Scribd Logo
Importer

Bienvenue sur Scribd !

  • CCNA2

    Transféré par

    Hossam Eddin
    14 vues27 pages
    CCNA2

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    CCNA2

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    14 vues27 pages

    CCNA2

    Transféré par

    Hossam Eddin
    CCNA2

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 27

    Constitution dun routeur Cisco

    POST
    bootstrap

    ROM

    Port console
    Cble paire inverse +
    adaptateur RJ45 / DB9

    IOS

    FLASH
    CPU

    Registre config
    Commandes Boot
    system
    Fichier config
    (Startup config)
    Running config
    Table routage

    Interfaces WAN
    (srial)

    NVRAM
    Interfaces LAN
    (Ethernet)

    RAM

    ETAPES de DEMARRAGE
    1) test automatique de mise sous tension (POST).
    Excute les diagnostics chargs en mmoire ROM sur tous les modules physiques. Ces
    diagnostics vrifient le fonctionnement de base du processeur, de la mmoire et des
    ports d'interface rseau.

    2) Lancement du bootstrap en ROM.


    Un bootstrap est un jeu dinstructions simple qui teste le matriel et initialise lIOS.

    3) Lecture du registre de configuration


    Registre=0xnnn0 : mode moniteur ROM (appel dans lexam mode surveillance
    ROM) , dmarrage manuel du systme dexploitation en entrant la commande b linvite
    du mode

    Registre=0xnnn1 : amorce la 1re image IOS dans la Flash


    Registre=0xnnn2 : amorce les commandes boot system de la NVRAM
    (option par defaut)
    Si la mmoire NVRAM ne contient pas de commandes boot system que le routeur peut
    utiliser, le systme par dfaut utilise lIOS en mmoire flash.
    Si la mmoire flash est vide, le routeur tente dutiliser TFTP pour charger une image
    IOS partir du rseau. Le routeur utilise la valeur du registre de configuration pour crer
    le nom du fichier partir duquel il amorcera une image systme par dfaut stocke sur
    un serveur du rseau.
    Si un serveur TFTP n'est pas disponible, le routeur chargera une version limite de
    l'IOS de la ROM

    Configuration des commandes Boot system en NVRAM


    Router# configure terminal ; mode de configuration globale
    Router(config)# boot system flash c1700-l-f.131-2 ; Le routeur tentera de charger lIOS
    c1700-l-f.131-2 partir de la mmoire flash
    Router(config)# boot system tftp c1700-l-mz.131-2 172.16.24.7 ; Le routeur tentera de charger
    lIOS c1700-l-mz.131-2 partir du serveur TFTP dadresse IP 172.16.24.7

    Router(config)# boot system rom ; Le routeur tentera de charger lIOS ; Le routeur tentera
    de charger lIOS partir de la mmoire ROM
    Router(config)#exit
    Router#copy running-config startup-config ; enregistre les commandes dans la mmoire
    NVRAM.

    4) Chargement de lIOS
    Lorsque lIOS est charg et oprationnel, Le modle de routeur, la quantit de mmoire
    disponible et Le nombre et le type d'interfaces installes saffiche sur lcran de la console.

    Le nom de lIOS comporte 4 parties spares par un tiret xxx-yyy-zzz-vvv

    5) Chargement du fichier de configuration (startup-c onfig)


    stock dans la mmoire NVRAM il est charg dans la mmoire principale RAM (renomm
    Running-config), puis il est excut ligne par ligne. Les commandes de configuration
    lancent les processus de routage, fournissent les adresses aux interfaces et dfinissent les
    autres caractristiques de fonctionnement du routeur.

