Vous êtes sur la page 1sur 132

CHAPITRE 5

LES LISTES DE CONTRLE DACCS

ACL

Fait par : Fadla HAMDAD


Source : Curriculum Cisco CCNA4 4.0, CCNA2 5.2 et CCNA Security
avec ajouts, modifications et corrections
Tous les textes sont mentionns CCNA4 4.0.
Cependant, certains peuvent tre issus du CCNA2 5.2 (en plus des illustrations) ou du CCNA
Security.

Objectifs du chapitre

Source : Curriculum Cisco CCNA4 4.0

Introduction

Source : Curriculum Cisco CCNA4 4.0

Il est possible de configurer un pare-feu simple, qui assure les fonctions de base de filtrage du trafic
entrant et sortant laide de listes de contrle daccs (ACL).
Il est possible de configurer de ACL pour contrler le trafic en fonction du port TCP utilis.

Utiliser les ACL pour scurise un rseau

Source : Curriculum Cisco CCNA4 4.0

Utiliser

LES LISTES DE CONTRLE DACCS IP


pour scuriser les rseaux
Filtrage du trafic IP par les ACL

Il est aussi possible de filtrer le trafic non IP (IPX, AppleTalk par ex.) mais cela sort du cadre de ce cours.

Rappel : TCP

Source : Curriculum Cisco CCNA4 4.0

Les ports TCP

Source : Curriculum Cisco CCNA4 4.0

Le filtrage des paquets

Source : Curriculum Cisco CCNA4 4.0

LE FILTRAGE DES PAQUETS


Le filtrage des paquets, parfois appel statique, contrle laccs un rseau en analysant les paquets
entrants et sortants, et en les transmettant ou en les arrtant en fonction de critres prdfinis.

Le filtrage des paquets fonctionne sur la couche RSEAU ou TRANSPORT.


ACL et filtrage de paquets

Source : Curriculum Cisco CCNA4 4.0

ACL et filtrage de paquet


Un routeur filtre des paquets en fonction :
- des adresses IP source et de destination,
- du port source et du port de destination,
- du protocole des paquets.

Ces rgles sont dfinies en fonction des ACL.

Exemple de filtrage

Source : Curriculum Cisco CCNA4 4.0

Exemple de filtrage de paquet


Il est possible de configurer
plusieurs rgles pour dfinir
lautorisation ou le refus daccs

Sil sagit du paquet TCP SYN sur A avec port 80, son passage est autoris.
Tout autre accs est refus ces utilisateurs.
Sil sagit du paquet TCP SYN sur B avec port 80, son passage est bloqu.
Tout autre accs est autoris.
Quest ce quune ACL?

Source : Curriculum Cisco CCNA4 4.0

Quest ce quune ACL

Les ACL sont les objets les plus couramment utiliss dans Cisco IOS.

Source : Curriculum Cisco CCNA4 4.0

Une ACL est un ensemble squentiel dinstructions dautorisation ou de refus qui sappliquent
aux adresses IP, aux n de ports ou aux protocoles de couche suprieure.

chaque fois quun paquet traverse une interface avec une ACL, cette ACL est vrifie de haut
en bas, ligne par ligne, la recherche dune correspondance de paquet entrant.

Un routeur na aucune ACL configure par dfaut.


Cest pourquoi un routeur route mais ne filtre pas le trafic par dfaut.

Suite

Source : Curriculum Cisco CCNA4 4.0

Utiliser des ACL sur les routeurs pare-feu entre le rseau interne et un rseau externe.

Utiliser des ACL sur un routeur situ entre deux sections du rseau pour contrler le trafic entrant ou sortant.

Utiliser des ACL sur les routeurs priphriques situs la frontire du rseaux.

Configurer des ACL sur une interface pour filtrer les trafics entrant, sortant ou les deux.

Rge des 3 P

Source : Curriculum Cisco CCNA4 4.0

Rgle des trois "P"

Les trois P sont une rgle gnrale pour appliquer des ACL sur un routeur.

Configurer une ACL par protocole, par direction et par interface :


Une ACL Par protocole : Dfinir une ACL pour chaque protocole activ sur linterface.
Une ACL Par direction : Les ACL contrlent le trafic dans une direction la fois sur une interface.

Crer 2 ACL : la premire pour contrler le trafic entrant et la seconde pour contrler le trafic sortant.

Une ACL Par interface : Les ACL contrlent le trafic pour une interface, telle que FastEthernet 0/0.

OUT
IN

F0/0

F0/1

IN

OUT

(6 par direction).

Les tches effectues par une ACL

Source : Curriculum Cisco CCNA4 4.0

Les tches effectues par les ACL


Elles limitent le trafic rseau pour accrotre ses performances.

Si la stratgie de lentreprise interdit le trafic vido, configurer des ACL pour bloquer ce trafic.

Elles contrlent le flux de trafic. Les ACL peuvent limiter larrive des mises jour de routage.
Si aucune mise jour nest requise vu les conditions du rseau, la bande passante est prserve.

Elles fournissent un niveau de scurit de base pour laccs rseau.

Les ACL permettent un hte daccder une section du rseau tout en empchant un autre hte dy avoir accs.

Elles dterminent le type de trafic acheminer ou bloquer sur les interfaces de routeur.
Une ACL peut autoriser le trafic de messagerie mais bloquer tout trafic Telnet.

Elles filtrent les htes pour autoriser ou refuser laccs aux services sur le rseau.

Les ACL peuvent autoriser ou refuser un utilisateur laccs certains types de fichier, tels que FTP ou HTTP.

Elles fonctionnent comme des pare-feu pour filtrer les paquets et liminer tout trafic indsirable.

Fonctionnement des ACL

Source : Curriculum Cisco CCNA4 4.0

Fonctionnement des ACL

ACL entrante

Source : Curriculum Cisco CCNA4 4.0

ACL Entrante

ACL, rgles de contrle pour les paquets :

Une ACL est utilise de haut en


bas, une instruction aprs lautre.

- arrivant par les interfaces dentre,


- passant par le routeur et
- sortant par les interfaces de sortie.
Elles ne grent pas les paquets provenant
du routeur lui-mme.

Une ACL entrante rduit la charge des recherches


de routage en cas dabandon du paquet.

Routage
Explication diapo suivante

Remarque importante

Source : Curriculum Cisco CCNA4 4.0

!
Le systme ne vrifie plus les conditions aprs la premire correspondance
lordre des conditions dans une ACL est primordial.

