.1.0 0.0.0.123
    R1(config-std-nacl)#45
    R1#s$o% access-list 1
    &tandard '( access list 1
    10 permit 192.168.0.0) %ildcard *its 0.0.0.255
    15 permit 192.168.1.0) %ildcard *its 0.0.0.123
    30 deny 192.168.0.0) %ildcard *its 0.0.3.255
    +0 permit any
    2ntre en mode de
    configuration dACL
    'upprime la rgle portant le
    nJ de s"uence ><
    A+oute une rgle a.ec le nJ
    de s"uence :K
    R1#
    'upprimer une ACL
    R1#s$o% access-lists
    &tandard '( access list 1
    10 permit 192.168.0.0) %ildcard *its 0.0.0.255
    15 permit 192.168.1.0) %ildcard *its 0.0.0.123
    30 deny 192.168.0.0) %ildcard *its 0.0.3.255
    +0 permit any
    &tandard '( access list mon!"
    10 permit 192.168.0.0) %ildcard *its 0.0.0.255
    20 permit 192.168.1.0) %ildcard *its 0.0.0.255
    30 deny 192.168.0.0) %ildcard *its 0.0.3.255
    +0 permit any
    -#tended '( access list 100
    10 permit tcp any $ost 192.168.1.100 e, %%%
    20 permit icmp 192.168.0.0 0.0.0.255 $ost 192.168.1.100
    -#tended '( access list mon!"e#tended
    10 permit tcp any $ost 192.168.1.100 e, %%%
    20 permit icmp 192.168.0.0 0.0.0.255 $ost 192.168.1.100
    -#tended '( access list test
    R1#config0re terminal t
    R1(config)#no access-list 100
    R1(config)#no ip access-list standard mon!"
    R1(config)#45
    R1#s$o% access-lists
    &tandard '( access list 1
    10 permit 192.168.0.0) %ildcard *its 0.0.0.255
    15 permit 192.168.1.0) %ildcard *its 0.0.0.123
    30 deny 192.168.0.0) %ildcard *its 0.0.3.255
    +0 permit any
    -#tended '( access list mon!"e#tended
    10 permit tcp any $ost 192.168.1.100 e, %%%
    20 permit icmp 192.168.0.0 0.0.0.255 $ost 192.168.1.100
    -#tended '( access list test
    R1#
    'uppression dune ACL
    numrote
    'uppression dune ACL
    nomme
    ACL Access Control List
    4
    Appli"uer une ACL sur une interface
    R1(config)#interface fastet$ernet 060
    R1(config-if)#ip access-gro0p 1 in
    7
    8
    R1(config-if)#ip access-gro0p 1 o0t
    R1(config-if)#
    9rification des ACLs appli"ues sur une interface
    R1#s$o% ip interface fast-t$ernet 060
    9ast-t$ernet060 is 0p) line protocol is 0p
    'nternet address is 192.168.0.162+
    :roadcast address is 255.255.255.255
    ddress determined *y set0p command
    ;<8 is 1500 *ytes
    =elper address is not set
    >irected *roadcast for%arding is disa*led
    70tgoing access list is 1
    'n*o0nd access list is 1
    (ro#y R( is ena*led
    "ocal (ro#y R( is disa*led
    &ec0rity le?el is defa0lt
    . @ s0ite de lAaffic$age omis @ /
    R1#
    Appli"ue lACL : pour le trafic
    entrant sur linterface
    Appli"ue lACL : pour le trafic
    sortant de linterface
    ACL : appli"ue en sortie
    ACL : appli"ue en entre
    (sacti.er une ACL sur une interface
    R1(config)#interface fastet$ernet 060
    R1(config-if)#no access-gro0p 1 in
    7
    8
    R1(config-if)#no access-gro0p 1 o0t
    R1(config-if)#
    Appli"uer une ACL sur les lignes 9)4
    R1(config)#line ?ty 0 +
    R1(config-if)#access-class 1 in
    R1(config-if)#
    (sacti.er une ACL sur les lignes 9)4
    R1(config)#line ?ty 0 +
    R1(config-if)#no access-class 1 in
    R1(config-if)#
    9rifier le fonctionnement dune ACL
    R1#s$o% access-lists %orBing!"
    -#tended '( access list %orBing!"
    10 permit tcp any $ost 193.190.1+3.30 e, %%% (2 matc$es)
    20 permit icmp any $ost 193.190.1+3.30 (1+ matc$es)
    30 deny ip any $ost 193.190.1+3.30 (+926 matc$es)
    +0 permit ip any any (838382 matc$es)
    Indi"ue le nom!re de fois oL une
    rgle de lACL a t appli"ue
    R1#

    Vous aimerez peut-être aussi