    Fichier de configuration en NVRAM valide :


    Le mode utilisateur est activ (mode normal)

    Fichier de configuration en NVRAM non valide :


    Le systme dexploitation recherche un serveur TFTP disponible. Sil nen trouve aucun, le
    dialogue de configuration est tabli. Le mode setup est activ
    Pour restaurer un fichier de configuration sauv prealablement sur un serveur TFTP :
    Router# copy tftp startup-config
    l'invite du systme, tapez l'adresse IP du serveur TFTP o se trouve le fichier de
    configuration, puis entrez le nom du fichier de configuration du serveur TFTP charger ou
    acceptez le nom par dfaut. Confirmez le nom du fichier de configuration (startup-config)

    MODE SETUP
    Le mode setup permet ladministrateur dinstaller une configuration minimale pour un
    routeur sil lui est impossible dobtenir une configuration dune autre source.
    Dans le mode setup, les rponses par dfaut apparaissent entre crochets [ ] la suite de la
    question. Appuyez sur la touche Entre pour accepter les valeurs par dfaut.
    Lappui sur Ctrl-C met fin au processus. Lorsque vous achevez la configuration laide de
    Ctrl-C, toutes les interfaces sont administrativement dsactives.
    Lappui sur ? Fournit une aide en ligne.

    Procedure de rcupration de mot de passe


    Mthode daccs un routeur avec un mot de passe (enable) de mode
    privilgi inconnu.
    dmarrer le routeur et taper la commande
    Router> Show version
    Renvoie Le modle de routeur, lemplacement et le nom de lIOS utilis, la taille mmoire
    totale, les caractristiques du matriel de lquipement (nombre et type d'interfaces
    installes), et la valeur du registre de configuration. Relever cette valeur.
    Eteindre puis rallumer le routeur.
    Ds que le routeur affiche System Bootstrap, Version appuyez simultanment sur la
    touche Ctrl et sur la touche Attn. Le routeur dmarre alors en mode surveillance ROM.
    rommon 1 > confreg 0x2142
    Eteindre puis rallumer le routeur.
    cause de la nouvelle valeur du registre de configuration, le routeur ne charge pas le
    fichier de configuration. Le systme demande :
    Would you like to enter the initial configuration dialog? [yes]: No
    Router>enable ; passe en mode privilgi sans mot de passe
    Router#copy startup-config running-config ; restaure la configuration existante
    Router#configure terminal ,passer en mode de configuration globale
    Router(config)#enable secret new_password ; modifie le mot de passe
    Router(config)# config-register xxxxxxx. xxxxxxx est la valeur du registre de configuration
    originale enregistre
    Router(config)#exit
    Router#copy running-config startup-config ; enregistre la nouvelle configuration.
    Router# reload ; redmarre le routeur.

    Configuration dun Routeur


    Attribution dun nom unique :
    Router#configure terminal ,passer en mode de configuration globale
    Router(config)#hostname Annecy

    Configuration des mots de passe dun routeur :


    sur la ligne de console :
    Annecy(config)#line console 0
    Annecy (config-line)#password <password>
    Annecy (config-line)#login

    sur les lignes VTY 0,1,2,3,4 (5 ligne maxi):


    Annecy(config)#line vty 0 4
    Annecy (config-line)#password <password>
    Annecy (config-line)#login

    Pour laccs au mode privilgi :


    Annecy(config)#enable password <password> ; le mot de passe est en clair
    Annecy(config)#enable secret <password> ; le mot de passe est crypt

    Cryptage simple tous les mots de passe non crypts (VTY, console,
    enable).
    Annecy(config)# service password-encryption

    Commandes Show
    show versions :
    Affiche des informations sur le logiciel actuellement charg en mmoire ainsi que sur les
    caractristiques du matriel et de lquipement.

    Router#show version

    show running-config :
    Affiche le contenu du fichier de configuration excut actuellement en mmoire.

    show startup-config:
    Affiche le contenu de la NVRAM si elle est disponible et valide ou montre le fichier de
    configuration rfrenc par la variable denvironnement CONFIG_FILE.

    show controllers :
    Affiche les caractristiques des interfaces ou dune interface spcifique. prcise ltat des
    canaux de linterface et signalent la prsence ou labsence dun cble.