ACL sortante

Source : Curriculum Cisco CCNA4 4.0

ACL Sortante

Une ACL peut sappliquer


plusieurs interfaces.
Il ne peut y avoir quseule ACL
par protocole, par direction et
par interface.

Refus implicite

Explication diapo suivante

Le refus implicite

Source : Curriculum Cisco CCNA4 4.0

LE REFUS IMPLICITE : deny all ou deny all traffic


Une instruction implicite finale sapplique tous les paquets qui nont pas rpondu aux conditions.
Cette condition finale se solde par une INSTRUCTION DE REFUS.

Le routeur abandonne tous les paquets restants.


Le refus implicite est le comportement par dfaut des ACL. on ne peut pas la modifier.
Une ACL doit donc comporter au moins une instruction dautorisation.
Sinon, lACL bloque tout le trafic y compris les mises jour de routage!

Rcap. du fonctionnement de lACL

Source : Curriculum Cisco CCNA4 4.0

Fonctionnement rcapitulatif des ACL


Couche 1+2

Couche 3

Routage

Couche 2+1

Syntaxe sommaire d'une ACL Cisco

Source : Curriculum Cisco CCNA4 4.0

Syntaxe dune ACL Cisco


(Syntaxe sommaire)

permit/deny
Action de lACL

Source : Curriculum Cisco CCNA4 4.0

Adresse IP source

ACL 1 :

access-list 10 permit 192.168.30.0 0.0.0.255

ACL 2 :

access-list 101 deny 10.0.0.0 0.0.0.255


Commande

N de lACL

ACL 1 : Permettre tout le trafic provenant du rseau 192.168.30.0/24

Tout trafic provenant dailleurs est refus compte tenu du deny any implicite.

ACL 2 : Refuser tout le trafic provenant du rseau 10.0.0.0/24

Tout trafic provenant dailleurs est refus compte tenu du deny any implicite.

access-list 10 permit 192.168.30.0 0.0.0.255

access-list 10 permit 192.168.30.0 0.0.0.255


access-list 10 deny any

On y reviendra!
Types dACL : standard et tendue

Source : Curriculum Cisco CCNA4 4.0

Types dACL

standard et tendue

Source : Curriculum Cisco CCNA4 4.0

ACL standard
Permettent dautoriser et de refuser le trafic en provenance dadresses IP source.
La destination du paquet et les ports concerns nont aucune incidence.

Ici, tout trafic en provenance du rseau 192.168.30.0/24 est autoris.


Compte tenu de linstruction implicite deny any la fin de la liste, tout autre trafic est bloqu.

ACL tendues
Filtrent les paquets IP en fonction de plusieurs attributs :
- le type de protocole,
- ladresse IP source, ladresse IP de destination,
- les ports TCP ou UDP source, les ports TCP ou UDP de destination,
- informations facultatives sur le type de protocole pour une meilleure prcision du contrle.
any eq 80 :
Nimporte quelle
destination sur le port 80

Ici, LACL 103 autorise tout le trafic provenant dune adresse sur le rseau
192.168.30.0/24 vers tout port hte de destination 80 (HTTP) (dtails de la syntaxe plus loin).
Les ACL standards et tendues sont cres en mode de configuration globale.
Les ACL numrotes et nommes

Source : Curriculum Cisco CCNA4 4.0

Les ACL numrotes et les ACL nommes


Les ACL numrotes sont utilises sur des rseaux de petite taille.
Un numro ninforme pas clairement sur la fonction dune ACL.
Utiliser un nom pour identifier une ACL est possible (depuis la version 11.2 de Cisco IOS).
Les ACL nommes seront traites plus loin.

Rgle de numrotation et dattribution dun nom aux ACL :

Les numros 200 1299 sont ignors pour les ACL numrotes car ils sont utiliss par dautres protocoles.
Par exemple, les numros 600 699 sont utiliss par AppleTalk, alors que les numros 800 899 le sont par IPX.

Le cours porte sur les ACL IP uniquement.


Fonctionnement dune ACL standard

Source : Curriculum Cisco CCNA4 4.0

Fonctionnement dune ACL standard

Fonctionnement dune ACL tendue plus loin.

Suite

Source : Curriculum Cisco CCNA4 4.0

Exemple

Positionnement des ACL

Source : Curriculum Cisco CCNA4 4.0

Positionnement des ACL


Les administrateurs placent des ACL uniquement sur les priphriques quils contrlent.
Par consquent, cet emplacement doit tre dans lespace de contrle de ladministrateur.

Source : Curriculum Cisco CCNA4 4.0

Chaque ACL doit tre place l o elle aura le plus grand impact sur les performances.
Les rgles de base sont les suivantes :
tant donn que les ACL standard ne prcisent pas les adresses de destination, placez-les le plus prs possible
de la destination.
Placez les ACL tendues le plus prs possible de la source du trafic refus. Ainsi, le trafic indsirable est filtr sans
traverser linfrastructure rseau.
Explications

Exemple 1 : Placement dans une ACL standard

Source : Curriculum Cisco CCNA4 4.0

Exemple 1 : ACL standard


Ici, ladministrateur souhaite empcher laccs
du trafic provenant du rseau 192.168.10.0/24 au
rseau 192.168.30.0/24.

Une ACL sur linterface de sortie de R1


lempche denvoyer le trafic vers toute
autre destination.

Solution : Placer une ACL standard sur


linterface dentre de R3 pour arrter tout
trafic provenant de 192.168.10.0/24.

Une ACL standard rpond cette exigence car


elle ne se soucie que des adresses IP source.

Exemple 2 : Placement dans une ACL tendue

Source : Curriculum Cisco CCNA4 4.0

Exemple 2 : ACL tendue


Ici, ladministrateur rseaux contrle les rseaux 192.168.10.0/24 et 192.168.11.0/24 (R1).
Il souhaite refuser laccs du trafic Telnet et FTP de 192.168.11.0/24 192.168.30.0/24.
Les autres types de trafic sont autoriss de 10 30.
On peut procder de plusieurs faons :

Une ACL tendue sur R3 pourrait bloquer Telnet et FTP sur le rseau 11.
Malheureusement, ladministrateur ne contrle pas R3.
Cette ACL autorise le trafic indsirable pour le bloquer quune fois arriv destination.
Cette situation affecte les performances rseau globales.

Une ACL tendue sortante de R1 disant : Le trafic Telnet et FTP du


rseau 11 nest pas autoris vers le rseau 30.
Cette ACL tendue sera place sur le port S0/0/0 sortant de R1.

Linconvnient est que le trafic du rseau 10 (et dautres plus tard) sera galement trait
par lACL, bien que le trafic Telnet et FTP soit autoris (refus implicite deny any).

Le mieux est de se rapprocher de la source et de placer une ACL


tendue sur linterface dentre Fa0/2 de R1.
Ainsi, les paquets du rseau 11 naccdent pas au routeur R2 ou R3. Le trafic dont les
adresses de destination et les ports sont diffrents peut traverser R1.

Erreurs dans le curriculum.


Mthodes pour utiliser bien les ACL

Source : Curriculum Cisco CCNA4 4.0

Mthodes recommandes pour les ACL


Des erreurs dans les ACL provoquent des pannes de rseau, dimportants efforts de dpannage et des
services rseau mdiocres.
Une planification de base est obligatoire avant toute configuration dune ACL.

Exercice : questions diverses

Source : Curriculum Cisco CCNA4 4.0

Exercices - 5.1.9.2
Rpondre des questions diverses

Configurer les ACL standards

Source : Curriculum Cisco CCNA4 4.0

Configurer
LES ACL STANDARDS

ACL standard numrotes, crer lACL standard puis lactiver sur une interface.

Source : Curriculum Cisco CCNA4 4.0

La commande de configuration globale access-list dfinit une ACL standard avec un nombre entre 1 et 99.
Cisco IOS 12.0.1 a tendu cette plage de 1300 1999 afin de prendre en charge un maximum de 798 ACL standard.
Ces numros supplmentaires sont appels des ACL IP largies.

Routeur(config)# access-list numro-liste-accs deny | permit


| remark source [masque-gnrique-source] | any [log]
numro-liste-accs : Numro dune ACL.
deny : Refuse laccs si les conditions sont respectes.
permit : Autorise laccs si les conditions sont respectes.
remark : Ajoute une remarque sur les entres dans une ACL IP pour en faciliter la comprhension et la recherche.
source : Adresse IP source ou le mot cl any qui veut dire nimporte quelle source : 0.0.0.0 255.255.255.255
masque-gnrique-source : masque gnrique correspondant ladresse IP.
log : Provoque un message de journalisation informatif la console, au sujet du paquet correspondant lentre ACL.
La commande logging console contrle le niveau des messages enregistrs sur la console.
Le message comprend le numro de lACL (que le paquet ait t autoris ou refus), ladresse source et le nombre de paquets.
Le message est gnr pour le 1er paquet pour lequel il y a correspondance, puis par intervalles de 5 minutes, et comprend le nombre de paquets autoriss ou
refuss dans lintervalle de cinq minutes prcdent.
Les ACL numrotes peuvent tre configures autrement (plus loin)

Cette ACL autorise laccs provenant du rseau 192.168.10.0 /24 :


R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

Afficher et supprimer les ACL

Source : Curriculum Cisco CCNA4 4.0

Afficher et supprimer une ACL


show access-list affichent les ACL, telles quelles sont configures sur le routeur.
Pour supprimer une ACL, utiliser no access-list numro_de_lACL.

(2 match(es))

Compteur de correspondance (matches)

Les commentaires (remarques)

Source : Curriculum Cisco CCNA4 4.0

Les commentaires (remarques) dans une ACL


Si une ACL est rvise, ce qui paraissait vident dans un premier temps risque de ne plus ltre.

Le mot cl remark est utilis pour documenter les ACL ce qui facilite leur comprhension.
Chaque remarque comporte 100 caractres au maximum.

Remarques affiches
avec show run pas avec
show access-list

Suite

Source : Curriculum Cisco CCNA4 4.0

Commenter une ACL


Une remarque peut prcder ou suivre une instruction permit ou deny.

Quand une adresse est


ajoute sans host ni masque,
le systme ajoute host.

Si on place certaines remarques avant les permit ou deny associes et dautres aprs, on risque de sy perdre.

Supprimer un commentaire
no access-list 1 remark Do not allow Smith through
Ne supprime pas la remarque mais toute lACL!
no access-list 1 remark (rien aprs)
Efface la remarque mais laisse le mot cl dans le running-config
Cela ne fonctionne pas sur Packet-Tracer

Pour supprimer la remarque, supprimer puis remettez lACL (avec un diteur de texte)
On peut supprimer une remarque avec no remark dans lautre mode de configuration quon verra plus loin.

Les masques gnriques et les ACL

Source : Curriculum Cisco CCNA4 4.0

Les masques gnriques et les ACL

Source : Curriculum Cisco CCNA4 4.0

Exemple

Source : Curriculum Cisco CCNA4 4.0

Exemple 2

Source : Curriculum Cisco CCNA4 4.0

0.0.15.255

00000000.00000000.11111110.11111111

Erreurs dans le curriculum.

Exemple 3

Source : Curriculum Cisco CCNA4 4.0

Exemple 1 :
Autoriser laccs tous les utilisateurs sur le rseau 192.168.3.0.
Masque gnrique 0.0.0.255.
Exemple 2 :
Autoriser laccs rseau 14 utilisateurs dans le sous-rseau 192.168.3.32 /28.
Masque gnrique 0.0.0.15.
Exemple 3 :
Autoriser laccs aux rseaux 192.168.10.0 et 192.168.11.0.
Masque gnrique 0.0.3.255.
R1(config)# access-list 10 permit 192.168.10.0
R1(config)# access-list 10 permit 192.168.11.0
ou
R1(config)# access-list 10 permit 192.168.10.0 0.0.3.255

Exercices faire : 192.168.4.0/0.0.250.255 ; 192.168.0.0/0.0.253.255 ; 172.16.192.0/0.0.128.255


Importance du masque gnrique

Source : Curriculum Cisco CCNA4 4.0

Efficacit du masque gnrique


Pour faire correspondre les rseaux 192.168.16.0 192.168.31.0 comme suit :
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#

access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list

10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10

permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit
permit

192.168.16.0
192.168.17.0
192.168.18.0
192.168.19.0
192.168.20.0
192.168.21.0
192.168.22.0
192.168.23.0
192.168.24.0
192.168.25.0
192.168.26.0
192.168.27.0
192.168.28.0
192.168.29.0
192.168.30.0
192.168.31.0

La configuration du masque gnrique suivant en fait un choix bien plus efficace :


R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255
Host et any

Les options host et any

Source : Curriculum Cisco CCNA4 4.0

host remplace le masque 0.0.0.0. Tous les bits de l@ IP doivent correspondre ou quun seul hte est conforme.
any remplace ladresse IP et le masque 255.255.255.255. Aucun bit de l@ IP ne doit correspondre ou daccepter
nimporte quelle adresse.