    Router#show controllers serial 0/1

    show interfaces:
    Affichent l'tat, l'adresse IP ainsi que les statistiques relatives toutes les interfaces du
    routeur. Cest la 1ere commande excuter en cas de problme de connexion
    Pour afficher les statistiques dune interface spcifique, entrez la commande show interfaces,
    suivie par le numro spcifique de linterface et du port.

    Router#show interfaces serial 0/1

    interface is up, line protocol is up : condition de ligne correcte


    interface is down, line protocol is down : la ligne est inactive ou nest pas connect, le
    cblage est dfectueux ou incorrect, un quipement est dfectueux .
    interface is up, line protocol is down : un routeur local ou distant est mal configur. Aucun
    test dactivit nest envoy par le routeur distant.
    interface is up, line protocol is disabled: Un taux derreur important est survenu du fait dun
    problme au niveau du fournisseur Wan, un problme est survenu au niveau du matriel dune
    unit CSU/DSU, le matriel du routeur interface) est hors service
    interface is administratively down, line protocol is down: La configuration du routeur inclut
    la commande de dsactivation de linterface (shutdown) ou il existe une adresse IP duplique.

    show protocols :
    Affiche ltat gnral et propre aux interfaces de tous les protocoles de couche 3 configurs.
    Affichent aussi l'tat et l'adresse IP de toutes les interfaces d'un routeur

    show ip protocols :
    Affiche les protocoles de routage utiliss pour lacheminement du trafic IP sur le routeur. Ces
    informations peuvent tre utilises pour vrifier la configurations RIP. Les lments de
    configuration les plus courants vrifier sont les suivants:
    Est-ce que RIP est configur?
    Est-ce que les interfaces appropries envoient et reoivent des mises jour RIP?
    Est-ce que le routeur annonce les rseaux appropris?

    show ip route :
    Affiche les routes reues par les voisins prsentes dans la table de routage. Signification des
    lettres (codes) C : directement connect, S: static, R: Rip, I: IGRP
    Lettre : faon dont la route est connue
    Adresse ip route destination
    Distance administrative (seule la route de plus petite valeur est garde dans la table de
    routage) / valeur de la mtrique (nb de routeur traverser pour atteindre destination)
    connect=0 static=1 EIGRP interne=90, EIGRP externe=170, RIP=120, IGRP =100
    Via adresse du routeur du saut suivant
    Temps pass depuis la dernire mise jour

    show cdp neighbours:


    Affiche les informations sur les rseaux directement connects au routeur et dont la
    connectivit de couche 2 est valide . CDP fournit des informations sur chaque
    quipement CDP voisin en transmettant des TLV (Type Length Value), cest--dire
    des blocs dinformations incorpors dans des annonces CDP.
    Les TLV dquipement affiches par les commandes show cdp neighbors sont
    notamment:
    lidentifiant, linterface locale, la dure de conservation, la capacit, la plate-forme,
    lID du port.

    CONFIGURATION dune INTERFACE SERIE (WAN)


    Router>enable
    Router#configure terminal
    Router(config)#interface serial 0
    Router(config-if)#ip address 192.168.15.1 255.255.255.0 ; ad IP puis masque
    Router(config-if)#clock rate 56000; dfinition frquence horloge
    Router(config-if)#no shutdown ; activation interface; par dfaut elles sont toutes dsactives
    Router(config-if)#exit
    Router(config)#exit
    Router#copy runningconfig startup-config
    Router#Reload (redmarage pour prise en compte)

    Pour dsactiver administrativement une interface

    Router(config-if)# shutdown

    CONFIGURATION dune INTERFACE ETHERNET (LAN)


    Router>enable
    Router#configure terminal
    Router(config)#interface FastEthernet 0
    Router(config-if)#ip address 192.168.15.1 255.255.255.0 ; ad IP puis masque
    Router(config-if)#no shutdown ; activation interface, par dfaut elles sont toutes dsactives
    Router(config-if)#exit
    Router(config)#exit
    Router#copy runningconfig startup-config
    Router#Reload (redmarage pour prise en compte)