Exercices 9.1.3.5-6 CCNA2 5.2

Appliquer les ACL aux interfaces

Source : Curriculum Cisco CCNA4 4.0

Appliquer les ACL aux interfaces

Routeur(config-if)# ip access-group {numro-liste-accs |


nom-liste-accs} {in | out}
no ip access-group : supprimer laffectation de lACL linterface.

Routeur(config-if)# ip access-group {numro-liste-accs | nom-liste-accs} {in | out}

access-list 1 deny any

Autorise le trafic provenant du rseau 192.168.10.0 quitter R1 par S0/0/0 (out). Le trafic provenant
dautres rseaux est bloqu notamment de 192.168.11.0/24.

Supprime la version prcdente de lACL 1. Cette ACL refuse au PC1 192.168.10.10 de quitter R1. Les
autres htes du rseau 192.168.10.0 /24 sont autoriss. Linstruction de refus implicite empche tous
les autres rseaux (192.168.11.0/24 notamment) quitter R1.

Supprime la version prcdente de lACL 1. Cette ACL refuse au PC1 192.168.10.10 de quitter R1. Les
htes du rseau 192.168.0.0/16 sont autoriss : y compris les autres htes de 192.168.10.0/24 et tout le
rseau 192.168.11.0/24. Tous les autres rseaux ne sont pas autoriss quitter R1.
Source : Curriculum Cisco CCNA4 4.0

Les ACL pour contrler VTY

Source : Curriculum Cisco CCNA4 4.0

Utiliser une ACL pour contrler laccs VTY


Si Cisco IOS ne prend pas en charge SSH sur le routeur, on peut amliorer en partie la scurit
des lignes administratives en limitant laccs VTY (pour une utilisation de Telnet ou SSH).

Source : Curriculum Cisco CCNA4 4.0

Pour contrler laccs VTY :


- Commande access-class : filtre une ligne vty
- Commande access-group : filtre une interface (ACL tendue avec protocole TELNET)

access-class numro-ACL/nom-ACL {in [vrf-also] | out}


In : limite les connexions entrantes,
Out : limite les connexions sortantes.
Vrf-also : VPN routing/forwarding

Et la console et AUX?

Source : Curriculum Cisco CCNA4 4.0

Mme commande que pour VTY

pour contrler laccs console et AUX

Exemple dACL avec VTY

Source : Curriculum Cisco CCNA4 4.0

Autoriser les rseaux 192.168.10.0 et 192.168.11.0 accder


aux lignes VTY 0 - 4.
Laccs aux lignes VTY est refus tous les autres rseaux.

Source : Curriculum Cisco CCNA2 5.2

Filtrage Telnet : access-group et access-class

Source : Curriculum Cisco CCNA4 4.0

Filtrage TELNET : Access-class vs access-group


access-class sapplique une ligne VTY.
Les adresses refuses dans lACL ne pourront pas accder R1 quelque soit linterface de R1 utilise.
access-group sapplique une interface.
Les adresses refuses dans lACL ne peuvent pas accder R1 par linterface spcifie (in). Mais peuvent le faire
par une autre interface non protge.
Les ACL sappliquent aux paquets traversant un routeur. Elles ne sont pas destines bloquer les paquets crs sur
le routeur.
Une ACL tendue filtrant Telnet en sortie nempche pas le routeur de lancer des sessions Telnet. Il faut utiliser
access-class dans ce cas (sur VTY si on est sur le routeur grce VTY ou la console si on y est grce la console*).
Ne marche pas sur PT (test sur GNS3)

Access-class sapplique une ligne VTY. R1 protg avec access-class empchera un hte de sy connecter
mais ne lempchera pas de se connecter un routeur R2 connect R1.
Il faut utiliser access-group pour que R2 soit protg en mme temps que R1. (voir pkt ACL_AccessClass et ceci)
Attention ce qui est crit dans le curriculum.
* Si jaccde mon routeur avec la console et que jessaie de me connecter via Telnet un autre routeur, cest ma console que jutilise pour accder au
VTY du routeur distant. Mais si jaccde mon routeur par VTY (Telnet) et que jessaie de me connecter au routeur voisin sur son VTY, cest mon VTY que
jutilise :-) voir
Prcaution lors de la configuration des ACL sur VTY

Source : Curriculum Cisco CCNA4 4.0

Prcautions lors de la configuration dACL sur des lignes VTY


Seules des ACL numrotes peuvent tre appliques aux lignes VTY. FAUX!
Cest dit dans le curriculum 4.0 mais cest dpass!
Dfinir les mmes restrictions sur toutes les lignes VTY car un utilisateur peut tenter de se connecter nimporte laquelle.

Modification des ACL numrotes

Source : Curriculum Cisco CCNA4 4.0

Modifier (diter) les ACL numrotes

Source : Curriculum Cisco CCNA4 4.0

Par dfaut, lors de la configuration dune ACL, les instructions sont ajoutes dans leur ordre de saisie la fin de lACL.
Plus loin, nous verrons comment manipuler lordre des instructions saisies.

Il est recommand dutiliser un diteur de texte pour la cration ou la modification dune ACL.

Adresse
errone

R1

Copier

Bloc-notes

R1
R1 nest pas protg par lACL
pendant sa correction!

Coller

Supprimer une ligne dans une ACL

Source : Curriculum Cisco CCNA4 4.0

Supprimer des lignes dans une ACL numrotes


Dans les versions antrieures des IOS, pour supprimer une ligne dans une ACL, il fallait supprimer toute
lACL et la reconfigurer sans cette ligne supprimer.
Seules les ACL nommes permettaient de supprimer une ligne spcifique dune ACL. (Voir plus loin)
Evolution en vue ! Les ACL numrotes sont manipules de la mme manire que les ACL nommes!
Voir plus loin.

Les ACL nommes

Source : Curriculum Cisco CCNA4 4.0

Les ACL nommes


Plus pratiques que les ACL numrotes?
Avant oui avec les nouvelles versions dIOS non!

Source : Curriculum Cisco CCNA4 4.0

Avec une ACL nomme, il est plus facile den comprendre la fonction.
Par exemple, vous pouvez utiliser NO_FTP pour appeler une ACL refusant le trafic FTP.

Lorsquune ACL est identifie par un nom plutt quun numro, le mode de configuration et la syntaxe
de commande sont lgrement diffrents.
Les ACL numrote bnficient maintenant de ce mode de configuration (plus loin) (dans le curriculum 4.0, il est dit que non : erreur).

Configurer une ACL nomme

Source : Curriculum Cisco CCNA4 4.0

Configurer une ACL nomme

Exemple

Exemple dune ACL nomme

Source : Curriculum Cisco CCNA4 4.0

Majuscule
recommande

Nomme et numrote, diffrences

Source : Curriculum Cisco CCNA4 4.0

Les options host et any,


Les masques gnriques,
Laffectation une interface,
Scuriser une ligne VTY

sont configures de la mme manire avec les ACL nommes quavec les ACL numrotes.
Router(config)# ip access-list standard NO_WEB
Router(config-std-nacl)# permit 192.168.30.0 0.0.0.15
Router(config-std-nacl)# deny host 192.168.10.10
Router(config-std-nacl)# permit any
Router# sh access-lists
Standard IP access list NO_WEB
10 permit 192.168.30.0 0.0.0.15
20 deny host 192.168.10.10
30 permit any
Router(config-std-nacl)# int fa0/0
Router(config-if)# ip access-group NO_WEB out
Router(config-if)# line vty 0 4
Router(config-line)# access-class NO_WEB in
Router(config-line)# end
Commentaires des ACL nommes

Source : Curriculum Cisco CCNA4 4.0

Exemple de commentaire des ACL nommes

Pour supprimer la remarque : no remark remarque

(ne marche pas sur Packet tracer).

Vrification des ACL

Source : Curriculum Cisco CCNA4 4.0

Contrler et vrifier les ACL

Source : Curriculum Cisco CCNA4 4.0

Ayant vrifi que les ACL ont t configures comme convenu, il faut ensuite confirmer quelles
fonctionnent comme prvu.

La confirmation du bon fonctionnement des ACL peut tre une tche complexe et longue.

Source : Curriculum Cisco CCNA2 5.2

Modifier les ACL nommes

Source : Curriculum Cisco CCNA4 4.0

Modifier les ACL nommes

Ajouter et supprimer des lignes dans les ACL

Source : Curriculum Cisco CCNA4 4.0

Les ACL IP nommes permettent de SUPPRIMER des entres dans une ACL depuis la version 12.3 de Cisco IOS.
Des numros de squence sont utiliss pour INSRER des instructions nimporte o dans lACL nomme.
Avec une version antrieure dIOS, il est possible dajouter des instructions uniquement en bas de lACL nomme.

Grce la suppression numrote, on peut MODIFIER lACL sans la supprimer ni la reconfigurer dans son intgralit.

10

10

LACL limite laccs au serveur Web.


Pour autoriser laccs la station 192.168.11.10, insrer une ligne numrote.

Insrer des lignes dans les ACL


Supprimer les lignes dans les ACL nommes

Source : Curriculum Cisco CCNA4 4.0

R1#sh access-lists
Standard IP access list TEST1
10 permit 192.168.10.0 0.0.0.255
20 permit 10.0.0.0 0.255.255.255
R1#conf t

R1(config)#ip access-list standard TEST1


R1(config-std-nacl)#no permit 10.0.0.0 0.255.255.255
R1(config-std-nacl)#end
R1#

Supprimer des lignes


dans les ACL

R1#sh access-lists
Standard IP access list TEST1
10 permit 192.168.10.0 0.0.0.255
R1#conf t
R1(config)#ip access-list standard TEST1
R1(config-std-nacl)#no 10
R1(config-std-nacl)#end
R1#
R1#sh access-lists
Standard IP access list TEST1
Mme les ACL numrotes peuvent faire a maintenant!

Source : Curriculum Cisco CCNA4 4.0

Dsormais, mme les ACL numrotes peuvent tre gres comme les ACL nommes!
Dans le curriculum, il est dit que non!

Router(config)#ip access-list standard 10


Router(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)# deny host 192.168.11.10
Router(config-std-nacl)# permit 10.10.0.0 0.0.255.255
Router(config-std-nacl)# permit any
Router(config-std-nacl)# end
Router# sh access-lists
Standard IP access list 10
10 permit 192.168.10.0 0.0.0.255
20 deny host 192.168.11.10
30 permit 10.10.0.0 0.0.255.255
40 permit any
Router#conf t
Router(config)# ip access-list standard 10
Router(config-std-nacl)# no 20
Router(config-std-nacl)#end
Router# sh access-lists
Standard IP access list 10
10 permit 192.168.10.0 0.0.0.255
30 permit 10.10.0.0 0.0.255.255
40 permit any

Router(config)# ip access-list standard 10


Router(config-std-nacl)# 5 permit 172.16.0.0 0.0.0.255
Router(config-std-nacl)# remark interessant!
Router(config-std-nacl)#end
Router# sh access-lists
Standard IP access list 10
5 permit 172.16.0.0 0.0.0.255
10 permit 192.168.10.0 0.0.0.255
30 permit 10.10.0.0 0.0.255.255
40 permit any
Router#conf t
Router(config)# ip access-list standard 10
Router(config-std-nacl)# no permit 10.10.0.0 0.0.255.255
Router(config-std-nacl)# no remark interessant!

Router(config-std-nacl)#end
Router# sh access-lists
Standard IP access list 10
5 permit 172.16.0.0 0.0.0.255
10 permit 192.168.10.0 0.0.0.255
40 permit any

Source : Curriculum Cisco CCNA2 5.2

Source : Curriculum Cisco CCNA2 5.2

Voir Page suivante

Source : Curriculum Cisco CCNA2 5.2

Source : Curriculum Cisco


CCNA2 5.2

Voir Page suivante

Source : Curriculum Cisco CCNA2 5.2

REMARQUE :
La fonction de hachage est applique
uniquement aux instructions d'hte dans les
ACL IPv4 standard.
L'algorithme n'est pas utilis pour les ACL
tendues IPv4 ni pour les ACL IPv6.
Les dtails de la fonction de hachage sortent
du cadre de ce cours.

Lorsquon insre une instruction ACL, le numro


d'ordre affecte la position de l'instruction dans
la liste uniquement si elle concerne une plage.
Les instructions d'hte sont toujours organises
par la fonction de hachage.