    CONFIGURATION dune DESCRIPTION DINTERFACE


    Cest un commentaire qui permet didentifier une inteface. Cette description n,a aucun effet sur
    le fonctionnement, elle permet simplement de faciliter le depannage.
    router>enable
    Router#configure terminal
    Router(config)#interface FastEthernet 0
    Router(config-if)# description LAN Engineering, Bldg.2
    Router(config-if)#exit
    Router(config)#exit
    Router#copy runningconfig startup-config
    Router#Reload (redmarage pour prise en compte)

    PROTOCOLE CDP
    CDP (Cisco Discovery Protocol) est un protocole de couche 2 qui relie des mdias physiques
    de niveau infrieur et des protocoles de couche rseau de niveau suprieur.
    CDP sert principalement dcouvrir tous les quipements Cisco qui sont directement
    connects un quipement local.
    CDP permet dobtenir des informations sur les quipements voisins, comme leurs types, les
    interfaces du routeur auxquelles ils sont connects, les interfaces utilises pour tablir les
    connexions, ainsi que leurs numros de modle.
    CDP est indpendant du mdia comme du protocole, et il sexcute sur tous les quipements
    Cisco, par-dessus le protocole SNAP (Subnetwork Access Protocol).
    Lors du dmarrage dun quipement Cisco, CDP dmarre de faon automatique et permet
    lquipement de dtecter les quipements voisins qui excutent comme lui ce protocole. CDP
    sexcute sur la couche liaison de donnes et permet deux systmes de se dcouvrir, mme
    sils utilisent des protocoles de couche rseau diffrents.
    Les annonces contiennent galement des informations de dure de vie ou dure de
    conservation, indiquant pendant combien de temps les quipements rcepteurs doivent
    conserver les informations CDP avant de les liminer. De plus, chaque quipement coute les
    messages CDP priodiques envoys par les autres quipements afin didentifier ceux qui se
    trouvent dans le voisinage.
    Ces informations peuvent tre utilises pour crer un schma de rseau des quipements
    connects, cela cre risque potentiel de scurit pour le rseau

    TELNET
    Telnet est un protocole de terminal virtuel qui fait partie de la pile de protocoles TCP/IP. Il
    permet de se connecter des htes distants.
    Telnet est une commande EXEC de lIOS qui permet de vrifier le logiciel de la couche
    application entre lorigine et la destination. Il sagit du mcanisme de test le plus complet qui
    soit.
    Telnet fonctionne au niveau de la couche application du modle OSI. Telnet sappuie sur TCP
    afin de garantir un acheminement correct et ordonn des donnes entre le client et le serveur.
    Un routeur peut tablir simultanment plusieurs sessions Telnet entrantes. La plage comprise
    entre zro et quatre sert spcifier cinq lignes VTY ou Telnet. Ces cinq sessions Telnet
    entrantes pourraient avoir lieu en mme temps.

    Etablissement dune connexion TELNET


    Pour lancer une session Telnet, nimporte laquelle des alternatives suivantes peut tre utilise
    en mode utilisateur ou privilgi :
    Denver> connect paris
    Denver> paris
    Denver> 131.108.100.152
    Denver> telnet paris
    Denver> telnet 131.108.100.152
    Un nom ne peut fonctionner quen prsence dune table de noms dhtes ou dun accs DNS
    pour Telnet. Sinon, vous devez entrer ladresse IP du routeur distant.

    Routage statique
    Les oprations de routage statique sarticulent en trois parties:
    Ladministrateur rseau configure la route
    Le routeur insre la route dans la table de routage
    Les paquets sont achemins laide de la route statique
    La distance administrative par dfaut est 1 quand on utilise une route statique. Lorsqu'une
    interface de sortie est configure comme passerelle dans une route statique, la route statique
    apparat comme tant directement connecte. Ceci peut parfois porter confusion, car une
    route vraiment directement connecte a une distance administrative de 0.

    routeur(config)#ip route 172.16.3.0 255.255.255.0 172.16.4.1 130 ; Le cot de la


    route est dfini 130. le paquet destin 172.16.3.0 sera achemin vers le routeur
    suivant dadresse 172.16.4.1 si aucune route de cot plus faible nexiste.
    routeur(config)#ip route 172.15.7.0 255.255.255.0 172.30.4.1
    routeur(config)#ip route 172.14.0.0 255.255.255.0 s0 (interface serie 0 de sortie)

    Configuration de lacheminement par dfaut


    Les routes par dfaut permettent de router des paquets dont les destinations ne correspondent
    aucune autre route de la table de routage.
    Une route par dfaut est en fait une route statique spciale qui utilise le format:
    ip route 0.0.0.0 0.0.0.0 [adresse de saut suivant | interface de sortie ]
    routeur(config)#ip route 0.0.0.0 0.0.0.0 172.16.4.1 ;toute adresse ne possdant pas de route
    identifie sera transmise ladresse 172.16.4.1 du routeur suivant
    routeur(config)#ip route 0.0.0.0 0.0.0.0 s0 ; toute adresse ne possdant pas de route identifie
    sera transmise ladresse linterface s0

    Protocole de routage RIP


    Il sagit dun protocole de routage vecteur de distance
    Le nombre de saut est la mtrique utilise pour slectionner le chemin
    Si le nombre de saut est suprieur 15, le paquet est limin
    Par dfaut, les mises jour de routage sont diffuses toutes les 30 secondes
    RIP utilise le port 520

    Configuration du protocole RIP


    router(config)#router rip Slectionne le protocole RIP comme protocole de routage
    Tous les reseaux directement connects doivent tre dclars
    router(config-router)#network 10.0.0.0 Spcifie un rseau directement connect.
    router(config-router)#network 192.168.13.0 Spcifie un rseau directement connect.

    Utilisation de la commande IP classless


    Un routeur peut parfois recevoir des paquets destins un sous-rseau inconnu ou un
    rseau comportant des sous-rseaux directement connects. Pour que la plate-forme
    logicielle Cisco IOS transmette ces paquets la meilleure route SUPERNET possible,
    utilisez la commande ip classless en mode de configuration globale. Une route
    SUPERNET permet de couvrir un plus grand nombre de sous-rseaux avec une seule
    entre. La commande ip classless est active par dfaut partir de la version 11.3 de la
    plate-forme logicielle CISCO IOS. Pour dsactiver cette fonction, utilisez la forme no de
    cette commande.
    Lorsque cette fonction est dsactive, les paquets destins un sous-rseau inclus
    numriquement dans le systme d'adressage de sous-rseau du routeur sont supprims.
    Activation du Routage ip sans classe
    Router#Configure terminal
    Router(config)#ip classless
    une classe A dadresse du rseau est
    dfinie. Cela donne une adresse rseau
    de 10.0.0.0. sans Ipclassless toute
    adresse comprise entre 10.0.0.0 et
    10.255.255.255 sera considre
    appartenir au rseau et par consquent
    ne sera pas transmise la route par
    dfaut sur linterface s0/0 et sera dtruit

    Empcher les mises jour du routage via une interface


    La commande passive interface permet dempcher les routeurs denvoyer des mises
    jour de routage via une interface de routeur. Ceci permet dempcher les autres systmes
    de ce rseau dapprendre les routes de faon dynamique.
    Pour les protocoles RIP et IGRP, la commande passive interface empche le routeur
    denvoyer des mises jour de routage un voisin particulier tout en lui permettant
    dcouter les mises jour de routage provenant de ce mme voisin. En empchant lenvoi
    de messages de mises jour de routage via une interface de routeur, les autres systmes
    de ce rseau ne peuvent pas apprendre les routes de faon dynamique
    Router(config)#router rip
    Router(config-router)# passive interface Fa0/0