Exercice : Configurer une ACL standard

Source : Curriculum Cisco CCNA4 4.0

Exercice 5.2.8.2
Configurer des ACL standards
Exercices divers CCNA2 5.2
9.1.5.4, 9.2.1.9

Les ACL tendues

Source : Curriculum Cisco CCNA4 4.0

Configurer
LES ACL TENDUES

Source : Curriculum Cisco CCNA4 4.0

Les ACL tendues


Pour un filtrage du trafic plus prcis, utiliser les ACL tendues numrotes
une total de 799 ACL) ou nommes.

(de 100 199 et de 2000 2699 pour

Les ACL tendues sont plus utilises que les standards car elles garantissent un meilleur contrle et
renforcent la scurit.
Les ACL tendues VRIFIENT ladresse de paquet source, ladresse de destination, le protocole et les
numros de port (ou services).
Par exemple, une ACL tendue peut autoriser le trafic mail dun rseau vers une destination spcifique tout en refusant les transferts
de fichiers et la navigation sur le Web.

Fonctionnement des ACL tendues

Source : Curriculum Cisco CCNA4 4.0

Configurer les ACL tendues

Source : Curriculum Cisco CCNA4 4.0

Mais pas que

IP englobe TCP, ICMP,


UDP et tous les autres qui
se trouvent au-dessus.

Les ports sont facultatifs.


Le plus souvent, on utilise
le ports de destination.

Source : Curriculum Cisco CCNA2 5.2

Source : Curriculum Cisco CCNA2 5.2

Exemple et option established

ESTABLISHED

Source : Curriculum Cisco CCNA4 4.0

Stratgie de scurit de lentreprise :


Ladministrateur doit limiter laccs Internet 192.168.10.0 et
nautoriser que la navigation sur le Web.
Aucun accs Web entrant ne doit tre permis.

En autorisant le trafic WEB entrant?


NON! Cest contraire la stratgie
de scurit!

LACL 103 sera


applique sur
F0/0 en entre.

Solution :

Tout trafic Web


entrant est interdit!

Autoriser le trafic Web entrant


mais seulement les rponses
aux requtes sortantes!
sur Fa0/0 en entre.

Comment distingue-t-on les


rponses Web du reste du trafic
Web?

LE MOT CL ESTABLISHED.

sur Fa0/0
en sortie.
Il sagit dautoriser le trafic en provenance de toute adresse sur 192.168.10.0 accder nimporte quelle destination, condition que ce soit
un trafic WEB : 80 (HTTP) et 443 (HTTPS).

Established nautorise le trafic Web que si le bit ACK=1 ou RST=1 ce qui indique que le paquet appartient une connexion existante.
Sans established dans linstruction de lACL, les clients peuvent envoyer le trafic vers un serveur Web mais ils ne peuvent pas le recevoir.
LACL 104 sera applique sur Fa0/0 en sortie.
Appliquer les ACL tendues aux interfaces

Source : Curriculum
Cisco CCNA2 5.2

Source : Curriculum Cisco CCNA4 4.0

Appliquer les ACL tendues aux interfaces

Source : Curriculum Cisco CCNA4 4.0

Exemple

Source : Curriculum Cisco CCNA4 4.0

Exemple : Bloquer FTP

Refus du trafic FTP en


provenance du sous-rseau
192.168.11.0 destination
du sous-rseau 192.168.10.0.
Tout autre trafic est autoris.

21 ou ftp
20 ou ftp-data

Exemple 2

Source : Curriculum Cisco CCNA4 4.0

Exemple : Bloquer TELNET (1)

Refuse tout trafic Telnet


en provenance de
192.168.11.0 vers
linterface Fa0/1.
Autorise tout autre trafic
IP lentre de Fa0/1.

Fa0/1
in

Exemple 3

Exemple : Bloquer TELNET (2)

Source : Curriculum Cisco


CCNA2 5.2

Les exemples utilisent permit ip any any la fin


de la liste. Pour plus de scurit, utiliser permit
192.168.11.0 0.0.0.255 any.

Filtrage Telnet : RAPPEL

Source : Curriculum Cisco CCNA4 4.0

Filtrage TELNET : Access-class vs access-group


access-class sapplique une ligne VTY.
Les adresses refuses dans lACL ne pourront pas accder R1 quelque soit linterface de R1 utilise.
access-group sapplique une interface.
Les adresses refuses dans lACL ne peuvent pas accder R1 par linterface de R1 laquelle est applique
lACL. Mais peuvent le faire par une autre interface non protge.

Les ACL sappliquent aux paquets traversant un routeur. Elles ne sont pas destines bloquer les paquets crs sur
le routeur.
Une ACL tendue filtrant Telnet en sortie nempche pas le routeur de lancer des sessions Telnet. Il faut utiliser
access-class dans ce cas (sur VTY si on est sur le routeur grce VTY ou la console si on y est grce la console*).
Ne marche pas sur PT (test sur GNS3)

Access-class sapplique une ligne VTY. R1 protg avec access-class empchera un hte de sy connecter
mais ne lempchera pas de se connecter un routeur R2 connect R1.
Il faut utiliser access-group pour que R2 soit protg en mme temps que R1. (voir pkt ACL_AccessClass et ceci)
Attention ce qui est crit dans le curriculum.
* Si jaccde mon routeur avec la console et que jessaie de me connecter via Telnet un autre routeur, cest ma console que jutilise pour accder au
VTY du routeur distant. Mais si jaccde mon routeur par VTY (Telnet) et que jessaie de me connecter au routeur voisin sur son VTY, cest mon VTY que
jutilise :) voir

ACL tendue nomme

Fonctionnement
dune ACL tendue
Rappel :
Un Non ne signifie pas un refus. Il signifie que le processus
passera lentre suivante et ainsi de suite.

La dcision dautorisation ou de refus nest prise que sil y a


correspondance ou quaprs avoir trait toutes les entres.