    Equilibrage de charge RIP


    Lquilibrage de charge dcrit la possibilit pour un routeur de transmettre des paquets
    vers une adresse IP de destination en utilisant plusieurs chemins. Lquilibrage de charge
    est un concept permettant un routeur de bnficier de plusieurs meilleurs chemins
    vers une destination donne. Les chemins peuvent tre dfinis de manire statistique ou
    calculs par un protocole de routage dynamique tel que RIP, EIGRP, OSPF et IGRP.
    Lorsquun routeur apprend plusieurs routes vers un rseau spcifique, cest la route avec
    la distance administrative la plus courte qui est ajoute la table de routage. Le routeur
    doit parfois slectionner une route parmi plusieurs, apprises via le mme processus de
    routage, avec la mme distance administrative. Dans ce cas, le routeur choisit le chemin
    de moindre cot ou prsentant la mtrique la plus basse vers la destination. Chaque
    processus de routage calcule son cot diffremment et il peut tre ncessaire de
    configurer les cots manuellement pour raliser lquilibrage de charge.
    Il peut y avoir jusqu six routes de cot gal
    RIP est capable de grer un quilibrage de charge sur six chemins de cot gal avec
    quatre chemins par dfaut. RIP ralise ce quon appelle un quilibrage de charge de
    recherche squentielle. En dautres termes, RIP envoie tour tour les paquets sur les
    chemins parallles.
    soit un exemple de routes RIP quatre chemins de cot gal. Au dmarrage, le routeur
    utilise un pointeur dinterface qui pointe sur linterface connecte au routeur 1. Ensuite, le
    pointeur dinterface boucle sur les interfaces et les routes dune faon dterministe selon
    le modle 1-2-3-4-1-2-3-4-1, etc. Comme la mtrique utilise pour le protocole RIP est le
    nombre de sauts, aucune importance nest accorde au dbit des liaisons.
    Lors de laffichage de la table de routage, un astrisque (*) en regard dune des entres
    identifie la route active utilise pour le nouveau trafic

    Protocole de routage IGRP


    Le protocole IGRP (Interior Gateway Routing Protocol) est un protocole propritaire
    dveloppe par Cisco. De par sa conception, le protocole IGRP est dot, entre
    autres, des caractristiques suivantes:
    Il s'agit d'un protocole de routage vecteur de distance.
    La bande passante, la charge, le dlai et la fiabilit sont utiliss pour crer une
    mtrique composite. Le chemin choisi sera celui qui offrira la bande passante la plus
    leve.
    IGRP a la capacit d'voluer pour des rseaux importants.
    Par dfaut, les mises jour du routage sont diffuses toutes les 90 secondes.
    Configuration du protocole IGRP
    router(config)#router igrp 101 Slectionne le protocole igrp comme protocole de routage
    pour le systme autonome 101
    Tous les reseaux directement connects doivent tre dclars
    router(config-router)#network 10.0.0.0 Spcifie un rseau directement connect.
    router(config-router)#network 192.168.13.0 Spcifie un rseau directement connect.

    Listes de contrle daccs (ACL)


    Les listes de contrle daccs sont des listes de conditions qui sont appliques au trafic
    circulant via une interface de routeur. Ces listes indiquent au routeur les types de paquets
    accepter ou rejeter. Lacceptation et le refus peuvent tre bass sur des conditions prcises.
    Les ACL permettent de grer le trafic et de scuriser laccs dun rseau en entre comme en
    sortie.
    Les listes de contrle daccs doivent tre dfinies en fonction dun protocole, dune direction
    ou dune interface. les instructions dune liste de contrle daccs fonctionnent dans lordre
    squentiel logique. Si une condition est satisfaite, le paquet est autoris ou refus et les autres
    instructions ne sont pas vrifies. Si aucune des instructions ne correspond au paquet, une
    instruction implicite deny any est place la fin de la liste par dfaut. Linstruction invisible
    deny any sur la dernire ligne dune ACL interdit laccs de tout paquet qui ne correspond pas
    aux instructions de la liste de contrle daccs.
    Deux mots-cls spciaux sont utiliss dans les listes de contrle daccs, les options any et
    host. Loption any remplace 0.0.0.0 dans ladresse IP et 255.255.255.255 dans le masque
    gnrique. Cette option tablit une correspondance avec toute adresse avec laquelle elle est
    compare. Loption host remplace le masque 0.0.0.0. Ce masque ncessite une
    correspondance parfaite entre tous les bits de ladresse ACL et ceux de ladresse du paquet.
    Avec cette option, une seule adresse concorde.
    Des oprateurs logiques peuvent tre spcifis, par exemple gal (eq), non gal (neq),
    suprieur (gt) et infrieur (lt), et appliqus des protocoles spcifiques.

    Listes de contrle daccs standard


    Les listes daccs standard vrifient ladresse dorigine des paquets IP qui sont routs.
    Selon le rsultat de la comparaison, lacheminement est autoris ou refus pour un
    ensemble de protocoles complet en fonction des adresses rseau, de sous-rseau et
    dhte. Les listes daccs standard doivent tre appliques le plus prs possible de la
    destination car elles ne prcisent pas les adresses de destination.
    Le numro de la liste daccs doit tre dans lune des plages 1 99 ou 1300 1999
    Les trois lignes suivantes sont similaires.Seule ladresse 171.69.2.88 sera autorise
    Router(config)#access-list 44 permit host 171.69.2.88
    Router(config)#access-list 44 permit 171.69.2.88 0.0.0.0
    Router(config)#access-list 44 permit 171.69.2.88 ; le masque par dfaut est alors 0.0.0.0
    Router(config)#access-list 44 deny 172.16.2.0 0.0.0.255 ; toutes les adresses comprises
    entre 172.16.2.0 et 172.16.2.255 sont refuses
    Router(config)#access-list 44 permit 172.69.1.0 0.0.0.255 ; toutes les adresses
    comprises entre 172.69.1.0 et 172.69.1.255 sont acceptes
    Par dfaut toutes les autres adresses seront rejetes (access-list 44 deny any)
    Router(config)#access-list 45 permit any ; cette liste permet de tout accepter
    Router(config)# interface fa0/0 ; applique la liste daccs linterface Fa0/0
    Router(config-if)# ip access-group 45 out
    Router(config-if)# ip access-group 44 in ; Pour dterminer si une liste de contrle
    daccs concerne le trafic entrant ou sortant, ladministrateur rseau doit regarder les
    interfaces comme sil tait positionn lintrieur du routeur. Les paquets reus par une
    interface sont filtrs par une liste de contrle daccs pour trafic entrant tandis que les
    paquets envoys par une interface sont filtrs par une liste de contrle daccs pour trafic
    sortant.

    Listes de contrle daccs tendues


    Les listes daccs tendues sont utilises plus souvent que les listes daccs standard car
    elles fournissent une plus grande gamme de contrle. Les listes daccs tendues
    vrifient les adresses dorigine et de destination du paquet, mais peuvent aussi vrifier
    les protocoles et les numros de port. Les listes daccs tendues doivent tre
    appliques le plus prs possible de la source du trafic refus.
    Le numro de la liste daccs doit tre dans lune des plages 100 199 ou 2000 2699
    access-list N permit protocol source masque gnrique destination masque gnrique (oprateur port)
    deny

    Valeur des champs :


    Protocol : eigrp, gre, icmp igmp, ip (inclus ICMP, TCP et UDP), ipinip, nos,ospf,pim, tcp, udp
    Source masque gnrique : adresse ip masque gnrique (192.168.1.0 0.0.0.255)
    host adresse ip (host 192.168.1.0)
    any
    Destination masque gnrique : idem source