Source : Curriculum Cisco CCNA4 4.0

Test des ports eq

Source : Curriculum Cisco CCNA4 4.0

Test des ports et des services


Le filtrage en fonction du protocole et du numro de port permet de crer des ACL tendues spcifiques.
Il est possible dutiliser des oprateurs logiques :

gal : eq
non gal : neq
suprieur : gt
infrieur : lt

Configurer une ACL tendue

Source : Curriculum Cisco CCNA4 4.0

Crer une ACL tendue nomme

Source : Curriculum Cisco CCNA2 5.2

no ip access-list extended nom


show access-lists [numro | nom]

Source : Curriculum Cisco CCNA2 5.2

Exercice : Configurer les ACL tendues

Source : Curriculum Cisco CCNA2 5.2

ou utiliser un diteur de texte


Exercice : Configurer les ACL tendues

Source : Curriculum Cisco CCNA2 5.2

!
Configurer les ACL sur un rseau de test,
puis de les mettre en uvre sur le rseau de production.

Exercice : Configurer les ACL tendues

Source : Curriculum Cisco CCNA4 4.0

Exercice 5.3.4.2
Configurer des ACL tendues
Exercices divers CCNA2 5.2
9.3.2.7 - 9

Les ACL complexes

Source : Curriculum Cisco CCNA4 4.0

DPANNER LES ERREURS COURANTES


RELATIVES AUX ACL
Les erreurs les plus courantes sur les ACL portent sur la saisie des instructions dans un
mauvais ordre et sur la non-application des critres adquats aux rgles.

Exemple 1

Exemple : Erreur 1

Source : Curriculum Cisco CCNA4 4.0

Solution

Source : Curriculum Cisco CCNA4 4.0

SOLUTION

Consulter lordre des instructions de lACL.


Lhte 192.168.10.10 na tabli aucune connectivit avec 192.168.30.12 cause de lordre de la rgle 10 dans
lACL.
Sachant que le routeur traite les ACL de haut en bas, linstruction 10 refuse lhte 192.168.10.10, donc linstruction
20 nest pas traite.
Les instructions 10 et 20 doivent tre inverses.
La dernire ligne autorise tout autre trafic non TCP correspondant au protocole IP (ICMP, UDP et ainsi de suite).

Exemple 2

Source : Curriculum Cisco CCNA4 4.0

Exemple : Erreur 2

0.0.0.255

Le rseau 192.168.10.0/24 ne peut


pas accder TFTP.

Solution

Source : Curriculum Cisco CCNA4 4.0

SOLUTION

Le rseau 192.168.10.0 /24 ne peut pas utiliser TFTP pour se connecter au rseau 192.168.30.0 /24 car TFTP utilise le
protocole de transport UDP.
Linstruction 30 dans lACL 120 autorise tout autre trafic TCP.
Sachant que TFTP utilise UDP, il est refus implicitement. Linstruction 30 doit tre ip any any.

Exemple 3

Exemple : Erreur 3

Source : Curriculum Cisco CCNA4 4.0

Solution

Source : Curriculum Cisco CCNA4 4.0

SOLUTION

192.168.10.0 /24 peut utiliser Telnet vers 192.168.30.0 /24 car le numro du port Telnet dans linstruction 10 de
lACL 130 est mal plac.
Linstruction 10 refuse actuellement toute source avec un numro de port gal Telnet qui essaie dtablir une
connexion.
Pour refuser le trafic Telnet entrant sur F0/0, refusez le numro de port de destination quivalent Telnet :
deny tcp any any eq telnet.

Exemple 4

Exemple : Erreur 4

Source : Curriculum Cisco CCNA4 4.0

F0/0 :
192.168.10.1

Solution

Source : Curriculum Cisco CCNA4 4.0

SOLUTION

Lhte 192.168.10.10 peut utiliser Telnet pour se connecter au rseau 192.168.30.12 car aucune rgle ne refuse
lhte 192.168.10.10 ou son rseau en tant que source.
Linstruction 10 de lACL 140 refuse linterface du routeur Fa0/0 do partirait le trafic.
Ces paquets partent du PC1, leur adresse source est 192.168.10.10 et non celle de linterface du routeur.
Comme pour la solution de lerreur 2, cette ACL doit sappliquer linterface Fa0/0 de R1 dans le sens entrant.

Exemple 5

Exemple : Erreur 5

Source : Curriculum Cisco CCNA4 4.0

En entre de s0/0/1 de R3

Solution

Source : Curriculum Cisco CCNA4 4.0

SOLUTION

Lhte 192.168.30.12 peut utiliser Telnet vers 192.168.10.10 du fait de la direction dans laquelle est applique
lACL150 linterface S0/0/1 de R3.
Linstruction 10 refuse ladresse source 192.168.30.12.
Ceci dit, cette adresse est la source uniquement si le trafic est sortant (et non entrant) sur S0/0/1 de R3.

Exercices finaux

Source : Curriculum Cisco CCNA4 4.0

Exercice 5.4.5.2
Rpondre des questions diverses
Exercice PT - 9.4.2.6 CCNA2 5.2
Dpannage
Exercice PT - 5.5.1.2
Configuration de base

(voir le PDF fait partir du PT de Cisco sans les rponses)

Exercice PT - 5.6.1.3
OSPF, PAP/CHAP, ACL

Source : Curriculum Cisco CCNA4 4.0

LES ACL COMPLEXES


Les ACL standard et tendues forment la base des ACL complexes,
qui fournissent des fonctions supplmentaires.

ACL complexes?

Source : Curriculum Cisco CCNA4 4.0

Les ACL dynamiques

Source : Curriculum Cisco CCNA4 4.0

Les ACL dynamiques


ACL de verrou
LACL tendue effectue le contrle des adresses IP source mais pas des utilisateurs.
LACL dynamique rgle ce problme et permet lauthentification des utilisateurs.
La fonction de verrou est disponible pour le trafic IP uniquement.

Quand utiliser les ACL dynamiques

Source : Curriculum Cisco CCNA4 4.0

Quand utiliser les ACL dynamiques


Lorsquon souhaite quun utilisateur ou quun groupe dutilisateurs distants accde un hte sur le rseau.
Le verrou authentifie lutilisateur et autorise un accs limit par le biais du routeur pare-feu.
Lauthentification peut tre faite par un serveur de scurit comme AAA, TACACS+ ou le routeur lui-mme.

Comment a marche

Source : Curriculum Cisco CCNA4 Security

Comment a marche?

Afin obtenir un accs


momentan au rseau
192.168.30.0 /24 pour le PC1
via R3, une ACL dynamique est
configure sur linterface srie
S0/0/1 de R3.

S0/0/1
PC1

192.168.30.0/24

R3

Suite

Source : Curriculum Cisco CCNA4 4.0

Comment a marche?
tout le trafic IP en fait (ACL 101)

Crer un compte utilisateur local

Temps absolu

Affecter lACL dynamique


linterface en entre
Voir dtails

Temps dinactivit

Avantage des ACL dynamiques

Source : Curriculum Cisco CCNA4 4.0

Avantages des ACL dynamiques


Mcanisme dauthentification des utilisateurs.

Gestion simplifie sur les rseaux de grande taille.


Traitement rduit du routeur requis pour les ACL.
Limitation des ventuelles infractions du rseau par des pirates informatiques.
Accs utilisateur dynamique via un pare-feu, sans compromettre les autres restrictions de scurit configures.

Les ACL rflexives

Source : Curriculum Cisco CCNA4 4.0

Les ACL rflexives

Source : Curriculum Cisco CCNA4 4.0

Les ACL rflexives


Sont utilises pour autoriser le trafic IP pour des sessions provenant du rseau intrieur tout en refusant
le trafic IP pour les sessions dont la source est extrieure au rseau.
Comme vu prcdemment, cela est possible avec les ACL tendues avec le mot cl ESTABLISHED.
Mais ceci nest valable que pour TCP.
Avec UDP ou avec dautres protocoles de couche 3 comme ICMP (sans ACK et RST), ce nest pas possible.
Loption established vrifie uniquement les bits ACK ou RST ; elle ignore les adresses sources ou de destination.
(voir avantages des ACL rflexives plus loin)

Schma explicatif

Source : Curriculum Cisco CCNA4 4.0

Comment a marche

Source : Curriculum Cisco CCNA4 4.0

Comment a marche lACL rflexive ?


Le routeur examine le trafic SORTANT :

Lorsque le routeur dtecte une nouvelle connexion, il ajoute une entre une ACL rflexive pour autoriser les
rponses mais pas les connexions inities de lextrieur : REFLECT.
Cette entre est supprime automatiquement la clture dune session.

ACL tendue nomme

R2(config)# ip access-list extended OUTBOUND


R2(config-ext-nacl)# permit ip any any reflect ACL-REF
R2(config-ext-nacl)# int s0/1/0
R2(config-if)# ip access-group OUTBOUND out

Trafic autoris avec cration dune rgle


rflexive : ACL dynamique ACL-REF interdisant
le trafic initi de lextrieur.

REFLECT indique au routeur quil devra crer lACL rflexive ACL-REF correspondant
au trajet inverse. Elle apparaitra dans le show access-list (en bas) quand il y aura un trafic sortant.

Trafic ENTRANT :
Lorsque le routeur dtecte le trafic entrant, il utilise lACL ACL-REF pour
empcher le trafic sil est initi de lextrieur : EVALUATE.
R2(config)# ip access-list extended INTBOUND
R2(config-ext-nacl)# evaluate ACL-REF
R2(config-ext-nacl)# int s0/1/0
R2(config-if)# ip access-group OUTBOUND in

Trafic de rponse autoris.


Interdiction de trafic initi de lextrieur
Trs important savoir propos des ACL rflexives

Source : Curriculum Cisco CCNA4 4.0

!
Les ACL rflexives permettent au routeur de grer le trafic de session de manire dynamique.
Les ACL rflexives comprennent uniquement des entres provisoires.
Les ACL rflexives ne sont dfinies quavec des ACL IP tendues nommes.
Les ACL rflexives ne sappliquent pas directement une interface.
Les ACL rflexives sont imbriques dans une ACL tendue nomme.
Les ACL rflexives ne fonctionnent pas avec les applications qui changent le numro de port
en cours de session.
FTP actif par exemple. Idem avec la fonction established de lACL tendue.

Exemple

Source : Curriculum Cisco CCNA4 4.0

Exemple
ACL rflexive autorise le trafic
ICMP entrant et sortant, autorise
uniquement le trafic TCP initi
lintrieur du rseau.
Tout autre trafic est refus.
LACL rflexive est applique
linterface de sortie de R2.

Suite de lexemple

Source : Curriculum Cisco CCNA4 4.0

Pas de dtails. Cest juste indicatif les ACL complexes.


Avantages des ACL rflexives

Source : Curriculum Cisco CCNA4 4.0

Avantages des ACL rflexives


Elles contribuent la protection du rseau contre les pirates (dfense pare-feu).
Elles sont une scurit contre lusurpation et certaines attaques DoS.
Les ACL rflexives sont plus difficiles mystifier car un nombre suprieur de critres de filtrage doit correspondre avant que le
passage dun paquet soit autoris.
Une vrification est opre sur les adresses source et destination, les numros de port, et pas seulement sur les bits ACK ou RST.
Cest plus simple de mystifier un segment en modifiant les ACK et RST les mettant 1.
LACL rflexive vrifie les adresses IP et ports en fonction du trafic sortant. Established vrifie que ACK ou RST sont 1 voir lACL rflexive.

Les ACL temporelles

Source : Curriculum Cisco CCNA4 4.0

Les ACL temporelles


Permettent dinterdire certains trafic pendant une priode donne.

Schma

Source : Curriculum Cisco CCNA4 4.0

Exemple

Exemple
Dans cet exemple, une connexion Telnet est autorise depuis le
rseau intrieur au rseau extrieur les lundis, mercredis et vendredis
pendant les heures ouvrables.

S0/0/0

tape 1. Dfinir la plage horaire et la nommer EVERYOTHERDAY.


tape 2. Applique la plage horaire lACL
tape 3. Appliquer lACL linterface.

La plage horaire repose sur lhorloge


systme du routeur.
La fonction est optimise avec la
synchronisation du protocole NTP.

Source : Curriculum Cisco CCNA4 4.0

Avantages des ACL temporelles

Source : Curriculum Cisco CCNA4 4.0

Avantages des ACL temporelles


Elles renforcent le contrle en autorisant ou en refusant laccs aux ressources pendant un temps.

Elles permettent de contrler les messages de journalisation.


Les entres des ACL peuvent enregistrer le trafic certains moments de la journe mais pas tout le temps.
Avec les ACL temporelles, ladministrateur naura pas analyser les nombreux journaux gnrs pendant la journe.
On cre une ACL temporelle pour les messages de journalisation. Les messages de journalisation narrivent ladministrateur
que pendant a priode quil dfinit.

Dpannage des ACL

Source : Curriculum Cisco CCNA4 4.0

TP - 5.5.2.1

Configurer les liaisons sries en PPP/CHAP et PAP

Exercice PT faire librement - 5.6.1.3


Ne pas corriger sauf questions

FIN

FIN