    Oprateur (optionnel) : lt (<), gt (>), eq (=), neq (), range (game inclusive, necessite 2
    valeurs de ports)
    Port (optionnel) : numro en dcimal ou le nom d'un port TCP ou UDP.
    Les noms de port TCP ne peuvent tre spcifis que pour un filtrage TCP.
    HTTP=80, FTP=21, Telnet=23, SMTP=25, DNS=53, POP3=110
    Les noms de port UDP ne peuvent tre spcifis que pour un filtrage UDP.
    DNS=53, TFTP=69, SNMP=161, RIP=520

    Router(config)# access-list 187 permit tcp host 192.168.42.34 172.29.0.0 0.0.255.255 eq 23


    Autorise le trafic telnet de lhte 192.168.42.34 vers le rseau 172.29.0.0
    Router(config)# access-list 187 permit tcp 192.168.42.0 0.0.0.255 172.29.0.0 0.0.255.255 eq telnet
    Autorise le trafic telnet du rseau 192.168.42.0 vers le rseau 172.29.0.0
    Router(config)# access-list 187 permit tcp 192.16.6.0 0.0.0.255 any eq ftp
    Autorise tout le trafic ftp en provenance du rseau 192.16.6.0
    Router(config)# access-list 187 permit ip 192.168.2.0 0.0.0.255 any
    Autorise tout le trafic ip en provenance du rseau 192.168.2.0
    Router(config)# access-list 187 permit tcp 10.90.3.0 0.0.0.255 any eq www
    Autorise tout le trafic web en provenance du rseau 10.90.3.0

    Modification et suppression dune liste de contrle daccs


    Les nouvelles lignes sont toujours ajoutes la fin de la liste de contrle daccs. La
    commande no access-list x supprime toute la liste. Il nest pas possible dajouter et de
    supprimer des lignes spcifiques dans des listes daccs numrotes.
    Router(config)# no access-list 187

    Vrification dune listes de contrle daccs


    show ip interface : Affiche les informations relatives linterface IP et indique si des listes de
    contrle daccs sont configures.
    show access-lists : Affiche le contenu de toutes les listes de contrle daccs sur le routeur.
    Pour afficher une liste spcifique, ajoutez le nom ou le numro de la liste de contrle daccs
    en tant quoption de cette commande.
    show running-config : Affiche les listes daccs dun routeur, ainsi que les informations
    daffectation aux interfaces.
    router(config)#show access-list 1

    Listes de contrle daccs tendues


    Les listes de contrle daccs nommes IP ont t introduites dans la plate-forme logicielle
    Cisco IOS version 11.2, afin dattribuer des noms aux listes daccs standard et tendues la
    place des numros. Les avantages procurs par une liste daccs nomme sont les suivants:
    Identifier de manire intuitive une liste daccs laide dun nom alphanumrique.
    LIOS ne limite pas le nombre dACL nommes qui peuvent tre configures.
    Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir les
    supprimer, puis les reconfigurer. Il est important de noter quune liste daccs nomme
    permet de supprimer des instructions, et dinsrer des instructions uniquement la fin de la
    liste. Mme avec des listes daccs nommes, il est prfrable dutiliser un diteur de texte
    pour les crer.
    Une liste de contrle daccs nomme est cre avec la commande ip access-list.
    Lutilisateur passe en mode de configuration dACL. En mode de configuration de liste de
    contrle daccs, prcisez une ou plusieurs conditions dautorisation ou de refus. Cela
    dtermine si le paquet est achemin ou abandonn lorsque linstruction ACL est satisfaite.
    Router(config)# ip access-list extended name
    standard
    Router(config-ext-nacl)#permit tcp 10.90.3.0 0.0.0.255 any eq www
    Router(config-ext-nacl)#deny ip 198.168.3.0 0.0.0.255 any

    Vous aimerez peut-être aussi